Usw & docman engineering Channel World practice usw ltd Цифровият подпис “отвъд океана”



Дата23.03.2017
Размер57.42 Kb.

USW & DOCMAN Engineering Channel

World practice ©USW Ltd




Цифровият подпис “отвъд океана”
Електронният подпис е уреден нормативно в САЩ през юни на 2000 г. с приемането на Electronic Signature in Global and National Commerce Act. Освен с него, законовата инфраструктура за използване на новата технология се урежда и с Uniform Electronic Transactions Act (UTEA), the Health Insurance Portability and Accountability Act (HIPAA), the U.S. Food and Drug Administration's 21 CFR Part 11, the Gramm-Leach-Bliley Act, the U.S. Government Paperwork Elimination Act, the EU Directive on Electronic Signatures и други.
Сега, почти три години след “придруженото с фанфари” (както казва не без ирония Jim Minihan) първо приложение на цифровия подпис при издаване на ипотеки във Флорида, оценката на процеса е доста противоречива и той продължава да се следи “под лупа”. Преди всичко не се е оправдало очакването, че цифровият подпис масово ще нахлуе в бизнеса. Действително, както казва Dave Clark (director of Product Marketing for XML electronic forms provider PureEdge Solutions), хората очакват да намалят рязко (дори да елиминират) хартиените документи, като с това ще намалят цената и сложността на обработката. Може би Clark има в предвид една обща оценка по отношение сложността на информационната обработка, защото James Dukart (в статията “Sign on the (Digital) Dotted Line”) изрично посочва като една от пречките за масовото разпространение на цифровия подпис именно сложността при използването му.

Казаното до тук в никакъв случай не е белег, че масовото използване на цифровия подпис не се е “случило”, или че няма да се “случи”. Правилната оценка задължително трябва да калкулира преди всичко изключителния прагматизъм, който американците проявяват при използването на каквото и да било, включително и при новите върхови технологии.

Всъщност те не отказват да загърбят хартиените документи, но пресметливо използват всяка възможност да работят с електронни документи без да ги утежняват задължително с използването на електронен подпис. Тук е мястото отново да отбележим в прав текст, че самата процедура по подписването се оценява, като неприятно трудоемка- вадене на картата, съхраняваща данните за подписа, стартиране на процеса на подписване, въвеждане на PIN и т.н. Може да добавим и проблеми по това да не се загуби картата, да не се забрави в четящото устройство, да се държи винаги в наличност и т.н. Истинската оценка на проблема трябва да включи и високото доверие на бизнес отношенията в САЩ.
Интересен е анализът на това доверие. Jim Minihan (в “Gaining Trust for Digital Signatures”) посочва някои интересни оценки на практикуването на хартиения подпис. Той прави следната градация: при пазаруване в дрогерията (до стотина USD) никой не сравнява подписа върху чека; при покупка (например на кола- от няколко, до десетки хиляди USD) обикновено се задоволяват със сравняване на подписа върху чека с подписа върху шофьорския лиценз; при сключване на ипотека вече се включва трето лице- нотариус.
Американците пренасят тази “схема на доверие” почти без промени и в практиката на електронния подпис, като отново използват три нива на “наследяване на риска” (James Dukart). Към първото ниво можем да причислим размяната на неподписани документи, към второто- размяна на подписани с подпис издаден от не сертифициран доставчик на удостоверителни услуги (ДУУ) и към третото- въвличането в процеса на сертифициран ДУУ, което за нашите условия е равностойно на използване на универсален подпис, съгласно нашия Закон за ЕДЕП.
Най-интересно е второто ниво. Може да се каже, че то рядко се използва поради не оптималното съотношение “ниво на покрит риск разходи по използване”. Всъщност това второ ниво най-често се практикува във вътрешно фирмената практика, където нивото на риска сумарно е не само ниско, но и добре контролируемо. Ето защо, подписването на вътрешно фирмени документи (например във връзка със съгласуването им) среща естествен отпор и мениджърите избягват да го прилагат.

Във връзка с това, Tommy Petrogiannis (президент на Silanis- security software vendor) коментира два възможни начина за преход към използване на ЕП- еволюционен и революционен. Първият разчита на естественото налагане на новата технология и в общи линии е обяснение за текущото състояние на нещата в САЩ.

Вторият начин Petrogiannis го илюстрира с опита на ръководството на GMAC Commercial Mortgage. В тази корпорация се обявява, че който не използва електронен подпис, ще бъде лишен от премии. Petrogiannis не без ирония констатира, че всички се стичат под знамената на “марша към paperless office”.


Действително второто ниво на риск е източник на голям резерв за оптимизиране на използването на ЕП, без излишни компромиси с риска. Във връзка с това се прилага най-простото решение- след като подписът затруднява хората, нека компютрите вършат това. Те в действително го и правят, като за почти всички операции, които извършват потребителите се генерира не подлежаща на корекции информация за авторство, време и характер на извършеното действие. Тази информация са добре познатите Log-данни, които съпътстват както работа с файлове, така и работата в Интернет, обмен на електронна поща и други. По своя състав, тя се доближава до състава на идентифициращата информация в УЕП и напълно го замества във вътрешно административната практика.

Верни на своя прагматизъм, американците с лекота бягат от второто ниво на риска и се доверяват на Log-данните, като на първо място трябва да поставим тези съпътстващи електронната поща. Това обяснява, защо електронните съобщения първи бяха обявени за “records” , тоест за документи под нормативна регулация, или документи които могат да донесат до 20 години затвор при злоумишлено поведение- съгласно Sarbanes-Oxley Act. Друг е въпросът, че това стана след грандиозните скандали с Enron, WorlCom и други, но това е по-скоро оценка за нивото на материалните загуби, които само в рамките на няколко месеца могат да задвижат американската законодателна машина.

Все пак, нека отчетем, че същата тази машина съвсем наскоро обяви и т.н. Instant Messages за същата категория документи, което постави под нормативно регулация включително съобщенията по пейджърите. Този път без прецедента на грандиозния скандал...
Преходът от второ ниво на риск към първо практически заменя относително трудоемката и скъпа PKI- технология с (нека условно да я наречем) Log-технологията. В повечето случаи това води не само до облекчаване на практиката на ЕП (компютрите подписват хората!), но е и напълно безплатно, тай като тя е вградена във всяка професионална система за целите на контрола.

Всъщност в случая печалбата е много по-голяма. Възможността да се генерират (автоматично) за различни случаи различни Log-данни дава възможност да се подписват различни волеизявления (съгласно нашия ЗЕДЕП). Казано по друг начин може да има подпис за “утвърдил”, “не утвърдил”, утвърдил с особено мнение” и т.н. Това е постижимо с УЕП/PKI само с използването на малко или повече трудоемки технологии, изискващи създаване на допълнителни информационни единици (носещи характера на волеизявлението), поддържане на връзки между основния документ и допълнителните информационни единици и т.н.


Между другото, почти аналогичен ефект може да се получи, ако за различни волеизявления на едно и също лице се използват различни ЕП. Така се улеснява процеса на подписване за сметка на неговата цена- поддържат се много повече електронни подписи. За съжаление, получаващата страна не се облекчава напълно, защото тя трябва да проверява достоверността на много повече подписи.

Jim Minihan не съобщава за вътрешно фирмена практика на “размножени подписи”, което е логично. За подобни цели (подписване на различни по тип волеизявления) фирмите обикновено използват Log-данни. В статията си той посочва, че използването на няколко подписа се практикува на ниво агенции в органите на федералната и щатската администрация. В случая “специализацията” на подписите е свързана не с маркиране на типа на волеизявлението, а с повишаването на сигурността на работа, просто защото е по-трудно да се “хакнат” няколко подписа.


В заключение може да се каже, че данните за възприемането на ЕП в САЩ до сега сочат, че евентуален преход към XML-подпис в момента не стои на дневен ред. Нека припомним, че той има за задача да компенсира най-големия недостатък на PKI- невъзможността да се подписва контекста на самия процес на подписване, тоест подписване на информационни структури с произволна организация, формиращи в организационен и съдържателен аспект съответното волеизявление.
Все още обикновените потребители в САЩ смятат, че в PKI “има твърде много наука” и трудно му се доверяват за критични приложения. В XML-подписа има много повече наука и много трудно се удовлетворява принципа “подписващ това което виждаш- виждаш всичко, което е подписано”, просто защото вече става дума за структури от данни.

Със сигурност ще се намери решение на техническите проблеми.

Дали и как ще се намери решение на проблема с доверието- бъдещето ще покаже...

Л.Благоев, USW Ltd.

Септември, 2003г.


- –

www.usw.bg usw@usw.bg

София 1309, Зона Б-19, бл. 15-16, вх. А, ет.3, тел. 920 08 95




База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница