web-dev-qa-db-fra.com

Les documents sont-ils vraiment «signés» par DocuSign?

Je n'ai jamais été satisfait de l'explication que DocuSign donne dans son propre matériel marketing (par exemple https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital- signature-faq , https://www.docusign.com/products/electronic-signature et https://www.docusign.com/how-it-works/ sécurité ). J'ai un certain nombre de questions:

  1. Pour moi, si je veux qu'un document soit signé, je dois chiffrer le hachage du document avec ma clé privée, et tout destinataire peut vérifier la signature en déchiffrant le hachage de ma signature et en le comparant avec leur propre recalcul du hachage. Sur DocuSign, je ne peux pas voir où ni comment je peux fournir ma propre clé privée (ce qui constituerait un énorme problème de sécurité en soi), ni me laisser garder ma clé privée privée (c'est-à-dire dans mes locaux, pas téléchargée sur leur serveur). Il n'y a également aucune mention d'une clé publique - en fait, il n'y a aucun moyen pour moi de vérifier l'intégrité et la paternité d'un document car DocuSign ne me donne tout simplement pas ce type de métadonnées, je dois juste prendre leur mot pour cela le document n'a pas été falsifié.

  2. Comment DocuSign vérifie-t-il l'identité de manière significative? Jusqu'à présent, tout ce que je peux dire, c'est qu'ils peuvent vérifier la propriété de l'adresse e-mail (ou au moins l'accès à la boîte aux lettres ), je ne me souviens pas avoir été obligé de vérifier mon identité par téléchargement de permis de conduire ou de passeport - alors comment est-ce juridiquement considéré comme une preuve d'identité? En quoi est-ce une signature si elle ne peut pas être liée de manière prouvable à mon identité réelle? N'importe qui pouvait réclamer une de mes adresses Hotmail expirées et créer un compte DocuSign pour moi et signer des choses avec.

  3. J'ai un problème avec DocuSign étant simultanément 1) le vérificateur d'identité, 2) le détenteur des documents, et 3) le générateur des signatures - le fait qu'il s'agisse d'une seule entité juridique signifie qu'ils ont les aspects juridiques, et certainement techniques, les moyens de modifier tout document, sa signature et les réclamations concernant cette signature; compte tenu des événements récents dans lesquels certains gouvernements des premières nations tentent de contraindre les entreprises à décrypter leurs données, cela signifie que je ne considérerai probablement pas DocuSign suffisamment fiable pour "signer" quoi que ce soit d'important. Il y a aussi le fait que la base de code de DocuSign est propriétaire et non accessible - je dois prendre leur mot (sur leur page d'accueil, pas moins) qu'ils ont été audités de manière indépendante et que l'audit signifie quelque chose.

  4. Je n'aime pas non plus la façon dont ils génèrent une fausse image de "signature" manuscrite - je pensais qu'il était établi que le simple fait d'avoir une photo de l'écriture de quelqu'un à côté d'un texte ne constitue pas une signature. Je suis préoccupé par l'effet que cela peut avoir sur les utilisateurs: une sorte de " effet CSI " où le crypto-profane pensera qu'une image de leur signature est suffisante et appliquera ensuite ce "fait" appris à d'autres plates-formes, ce qui aggrave la sensibilisation du public à l'ICP (après tous les progrès que nous avons faits pour éduquer les utilisateurs sur SSL).

Compte tenu des problèmes que je trouve dans DocuSign ci-dessus - si j'étais impliqué dans une affaire juridique, telle qu'un litige contractuel, et que la version sur DocuSign est présentée comme preuve - l'une ou l'autre des parties au procès peut-elle légitimement prétendre que le document DocuSign est bona- fide, à l'inverse, avec quelle facilité l'autre partie pourrait-elle montrer que la "signature" n'est pas fiable?

par exemple, quelqu'un peut-il résumer le service de DocuSign et dire catégoriquement s'il est cryptographiquement, ou au moins légalement, sain?

digital-signaturelegal
25
The D

Une signature est, en fin de compte, un concept juridique. Lorsque vous signez un document, vous produisez vraiment une arme légale visant votre propre tête (vous voulez donc généralement que d'autres personnes signent des choses, pas les signer vous-même). La valeur d'une signature vient de son pouvoir juridique, c'est-à-dire de la mesure dans laquelle elle permettra d'appliquer la responsabilité et la faute au signataire. Les éléments cryptographiques (RSA et ainsi de suite) ne sont que des outils qui peuvent aider à construire le côté technique des choses, mais cela ne suffit pas. En fin de compte, il doit y avoir une sorte de cadre juridique qui définit les signatures.

