Цифровые подписи с использованием PKR Entreprise
Мы являемся глобальным предприятием с тысячами сотрудников по всему миру. У нас есть собственная инфраструктура PKI, которой наши системы доверяют внутренне, но внешне она не известна.
Мы подписываем контракты с нашими клиентами. Существует постоянный "безбумажный" проект, целью которого является отказ от физических контрастов и использование электронных.
Мое руководство просит меня внедрить цифровые подписи на таких контрактах, используя нашу собственную инфраструктуру PKI.
Мой вопрос заключается в том, имеют ли цифровые подписи, созданные с использованием нашей PKI, какую-либо дополнительную ценность? Или нам абсолютно необходимо использовать PKI/CA, который распространяется по всему миру (например, Digicert или Verisign)?
1 ответ
Мой вопрос заключается в том, имеют ли цифровые подписи, созданные с использованием нашей PKI, какую-либо дополнительную ценность?
Ценность для кого?
Суть инфраструктуры открытых ключей заключается в создании цепочки доверия. Тот, кто доверяет вашему ЦС, будет доверять всем сертификатам, выпущенным этим ЦС, и, следовательно, также доверять цифровой подписи, выпущенной с этими сертификатами. Так что, если ваши партнеры доверяют вашему ЦС, то подпись, выданная им, имеет ценность. Если нет, то нет.
Таким образом, вопрос, который вы должны задать, состоит в следующем: по какой причине люди за пределами вашей организации должны верить, что ваш ЦС следует какому-либо стандарту при выдаче, управлении и отзыве сертификатов?
Смысл использования сторонней службы подписи заключается в том, что третья сторона должна была быть проверена доверенным лицом, чтобы и у вас, и у других соответствующих сторон были веские основания доверять им. Если вы находитесь в ЕС, eIDAS устанавливает специальные правила для так называемых "(квалифицированных) поставщиков трастовых услуг", и компании, которые хотят выпускать подписи, доверяемые в соответствии с этим набором правил, должны специально проверяться на соответствие этим правилам.
Следует также отметить, что сертификаты, используемые для веб-серверов, обычно не используются для цифровой подписи документов.
Если этот ответ кажется неясным, возможно, это потому, что это огромный вопрос, и для любого ответа в основном потребуется глубокое понимание ваших требований и существующих систем PKI, а также руководящих принципов, правил и законов, применимых к вам и вашим коллегам. Если в вашей компании никого нет с такими знаниями, я настоятельно рекомендую вам использовать внешний опыт. Это будет дорого, но намного дешевле, чем через несколько лет узнать в суде, что какая-то подпись не имеет юридической силы, когда вы об этом думали.
В электронном виде доверие устанавливается с помощью сертификатов цифровой подписи. Следовательно, вы можете приобрести DSC в любом из всемирно доверенных удостоверяющих центров.