Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Биометрическая цифровая подпись + КриптоПро ЭЦП
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline NikitaGrigorev  
#1 Оставлено : 13 ноября 2019 г. 20:32:14(UTC)
NikitaGrigorev

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 6
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 3 раз
Добрый вечер. Хотелось бы услышать критику и советы.

В основе нашего проекта лежит технология захвата биометрических данных подписи (пациента) при помощи планшета Wacom.
Объект подписи Wacom представляет собой закодированную строку, содержащую силу нажатия и координаты в каждый момент времени, информацию о времени подписания, месте и т.д.
Объект подписи может быть расшифрован экспертом-графологом только при помощи ПО от Wacom.

Далее PDF документ (медицинское согласие) подписывается ЭЦП нашей организации от КриптоПро, а в графу "Контактная информация" ЭЦП добавляется этот объект подписи от Wacom.
Это гарантирует неизменность биометрических данных и соответствие даты и причины подписи в ЭЦП и в объекте биометрической подписи.

1) В законе нет упоминания о таком методе электронной подписи, насколько с юридической точки зрения верно выстроен алгоритм наложения подписи?
2) Руководство требует указать в каждом документе дополнительным пунктом, что он подписан биометрической подписью, какую формулировку лучше использовать? Сейчас визуально в блоке подписи в PDF - только изображение полученной подписи с планшета для визуального восприятия клиентом и печати на бумаге.

У кого какие мысли по этому поводу?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline two_oceans  
#2 Оставлено : 14 ноября 2019 г. 12:01:31(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
Честно, медицина со своими согласиями немного напрягает. Сам был в ситуации когда мне предложили расписаться ушибленной правой рукой что согласен с лечением и отказываюсь от больничного. Ну правда, по клавишам нажимать я могу и левой рукой, а вот расписаться не ведущей рукой посложнее будет.

Ближе к технической стороне. Фундаментальная проблема в том что ЭП организации, а не человека. Другими словами, организация удостоверяет что именно было подписано человеком. В случае претензий к этой организации (допустим, человек говорит что не ставил подпись) подпись самой организации не выглядит как убедительное доказательство. Допустим докажете (графологом ага, в стране так много графологов с ПО для данного планшета), что подпись пацента. Что дальше, как докажете что подписывал он именно этот документ, а не какой-то другой? Ведь это по сути заверено именно ЭП организации.

Специальным пером пациент расписывается на планшете? Тогда мне непонятно что мешает расписаться на бумаге, ведь собственноручная подпись точно есть в законе. Можно проверить что из документа не вырезали кусочек с подписью и не приклеили к другому документу. Полагаю, биометрия имела бы смысл в случае когда пациент не мог расписаться, а просто прикладывал палец или подставлял глаз для сканирования (хотя это конечно можно сделать без осмысленного согласия человека). Сбербанк сейчас в разговорах с клиентом просит говорить "да" или "подтверждаю", хоть под эти тоже нет юридической основы и можно доказать отсутствие монтажа записи. Расписываться на планшете ради электронного документооборота? Полагаю проще выдавать пластиковые карты с чипом для ЭП как в банках или в некоторых университетах. Подпись на получение собственноручная, защита данных, предупреждение никому не давать и сообщать о потере. Снова все регламентировано законодательством.

Что мешает на планшете показывать одно, а подписывать другое? Тут наверно помог бы еще и скриншот экрана планшета на момент подписи, скриншот с биометрий и подписывать, а не какой-то там pdf файл.
Что помешает перевести часы планшета или часы источника времени? Сомнительно что в планшете есть высокоточный цезиевый репер частоты, значит он периодически синхронизируется с каким-то источником времени. По идее сама строка биометрии должна содержать метку сервера доверенного времени с хэшем биометрии.

Опять же не решает проблему взаимоотношений между объектами (биометрией, ЭП, скриншотом). Что помешает скопировать строчку биометрии в другую подпись с другим скриншотом и подписать ЭП организации? Метка доверенного времени показывает что данные не изменялись с некого достоверно известного момента, но нет защиты от изменения данных до получения метки доверенного времени. Удаляете метку, изменяете, получаете новую метку - готово. Просто времени между отметкой времени в биометрии и в ЭП организации как будто прошло больше времени.

Место - имеется место на планшете для графолога или GPS/глонасс? Тут тоже геолокация наверно мало что даст для доказательства подлинности, про графолога выше писал, что именно подписано так не докажете.

В итоге, с моей точки зрения, в данной схеме очень много дыр.

Отредактировано пользователем 14 ноября 2019 г. 12:02:36(UTC)  | Причина: Не указана
Вверх
thanks 2 пользователей поблагодарили two_oceans за этот пост.
NikitaGrigorev оставлено 15.11.2019(UTC), Андрей * оставлено 15.11.2019(UTC)
Offline nikolkas_spb  
#3 Оставлено : 15 ноября 2019 г. 8:51:25(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Автор: NikitaGrigorev Перейти к цитате
Добрый вечер. Хотелось бы услышать критику и советы.

В основе нашего проекта лежит технология захвата биометрических данных подписи (пациента) при помощи планшета Wacom.
Объект подписи Wacom представляет собой закодированную строку, содержащую силу нажатия и координаты в каждый момент времени, информацию о времени подписания, месте и т.д.
Объект подписи может быть расшифрован экспертом-графологом только при помощи ПО от Wacom.

