Всем здравствуйте!
При устройстве на работу, рекрутер прислал множество бумаг для заполнения. В том числе, [Goverment related Forms: I-9, W-4 и State withholding exemption Form]. И предложено создать электронную подпись, которой в компьютере, при заполнении эти формы и нужно подписывать (можно от этого отказаться и подписать все вручную).
Мне кажется, что электронная подпись - это не безопасно, так как ее подделать легче, чем “рукописную”.
Скажите, пожалуйста, может быть, я отстала от прогресса и в этой стране все давно используют электронную подпись? Может, мои переживания необоснованны и эта подпись обладает какой-то защитой? И, наконец, вы используете электронную подпись или подписываете подобные документы вручную?
Что значит, “алгоритм хороший”?
Дело в том, что там:
когда подписывешься, то нет защиты “круглешками” (как, например, когда вводишь пароль на сайте и не видишь какие символы вводишь.) Все мою подпись видят и могут еe воспроизвести, так как в ней нет ничего , что трудно повторить.
Эти документы я отсылаю не напрямую в гос.органы, а рекрутеру.
Алгоритмов цифровой подписи существует много. Хорошие алгоритмы хорошо устойчивы к атакам.
Если алгоритм хороший и используются ну очень большие простые числа, то для выделения их из их произведения не хватит жизни.
В каком смысле “подпись видят и могут воспроизвести”? Цифровая подпись - это число, по которому, зная открытый ключ, можно проверить эту подпись (а создать можно, только зная секретный ключ).
Или вы имеете в виду, что при подписывании вы вводите pass phrase и её видно? Неужели бывает такой софт для подписывания, что в нём pass phrase не забивается звёздами?
:)Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа. Подделать ее практически не возможно!
Вообще Вы должны были сгенерировать ключ и получить сертификат ключа ЭЦП. Скорее всего Для подписывания сообщений Вы используете пару ключей — открытый и закрытый. При этом закрытый ключ известен только тому, кто подписывает сообщения, а открытый — любому желающему проверить подлинность сообщения.
Очень удобная штука… не переживайте!
Объясняю подробнее.
Рекрутер дал линк на свой сайт (он имеет защиту), на котором мне нужно пройти регистрацию (как обычно, с паролем, забитым звездами)
А там уже “висят” все документы, необходимые заполнить. Мне предложили создать [Electronic Signature], которая не забивается звездами. Ей и нужно “подписаться” подо всеми заполненными мной документами. Вероятно, что это делается для экономии времени. Так как там сказано, что если я отказываюсь создавать элeктронную подпись, то нужно ехать в офис рекрутера и заполнять все эти формы в бумажном виде и ставить подпись “отруки”.
Кто-нибудь из “местных” наверняка сталкивался с таким вот предложением. Расскажите, пожалуйста. Может, я зря переживаю…
Рассказываю ещё раз - цифровую подпись без секретного ключа не создать в принципе, а без открытого ключа - не проверить. Если вы боитесь, что кто-то увидит саму подпись, то уже сгенерированная подпись безопасна для передачи по открытым каналам, если рядом же не передаётся секретный ключ, что вряд ли кто допустит.
Кстати, подписи двух разных документов на практике вряд ли совпадут, даже если использовался тот же самый секретный ключ, т.к. сначала вычисляется хэш-функция от подписываемого документа, а потом она и подписывается.
Поэтому я и спрашивал - на каком носителе хранится секретный ключ? Это какая-то смарт-карта, которую вы подключаете к компу при создании подписи? Или они генерирубтся при регистрации и хранятся где-то у них на сервере, на который вы ходите по вебу через https?
В идеале, для этого должны существовать иерархии сертификационных центров. Корневой центр сертифицирует “нижние”, а те могут сертифицировать ещё более “нижние”. К ним должно быть доверие (на самом деле, доверие должно быть к центру, выпускающему корневой сертификат, и должна быть возможность проверить, что “нижележащие” сертификаты выданы таки корневым центром. Это тоже проверяется с помощью цифровой подписи - при выдаче сертификата критическая часть его подписывается секретным ключём выдающего).
T.e. vy doljny priehat’ v centr lichno i sozdat’ tam svoiu elektronnuiu podpis’. Tak mojno. Bez lichnoi iavki v cnetr net garantii, chto podpis’ sozdana imenno vami.
Или получить сертифицированное ПО и пару своих ключей и подписывать документы на дому, а затем отсылать им документ и подпись по любому открытому каналу.
Pervyi raz vy doljny sozdat’ podpis’ lichno. A uj posle etogo mojete podpisyvat’ ei chto hotite. Na domu podpis’ mojet sozdat’ i vasha jena ili kto-to escio.
Да, вы правы - лично нужно поучаствовать в создании пары ключей (совершить шум на клавиатуре или поставить каракули на планшете при генерации, ввести pass phrase, да и просто присутствовать).
Унести с собой пару ключей и ПО и тогда да, документы можно подписывать, где хотите.
Извините, я неправильно выразилась. Я имела в виду именно федеральные формы. Извините. А можно в названии темы исправить мою ошибку и “финансовые документы” исправить на “федеральные формы”? А еще, я, наверное, не в том разделе тему создала, нужно было в разделе “работа”…
Отчасти, поэтому у меня и возникли сомнения. Т.к. мне просто прислали ссылку по электронной почте, зранее позвонив, конечно, и предупредив.
Может быть, Михаил Портнов может рассказать - является ли электронная подпись [on-line] федеральных форм и других положений, вроде "политики компании или положения о [EEO Policy] общепринятым и нормальным явлением, распространенным среди работодателей или рекрутерев?
(как, например, когда вводишь пароль на сайте и не видишь какие символы вводишь.) Все мою подпись видят и могут еe воспроизвести, так как в ней нет ничего , что трудно повторить.