Мы - глобальное предприятие с тысячами сотрудников по всему миру. У нас есть собственная инфраструктура PKI, которой наши системы доверяют, но неизвестной извне.
Заключаем договоры с нашими клиентами. В настоящее время реализуется «безбумажный» проект, цель которого - отказаться от физических материалов и использовать вместо них электронные.
Мое руководство просит меня внедрить цифровые подписи в такие контракты, используя нашу собственную инфраструктуру PKI.
У меня вопрос: имеют ли цифровые подписи, созданные с использованием нашей PKI, дополнительную ценность? Или нам абсолютно необходимо использовать PKI / CA, распространенную по всему миру (например, Digicert или Verisign)?
У меня вопрос: имеют ли цифровые подписи, созданные с использованием нашей PKI, дополнительную ценность?
Значение для кому?
Суть инфраструктуры открытых ключей - создать цепочку доверия. Тот, кто доверяет вашему ЦС, будет доверять всем сертификатам, выданным этим ЦС, и, следовательно, также будет доверять цифровой подписи, выпущенной с этими сертификатами. Поэтому, если ваши партнеры доверяют вашему ЦС, то подписанная им подпись имеет значение. Если нет, то нет.
Итак, вам следует задать вопрос: По какой причине люди за пределами вашей организации должны верить, что ваш центр сертификации следует каким-либо стандартам при выдаче, управлении и отзыве сертификатов?
Смысл использования сторонней службы подписи заключается в том, что третья сторона должна быть затем проверена доверенным лицом, чтобы и у вас, и у других соответствующих сторон были веские основания доверять им. Если вы находитесь в ЕС, eIDAS устанавливает определенные правила для так называемых «(квалифицированных) поставщиков услуг доверия», и компании, которые хотят выпускать подписи, которым доверяют в соответствии с этим набором правил, должны пройти аудит специально на соответствие этим правилам.
Следует также отметить, что сертификаты, используемые для веб-серверов, обычно не используются для цифровой подписи документов.
Если этот ответ кажется неясным, вероятно, это потому, что это огромный вопрос, и для любого ответа в основном потребуется тщательное понимание ваших требований и текущих систем PKI, а также руководящих принципов, правил и законов, применимых к вам и вашим партнерам. Если в вашей компании нет никого с такими знаниями, я настоятельно рекомендую вам воспользоваться услугами сторонних специалистов. Это будет дорого, но намного дешевле, чем через несколько лет узнать в суде, что какая-то подпись не имеет юридической силы, как вы думали.