Garyaпропущено...
Можно подписать ЭЦП файл и даже сохранить отпечаток ЭЦП где-то в самом исполняемом файле или рядом с ним.
Поскольку отпечаток ЭЦП не содержит в явном виде закрытый ключ (не является "контейнером"), изменить исполнимый файл (либо какой-то другой, подписанный этой ЭЦП) таким образом, чтобы ЭЦП осталась с ним в согласованном состоянии, не получится.
Это понятно, но мне это не нужно, речь о защите прав на результат интеллектуальной деятельности, выраженный в первую очередь в виде исходных текстов, бинарники - отдельная история, хоть и тоже результат.
Но бинарники в ФИПС скорее всего никто не отправляет?
GaryaОднако, отпечаток ЭЦП - это аналог простой подписи. А подпись, это всего лишь подпись, не более того. Она удостоверяет, что тот, кто подписал, сделал это осознанно, и, по идее, должен был ознакомиться предварительно с некой информацией, которую он удостоверяет этой подписью. Если, к примеру, я поставлю свою подпись на каком-нибудь продукте Microsoft (или на коробке с этим продуктом), то это еще не значит, что именно я являюсь производителем этого продукта. :)
Это понятно, я уже упоминал, что подпись при таком использовании является нежелательным побочным эффектом, главное штамп времени, кстати, может быть, КриптоАрм может генерировать только штамп времени (подпись сервера времени УЦ на хэше моего файла) без подписи файла?
Garyaserious_studentМожно ли с помощью таких меток отстаивать свои права в судах РФ наравне с депонированием материалов нотариусу, ФИПС и т.п.?Ну, для начала, нужно заметить, что все аспекты, которые оговариваются
законом 63-ФЗ "Об электронной подписи" нацелены на подтверждение информационного
обмена между некими участниками хозяйственной деятельности.
Как это понимать? Что значит нацелены? Где в законах указано требование обмена?
По понятным причинам никто не хочет никуда отправлять свои исходники, до тех пор пока этого не потребует суд для доказательства авторства.
GaryaЕсли Вы зарегистрируетесь в системе электронного документооборота на какой-либо электронной площадке (а их великое множество), вся информация, которую Вы получаете либо отправляете через эту площадку, фиксируется не просто и не только электронной подписью того, кто отправил информацию, но и неким "независимым лицом" - этой самой электронной площадкой. Она подтверждает, что подпись действительно того кого надо, что информация действительно была отправлена и/или получена, и что это произошло тогда-то.
А УЦ со штампом времени не является независимым лицом и не фиксирует гарантированно, что информация существовала на определенный момент времени (ТОГДА ТО)?
Garya В случае возникновения спорных вопросов
между обменивающимися информацией сторонами электронная площадка выступает в роли арбитра - она может подтвердить и технически
В роли эксперта скорее всего, от силы в качестве третейского судьи? арбитром то суд РФ является?
Garyaи это будет иметь юридическую силу, что такая-то информация была отправлена и/или получена от отправителя А или получателем Б именно тогда-то.
Зачем мне что-либо куда-либо отправлять и получать по этому поводу доказательства от площадки?
GaryaДля того, чтобы что-либо подтверждать, нужно, чтобы и А, и Б заключили договор с электронной площадкой - сами и добровольно. Несмотря на наличие ЭЦП на каком-либо файле, если отправка информации произошла без использования соответствующей процедуры, то есть, без использования посредника-площадки, имеющей соответствующую лицензию ФСТЭК,
Походит на рекламу площадок
serious_studentналичие ЭЦП ничего не доказывает.
Квалифицированная ЭЦП со штампом времени не доказывает факта существования файла на определенный момент, в заголовке которого указан copyright, вы шутите?!
GaryaПоэтому, если Вы хотите иметь юридически значимые факты, Вы должны заключить договор с провайдером ЭДО и кому-то что-то отправить либо получить. Юридически доказуемым фактом будет при этом то, что такая-то информация была тогда-то отправлена либо получена. И более ничего.
Опять походит на рекламу площадок в целом, уж не обижайтесь, пожалуйста.
GaryaСможете ли Вы увязать факт отправки/получения той или иной информации с правообладанием на ПО или БД - это отдельный вопрос. Может, сможете. А может быть, и нет.
ФИПС, нотариат, отправка письма самому себе, copytrust.ru являются помошниками при доказательстве, с моей точки зрения штамп времени - аналогично.
Garyaserious_student3) Что еще нужно приобрести кроме криптотри проф фстэк? Наверно, сертификат подписи?
В каком УЦ и какой недорогой сертификат вы бы посоветовали для создания квалифицированной ЭЦП для таких целей?
В любом УЦ, которые включены в
федеральный реестр УЦ .
Есть нюанс. Многие электронные площадки (провайдеры ЭДО) одновременно являются удостоверяющими центрами. И они увязывают стоимость предоставления набора услуг, связанного с обменом информацией, с некой совокупностью пакетов услуг по обмену информации, привязанной к разновидностям сертификатов, хотя, чисто технологически это не совсем корректно - ЭЦП, подтвержденная УЦ, в свою очередь имеющий сертификат УЦ, это просто "подтверждение", и всё. Однако же, многие УЦ разграничивают сертификаты таким образом, чтобы для тех, кто хочет использовать один и тот же сертификат для более широкого спектра информационных обменов, платил бы за услуги не только в плане объема, но и за саму потенциальную возможность использовать более или менее широкий спектр. Например,
сертификаты, выдаваемые ЕЭТП , могут использоваться либо только для обмена информацией по системе госзакупок, либо по системе госзакупок и коммерческих закупок тоже. Ранее они выдавали в разных "пакетах" сертификаты для 5, 60 и 200 коммерческих площадок, сейчас хотя бы такое разделение убрали. По сути, оно искусственное. Удостоверяющему центру должно быть "по барабану", для кого и что он удостоверяет, лишь бы была соблюдена процедура. Тем не менее, "обвеска" этой процедуры загадочными пакетами услуг является общепринятой практикой.
