ユーザーはウェブサイトを使用して取引を行っています。 Webサイトで生成されたPDFファイル(契約やレポートのようなもの)。ユーザーはこのファイルのデジタル署名を実行します(紙の契約に手書きの署名に似ています)。政府発行のRSA証明書を使用します。
現在、これは次のように機能します。
PDFファイルを1回生成しています。次に、そのファイルのSHA-512チェックサムを計算します。このチェックサムをユーザーに送信します。ユーザーはこのチェックサムのデジタル署名を実行し、証明書と署名を送信します。
PDFを生成するとき、URLにQRコードを組み込みます https://server.com/deal/123/report 。ユーザーはPDFを印刷し、このQRコードをスキャンし、このURLに移動し、ログインの詳細を入力して、PDFそのURLを使用してダウンロードできます。だれかが署名したことを証明するものはありませんPDF(ただし、データベースには署名があり、必要に応じて証明できます)。
それらの基準はありますか?デジタル署名のように、紙に印刷し、いくつかの標準ソフトウェアで検証するなど。
私は今、次のアプローチを考えています:
開始は今と同じですが、ユーザーが最初のPDFに署名すると、2番目のPDFはQRコードとして組み込まれた署名で生成されます。最初のPDFは削除されません、もちろん、ユーザーは最初にPDFをダウンロードでき、2番目のpdfユーザーのQRコードからの情報を使用して、署名が本当に正しいことを確認できます。しかし、もちろん、それを確認するには特別なソフトウェアが必要です。
あなたの質問は良いものです。基本的な問題は、デジタル署名がデジタルデータに関連付けられていることです。そして(等しく重要なことですが)、署名を検証するには、元のデジタルデータへのアクセスが必要です。
したがって、伝送媒体はデジタルである必要があります。
3つの答え:
紙のコピーは実際の(デジタル)オリジナルへのポインタです
このシナリオでは、紙の印刷物には、サーバーに保存されている実際のオリジナルのQRコードが含まれています。これは、サーバーに保存されている実際のオリジナルへのポインタにすぎないため、印刷された紙の有効性を証明することを心配する必要はありません。
受信者(依存パーティ)は、常にサーバーコピーを調べて、何が含まれているかを確認し、標準のデジタル署名を確認する必要があります。
受信者が紙の印刷物の内容に依存できるとは思わないようにするため、紙の印刷物には最小限の情報を入れたいと思うでしょう。信頼性のある。
紙のコピーは単に「契約はdateによってsignerオリジナルをダウンロードし、QRコードを使用して署名を確認してください。」
QRコード自体に含まれているものに加えて、ユーザー名やパスワードを必要としないことをお勧めします。
紙のコピーのデータを確認できます
この場合、オンライン版のデータを必要とせずに、受信者が紙のコピーのデータを検証できるようにする必要があります。残念ながら、紙への通常の印刷はデジタルではありません(OCRは100%正確ではなく、再現性もありません)。
だから私はあなたの質問を次のように再キャストします"紙を使用してデジタルデータを確実に送信するにはどうすればよいですか?"
最近では、3Dバーコードや特別なOCRフォントを含む回答があります。コンテンツの量に応じて、元のテキストをデジタル署名されたpdfファイルとしてQRコードに含めます。ページに元のテキストのコピーを含めることができます。
上記と同じ問題が発生します。ドキュメントのテキストがページ上で読める場合、署名されたテキストとまったく同じであることを確認することは非常に困難または非現実的です。一方、紛争はまれです。印刷されたバージョンは、必要に応じて確認できます。
紙のコピーは署名されたデータの表現です
これらの種類のドキュメントは、証明書利用者によって常に受け入れられます(これらはFAXと呼ばれます)。 FAX送信された文書の法的有効性については、多くの判例法があります。法律は州や国によって異なるため、地元の弁護士に相談してください。
元のドキュメントの複製が容認可能で合法である場合は、デジタル署名されたドキュメントの表現を印刷するだけで済みます。うまくいけば、グラフィック署名がデジタル署名者によって提供されました。そうでない場合は、証明書の署名者の共通名とスクリプトフォントを使用して作成できます。重要な問題は、チャレンジで必要になった場合に、元のデジタル署名されたドキュメントを取得できるようにする参照番号を含めることです。 DocuSignと他のベンダーがこれを行います。オンラインバージョンの参照番号をメモします。