Bien sûr, cela dépendra de la juridiction. Néanmoins, les pays/États qui définissent actuellement des lois pour les signatures électroniques ont tendance à suivre la même voie:

  • Une signature est obligatoire tant qu'elle a été réellement signée par le signataire présumé. Cela semble tautologique, mais c'est une définition importante: elle dit vraiment que la valeur juridique de la signature n'est intrinsèque à aucune technologie spécifique. Écrire votre nom à la fin d'un e-mail est une signature.

  • Ce qui compte, c'est la charge de la preuve . Les cadres juridiques séparent normalement les systèmes en deux catégories: ceux pour lesquels les signatures sont réputées bonnes, et c'est la partie qui nie avoir signé qui doit faire tout l'épreuvage; et ceux pour lesquels les signatures sont réputées sans valeur à moins qu'une preuve positive d'attribution au signataire présumé ne soit présentée. "Nom à la fin d'un e-mail" appartient à cette dernière catégorie; une preuve positive peut être simplement un témoin qui a vu le signataire taper le courriel.

  • La référence pour les signatures est des signatures manuscrites, qui sont, techniquement parlant, absolument terribles. Ils sont difficiles à valider et peuvent être truqués. Les signatures manuscrites sont toujours utilisées grâce à un cadre juridique qui punit sévèrement quiconque nie sa propre signature. Étant donné que les signatures manuscrites se produisent dans le monde physique, l'acte même de signer (avec un stylo) laisse beaucoup de traces (témoins, etc.), de sorte que beaucoup de gens trouvent finalement que répudier leurs propres signatures est trop risqué.

  • Une autre complication est que les systèmes juridiques de la tradition de "Common Law" ont tendance à s'appuyer sur la jurisprudence pour aplanir les détails, de sorte que des pays comme les États-Unis et le Royaume-Uni auront probablement des cadres juridiques pour les signatures qui se résument à "attendre et voir" (" vous voir au tribunal ", je veux dire).

En France (qui a un système de droit très "latin" qui aime vraiment les définitions rigoureuses préétablies, à la manière de Descartes), le cadre juridique définit des systèmes qui sont qualifiés , ce qui signifie qu'ils sont passés par des audits indépendants et un processus administratif qui a toute la simplicité que l'on peut attendre de la bureaucratie française, à l'effet que pour ces systèmes, la charge de la preuve incombe à celui qui prétend que la signature est sans engagement. La liste des systèmes qualifiés est publiée et je n'y vois aucun DocuSign [modifier - au 21 juillet 2017, DocuSign La France est désormais cotée].

DocuSign a un page dédié au côté légalité des choses - qui est en fait beaucoup plus important que la technologie. En particulier, ils disent ceci:

Bien que DocuSign ait réussi à fournir aux clients toutes les preuves dont ils ont besoin pour défendre leurs documents contre la répudiation, DocuSign est disponible pour aider nos clients à résoudre les problèmes juridiques en témoignant devant un tribunal pour soutenir la validité des documents DocuSigned.

qui implicitement admet que leur système a tendance à être du type "doit prouver la validité", c'est-à-dire pas celui que vous souhaitez - mais ils prétendent avoir eu de bons résultats dans certains tribunaux, et qu'ils vous aideront. À ce stade, je dirais que si vous souhaitez utiliser DocuSign pour faire signer des choses à vos clients/partenaires commerciaux, vous feriez mieux de vous assurer qu'il existe des clauses appropriées dans votre contrat qui garantissent un niveau élevé d'aide de DocuSign, avec assurance et ainsi de suite. Votre équipe d'avocats devrait être impliquée.

21
Thomas Pornin

Voir https://crypto.stackexchange.com/questions/29501/how-can-cryptographic-signatures-be-somehow-linked-to-a-physical-signature pour une explication exceptionnelle de la façon dont DocuSign fonctionne réellement - y compris leur utilisation ou leur cryptographie (ou leur absence). En bref, DocuSign fonctionne essentiellement comme un "témoin" pour attester qu'une personne ayant accès au compte d'un utilisateur particulier a accepté les termes d'un document particulier. Bien que DocuSign vante l'utilisation de la cryptographie dans ses supports marketing, la cryptographie ne joue en fait pas un rôle intégral dans le processus de `` signature ''.

4
mti2935

On m'a demandé de "signer" un document DocuSign et moi aussi j'ai été mystifié par le processus.

Au Canada, la signature numérique est couverte, pour autant que je sache, par la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques). D'une copie à jour au 26 octobre 2016, la section "Signature électronique sécurisée" indique que:

Le gouverneur en conseil ne peut prescrire une technologie ou un processus que s'il est convaincu qu'il peut être prouvé que

a) la signature électronique résultant de l'utilisation par une personne de la technologie ou du procédé est unique à la personne; (b) l'utilisation de la technologie ou du processus par une personne pour incorporer, joindre ou associer la signature électronique de la personne à un document électronique est sous le contrôle exclusif de la personne;

(c) la la technologie ou le processus peut être utilisé pour identifier la personne utilisant la technologie ou le processus; et

(d) la signature électronique peut être liée à un document électronique de telle manière qu'elle puisse être utilisée pour déterminer si le document électronique a été modifié depuis l'incorporation de la signature électronique in, attaché ou associé au document électronique.

Si j'ai raison ici et si vous êtes au Canada, les points clés sont les suivants: le processus doit être sous le contrôle complet/exclusif de la personne qui signe, la signature peut être retracée jusqu'à vous, et ce même la signature doit pouvoir montrer que le document n'a pas été modifié.

Donc, DocuSign fait réellement la signature numérique, pas vous/moi.

Je ne comprends pas comment, par exemple, en ne créant pas de compte avec Docusign, en ne générant pas une paire de clés PKI auto-signée par vous-même , DocuSign pense que cela peut être qualifié de "sous le contrôle exclusif de la personne". Toutes les autres objections soulevées ici m'ont également troublé. Au moins la misère a de la compagnie, hein.

2
ThaumaTechnician

1: Vous le chiffrez avec votre clé publique et vous le déchiffrez avec votre clé privée. Vous signez avec votre clé privée qui est vérifiée avec votre clé publique. REMARQUE: N'envoyez jamais votre clé privée n'importe où!

Je ne vois aucun moyen d'obtenir la clé publique de DS, ce qui n'a aucun sens. Il n'y a aucune raison de les cacher.

2: Il ne nécessite pas de vérification de l'identité du signataire. La page de DocuSign sur https://www.docusign.com/how-it-works/security#enforceability semble forte, mais un avocat compétent la détruirait rapidement. Plus précisément, ils réclament une non-répudiation "recevable par le tribunal" pour: Noms des parties signataires Signatures numériques Adresses e-mail Adresses IP publiques Lieu de signature (si fourni) Chaîne de possession (envoyée, consultée, signée, etc.) Horodatages Le problème est, tous de ceux-ci peuvent être facilement usurpés à l'exception des horodatages, qui sans le reste ne valent rien.

3: Tu as raison. Notez qu'ils ne valident pas votre identité et ne signent pas votre clé. Ils n'utilisent pas votre clé publique et ne vous permettent pas de signer avec votre clé privée. C'est tout à eux apparemment, ce qui n'est pas bon.

4: Je n'aime pas ça non plus. Je refuse de permettre que ma signature écrite soit jointe à un e-mail non sécurisé.

Vous êtes vraiment au-dessus de cela. C'est un peu une imposture pour les gens qui ne connaissent pas mieux. Est-ce légitime? C'est une entreprise légitime qui fournit ce qui semble être des services de signature numérique de haute qualité. Certes, c'est beaucoup mieux que ces solutions qui reposent uniquement sur une signature graphique. Il IS un pas dans la bonne direction. Mais il y a beaucoup de choses à se méfier, et j'espère qu'ils le corrigeront bientôt (peu probable).

2
Robert

La réponse technique est couverte par plusieurs des réponses ci-dessus. La signature repose sur une chaîne de confiance reliant la PKI DocuSign à la confiance dans leur capacité à affirmer votre identité via le cadre d'authentification DocuSign. Pour illustrer ce point, les scénarios ci-dessous utilisent le même mécanisme de base pour fournir des niveaux croissants de confiance dans la signature, et donc le degré de résistance de leur signature devant les tribunaux.

  1. Signature DocuSign PKI basée sur une adresse e-mail validée. Pour l'expéditeur d'origine, cela représente probablement un faible niveau de confiance, car il existe peu de garanties quant à la possibilité d'associer l'adresse e-mail utilisée pour valider l'identité DocuSign à une personne réelle.

  2. DocuSign PKI basé sur l'authentification activée par Single Sign-On (SSO) d'entreprise. La plupart des organisations utilisent l'authentification unique pour établir un niveau de confiance (par exemple en étant témoin) qu'un utilisateur dans leurs systèmes d'entreprise est qui il dit être, par exemple. Les processus RH aideront à établir un lien entre une personne réelle et son identité sur les systèmes d'entreprise, et donc le lien entre une identité DocuSign et l'identité SSO utilisée pour l'authentifier. DocuSign l'encode dans leur signature PKI (DocuSign utilisateur X a signé le document Y à Z), et étant donné que vous faites confiance à DocuSign pour vérifier que l'utilisateur que vous pouvez faire confiance est bien celui qu'il a dit.

  3. DocuSign PKI basé sur SSO organisationnel avec authentification multifacteur. Comme indiqué ci-dessus, cela fournit un lien solide entre une identité physique réelle et l'identité vérifiée SSO d'entreprise, et leur identité DocuSign associée qui est ensuite codée dans la signature numérique DocuSign (par exemple, l'utilisateur DocuSign X a signé un document à la date Y). L'authentification multifacteur offre un degré de confiance supplémentaire que l'utilisateur s'authentifiant auprès de DocuSign est bien celui qu'il prétend être, c'est-à-dire qu'il ne s'agit pas seulement d'un pirate informatique qui a piraté à distance un compte d'entreprise.

Donc, sur cette base - et couvrant explicitement vos points:

  1. C'est un peu manquer le point - car c'est la capacité de Docusign à identifier les utilisateurs et à garder sa propre PKI sécurisée qui est la base de la confiance dans leurs signatures.

  2. Je suis d'accord avec toi. Toutes les identités DocuSign ne sont pas égales et la confiance repose sur des facteurs tels que l'authentification. Il convient de noter que dans notre cas d'utilisation proposé, nous améliorons davantage la sécurité grâce à plusieurs signatures, c'est-à-dire qu'il est possible que l'utilisateur X de l'organisation ait piraté son identité électronique, mais il est beaucoup moins probable que les trois signatures requises pour la signature d'un document aient été piratées.

  3. En fin de compte, toutes les signatures sont basées sur la confiance - soit la confiance dans une seule entité, soit la confiance dans une chaîne d'entités. Par exemple, tous les systèmes basés sur PKI sont basés sur la confiance dans les autorités de certification racine. Je dirais que le fait d'avoir une entreprise vérifiée en externe, avec un fort engagement en matière de divulgation est à peu près aussi fiable que possible. La confiance vient du fait que la valeur d'une entreprise disparaîtrait très certainement si elle venait à mentir ou à avoir des failles de sécurité. Avez-vous suivi ce qui est arrivé à RSA suite à ses violations? Ce n'est pas que vous ayez une confiance totale en DocuSign, mais vous leur faites confiance par rapport à d'autres options. Comme d'autres l'ont dit - comment savez-vous que la signature humide sur laquelle vous vous appuyez est fiable?

  4. La signature manuscrite est un régal pour les yeux. Si vous ouvrez un PDF PDF signé, vous pourrez valider la signature numérique basée sur la chaîne de confiance vers l'autorité de certification racine qui a signé la clé de signature de DocuSign.

0
Michael