Вот еще пример -
Такском - поразбивали-расструктурировали предоставление сертификатов ЭП по комплектам и подкомплектам так, что мозг можно вывихнуть. На самом деле один и тот же сертификат можно использовать и для отправки бухгалтерской отчетности в ИФНС, и для работы в системе госзакупок, и для работы на коммерческих площадках. Технологически суть ЭЦП работает одинаково во всех этих случаях. Однако, Вам всенепременно попытаются заморочить голову, чтобы Вы купили что-нибудь подороже с большой услуговой "обвеской" вроде обучающих видеокурсов, поставляющихся в комплекте справочно-правовых систем, простеньких OCR для упаковки отсканированных документов в сверхужатый PDF, и т.д. и т.п. :)
Полностью с вами согласен, в УЦ как и везде работают в т.ч. мракетологи для более лучшего зарабатывания денег организацией. Суть моего вопроса в том, что, пожалуйста, помогите найти пару УЦ, в которых есть приемлемые по соотношению цена/качество сертификат, позволяющий осуществлять юридически значимую переписку и штамповать свои файлы меткой времени. Некоторые считают, что на OID в суде вообще никто не смотрит, т.е. просто берем любой самый дешевый сертификат для квалифицированной подписи - и вперед, только надо учитывать и качество работы сервером штампов времени и отзыва сертификата.
Если ключ потеряется, а сервер отзыва лежит, мне к кому бежать отменять свой ключ, чтобы им не наподписывали разных обязательств?
GaryaСамый забавный вопрос - кому вы и что будете отправлять и с какого перепугу. :)
Можно, конечно же, и в налоговую отправить какой-нибудь подписанный EXE-шник. Налоговая, конечно же, ответит "чур-чур-чур, что за фигню вы прислали и по какому поводу?", однако же в системе ЭДО провайдера сам факт отправки и ЭЦП будут железобетонно зафиксированы.
В том то и дело, что я не хочу никуда ничего отправлять, это вы придумали про отправку.
GaryaИ этот факт может быть доказательством в суде того, что некий файл уже был и именно у Вас по состоянию на такую дату.
А штамп времени на файле без его отправления не будет, шутите?
GaryaСможет ли он этот факт каким-то образом быть преобразован в доказательство Вашего правообладания на него, это отдельный вопрос.
Это понятно, упоминалось уже, что лишь для расширения доказательной базы.
Garyaserious_student4) Как избежать правовых коллизий при создании таких подписей на файлах с исходным кодом программ вместо юридически значимых документов?Любой файл - это последовательность байтов. Последовательность байтов может быть зашифрована закрытым ключом и расшифрована открытым ключом - это суть несимметричного шифрования. Если ее удалось расшифровать тем ключом, который был предназначен для закрытого, это является доказательством, что закрытый ключ был именно тот, которым был этот файл зашифрован. Если закрытый ключ был выдан УЦ некоему лицу, и УЦ это подтверждает, это является доказательством, что файл был зашифрован именно этим лицом. По сути, электронная подпись - это процедура ассимитричного шифрования-дешифрования. Что именно при этом шифруется - PDF-файл, либо исполнимый файл, либо база данных, либо случайный набор байт, значения не имеет.
Да причем тут шифрование, не надо мне никакого шифрования, речь о юридически значимой ПОДПИСИ, представьте, распечатали исходник на бумажке и подписали от руки, где тут шифрование?
Garyaserious_studentВ каком УЦ и какой недорогой сертификат вы бы посоветовали для создания квалифицированной ЭЦП для таких целей?В любом. :)
Вы сначала определитесь с тем, КОМУ вы будете отправлять исполнимые файлы. Отправлять "самим себе" я как-то не пробовал, подозреваю, что ЭДО может это просто не дать сделать. Если Вы собираетесь делать именно это - отправлять самому себе, то Вам сначала нужно найти ЭДО, в которой не возникнет проблем с такой отправкой - можете связаться с провайдером ЭДО и на всякий случай уточнить этот нюанс. Если собираетесь отправлять, например, партнеру, то вообще по барабану. :) А точнее, вопрос личных предпочтений. Кому-то больше нравится работать в одной системе ЭДО, кому-то в другой, но, по сути, базовый функционал у них примерно одинаковый. Есть всякий дополнительная обвеска для тех процедур, которые Вас, как я понимаю, не интересуют. К примеру, у Такском имеются встроенные модули проверки отчетности перед отправкой их в фискальные органы. Можно узнать, что в отчетности содержатся какие-то нестыковки или ошибки, исправить их, а уже потом отправлять. Но ведь это не про то, не так ли?
Файлы отправлять никуда не хочу, хочу генерировать штампы времени для них и только.
Garyaserious_studentСуществует ли специальный OID для указания того, что подпись создается только для метки времени, а содержимое документа не является юридически значимой распиской и т.п.?Подписывается всегда файл целиком как некая совокупность байтов.
Не только совокупность байтов, но еще и как юридически значимый подписанный документ при определенных значениях OID, разве нет?
Garyaserious_student5) Какая версия КриптоАРМ включена в поставку КриптоТРИ ПРОФ ФСТЭК?Может быть, наоборот? Какая КриптоТРИ включена в КриптоАРМ? :)
https://cryptostore.ru/catalog/kriptotri-prof
Там подробно указано, что во что входит и выходит, только версия КриптоАрм почему-то засекречена.