Далее PDF документ (медицинское согласие) подписывается ЭЦП нашей организации от КриптоПро, а в графу "Контактная информация" ЭЦП добавляется этот объект подписи от Wacom.
Это гарантирует неизменность биометрических данных и соответствие даты и причины подписи в ЭЦП и в объекте биометрической подписи.

1) В законе нет упоминания о таком методе электронной подписи, насколько с юридической точки зрения верно выстроен алгоритм наложения подписи?
2) Руководство требует указать в каждом документе дополнительным пунктом, что он подписан биометрической подписью, какую формулировку лучше использовать? Сейчас визуально в блоке подписи в PDF - только изображение полученной подписи с планшета для визуального восприятия клиентом и печати на бумаге.

У кого какие мысли по этому поводу?




Камрад! ты меня напугал.
1. Всегда избегай термина "биометрический". иначе ты попадаешь под обработку "биометрических персональных данных". в нашей стране есть только одна организация, которая их полностью и правильно защищает. и это не Вы. на мой взгляд, то что Вы снимаете, не является биометрическими персональными данными. мне очень интересно, как Ваши юристы обосновали ценность этой информации как таковой. тут я согласен с камрадом two_oceans. как плотно работавшему с биометрией и ее защитой мне все это странно. защита биометрии - полный мрак.
2. Вы подписываете ЭП документ PDF. это означает, что после момента подписания ЭП в нем не вносились изменения и он относится к Вашей организации или ее сотруднику. и все! к содержимому это никак не относится. что там написано, нарисовано - не важно. данный момент можно просто опустить. кстати, Ваши сотрудники имеют право собирать биометрические данные?
3. собственноручная подпись - отдельная сложная тема. надо поднимать законодательство и спрашивать экспертов. боюсь, никто конкретно не скажет. вспомни, совсем недавно в паспортах расписывались только перьевой ручкой, сейчас разрешили гелевую и то возникает куча вопросов с разными альтернативно одаренными. использование планшет для данных целей - вопросы.
4. если Вы хотите придать какую-нибудь значимость информации с планшета, что он и ПО его д.б. сертифицированы, д.б. сертифицированные СКЗИ и т.д.
5. по закону 152: "Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные)". насколько мне известно - личная подпись не является такими сведениями. Т.е. мы в начале устанавливаем личность человека, потом сверяем его подпись.
6. по закону 152: "могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." ну т.е. письменное согласие все равно придется брать.
7. тебе до кучи: Распоряжение Правительства РФ от 30.06.2018 N 1322-р (ред. от 13.09.2019) <Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации>

извини, как то много.
Цена свободы - вечная бдительность!
Вверх
thanks 1 пользователь поблагодарил nikolkas_spb за этот пост.
NikitaGrigorev оставлено 15.11.2019(UTC)
Offline NikitaGrigorev  
#4 Оставлено : 15 ноября 2019 г. 12:32:33(UTC)
NikitaGrigorev

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 6
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 3 раз
Спасибо за развернутые ответы.

Назревает вопрос: как выстроен алгоритм получения подписи с планшета и его юридическое обоснование в других организациях в РФ, в том числе крупных?

Возможно, это квалифицируется как Простая Цифровая Подпись в связке со внешним документом, подписанным обычной подписью, описывающим
а) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
б) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
(п.2 ст.6 63-ФЗ).

Но даже если это решает проблему юридической значимости, теряется основной смысл интеграции подписи с планшета в систему.

Вверх
Offline nikolkas_spb  
#5 Оставлено : 15 ноября 2019 г. 13:12:01(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Автор: NikitaGrigorev Перейти к цитате
Спасибо за развернутые ответы.

Назревает вопрос: как выстроен алгоритм получения подписи с планшета и его юридическое обоснование в других организациях в РФ, в том числе крупных?

Возможно, это квалифицируется как Простая Цифровая Подпись в связке со внешним документом, подписанным обычной подписью, описывающим
а) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
б) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
(п.2 ст.6 63-ФЗ).

Но даже если это решает проблему юридической значимости, теряется основной смысл интеграции подписи с планшета в систему.



Думаю, это там идет как внутренняя фишка. все равно рукописная подпись рулит. акулы бизнеса типа сбербанка могут и наплевать на некоторые моменты, в т.ч. в плане биометрии, там другой уровень договоренностей. т.е. защита от честных людей, плюс ты в договоре соглашаешься с такой ситуацией. в случае разборок - сам виноват.
не забывай - у тебя не подписи гражданина. то что на планшете - это некие данные, включая изображение и прочую муть, НЕ ЯВЛЯЮЩИЕСЯ аналогом собственноручной подписи.
ссылка по теме: https://bankir.ru/publik...ychnoi-podpisi-1384098/.
Даже если удастся как то это урегулировать в законе, думаю, что единственным лицом могущим это подтвердить будет нотариус. ибо сотрудник организации не имеет таких полномочий. Жаль доступа к докам нет, прям интересно как сбербанк выкрутился.
в моей биометрии скан подписи брался при получении остальной биометрии должностным лицом на аттестованном оборудовании. и это был вспомогательные данные.
пы.сы. если пошла такая пьянка, у тебя в планшете д.б. образцы подписей планируемых подписантов. иначе как ты поймешь что это его подпись? с чем сравнивать? удостоверяющее лицо должно видеть образец в паспорте или в планшете. вдруг чувак пошутить решит?
Цена свободы - вечная бдительность!
Вверх
thanks 1 пользователь поблагодарил nikolkas_spb за этот пост.
two_oceans оставлено 18.11.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET