Видео: как в Эстонии можно смухлевать с дигитальной подписью

Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Copy
Фото иллюстративное.
Фото иллюстративное. Фото: Mihkel Maripuu

https://journals.sas.ac.uk/deeslr/article/view/5076Приглашенный лектор Тартуского университета Тыну Метс и ученый Арнис Паршовс открыли способ, как можно изменить дату и время, когда документ был подписан дигитально, следовательно, по их мнению, дигитальная подпись – не лучший способ юридически доказать, когда документ был подписан.

Согласно оценке авторов научной статьи «Время подписания в дигитальных подписях Эстонии», подписанный файл не должен показывать дату и время, когда он был подписан, поскольку эти показатели можно изменить с помощью стороннего программного обеспечения. ПО изменит время, когда был сделан запрос действующего сертификата, соответственно изменится и время выставления подписи, что и было доказано в научной работе. То есть подпись могла быть поставлена два года назад, а в документе отображается сегодняшняя дата.

Тут возникает юридическая проблема, ведь тогда невозможно быть уверенным, были ли сертификаты человека, подписавшего документ, действительными на момент подписи.

Ученые продемонстрировали это наглядно на примере закона о кибербезопасности, дигитально подписанном Керсти Кальюлайд в мае 2018 года. В итоге дата изменилась на 22 октября этого года:

Тыну Метс и Арнис Паршовс проинформировали о проблеме Департамент государственной инфосистемы (RIA), а также Министерство экономики и коммуникации, предложив решение, как это изменить.

К примеру, Метс и Паршовс считают, что разумно было бы отказаться от требования устанавливать время подписи и изменить продолжительность жизни сертификата таким образом, чтобы сертификат выдавался владельцу ИД-карты сразу после ее выдачи ему и действовал до момента истечения срока действия карты или ее аннулирования. По их оценке, следует исключить ситуацию, когда недействительный более сертификат может стать снова действительным, что означает, следует отказаться от возможности приостановки действия сертификата.

В первую очередь, следует обновить программное обеспечение DigiDoc, которое на данный момент показывает временной штамп будто это время подписи, хотя на самом деле это время, когда был послан запрос для контроля действительности сертификата.

Руководитель отдела электронной идентификации Департамента государственных инфосистем Маргус Арм сказал, что дигитальная подпись действует даже тогда, когда ее время было изменено на позднее. «В случае подписи самое важное — это волеизъявление человека, и статья не ставит это под сомнение. Также речь не идет об уязвимости или проблеме. Содержание подписанного документа изменить никак невозможно», – отметил Арм. По его словам, также невозможно изменить время подписи на прошлое или будущее время.

Наверх