Re: Opensource eSignature service

[Charalampos Koutsouris <harisk [ at ] iit [ dot ] demokritos [ dot ] gr>]

Καλημέρα Σπύρο,
    Συμφωνώ με την πληροφορία που παραθέτεις. Ο βασικός προβληματισμός
είναι :
α) Με την συγκέντρωση όλων των κλειδιών σε έμπιστους παρόχους ανοίγει
ακόμη μια τρύπα στην συλλογική ασφάλεια. Μην ξεχνάμε τις πρόσφατες
αστοχίες των υπαρχόντων PKI Trust providers να διαφυλάξουν τις δικές
τους CA ή ακόμη και τις επιλογές τους να παρέχουν υπερβολικές
δυνατότητες έκδοσης πιστοποιητικών από τρίτες οντότητες (ή τέταρτες αν
θέλετε).

β)  Όλο το περιβάλλον απαιτεί εκτός από λογισμικό μια δυνατότητα
λειτουργίας (operational capability) που περιλαμβάνει τεχνολογία,
τεχνογνωσία-ανθρώπους και διαδικασίες. Το κόστος της τεχνολογίας δεν
κυριαρχεί σε αυτά. Οι Trust providers αγωνίζονται να καλύψουν το κόστος
και να αποκτήσουν μια αγορά καθώς χρόνια τώρα απλά επιβιώνουν. Ο eIDAS
έχει και αυτός τον ρόλο του σε αυτή την προσπάθεια.

γ) Και σε αυτόν τον τομέα το επιχειρηματικό μοντέλο είναι η παροχή
μεγαλύτερης ευκολίας έναντι λιγότερης ασφάλειας. Κοινώς δεν
αντιμετωπίζουμε τα προβλήματα διαλειτουργικότητας των προσωπικών
HSM(Τοκεν) και της έλλειψης εκπαίδευσης του πληθυσμού. Αντί-αυτού
πουλάμε ηλεκτρονική υπογραφή σαν υπηρεσία. Αυτό ίσως είναι το μεγαλύτερο
πρόβλημα για εμένα.

Στο τέλος βέβαια η συζήτηση γίνεται γενική αλλά βοηθάει να
σκιαγραφήσουμε το περιβάλλον από πλευράς ασφάλειας και προκλήσεων που θα
πρέπει να έχουμε στο μυαλό μας.
Όπως ήδη έγραψα ο ορισμός του προβλήματος και ο καθορισμός των σεναρίων
χρήσης είναι σημαντικός για να αποφεύγεται μια εντελώς θεωρητική προσέγγιση.

Με εκτίμηση

Χάρης


On 20/7/2016 7:36 μμ, Σπυρίδων Κόλλιας wrote:
> Καλησπέρα σας,
> *προηγμένη *ψηφιακή υπογραφή, η οποία φέρει την νομική ισχύ αντίστοιχη
> της ιδιόχειρης, μπορεί να δημιουργηθεί εφόσον το ιδιωτικό κλειδί είναι
> σε κάποιο HSM (ΑΔΔΥ) και το πιστοποιητικό έχει εκδοθεί από έμπιστο
> πάροχο. Σχετικά με τα κινητά υπάρχουν HSM σε microSD αλλά και λύσεις
> σε SIM Card. Όμως όλα αυτά (κυρίως τα Mobile) θα αποτελέσουν παρελθόν
> διότι ο κανονισμός 910/2014 που τέθηκε σε ισχύ από 01/07/2016 λαμβάνει
> υπόψη του και την "δημιουργία εξ αποστασέως ηλεκτρονικών υπογραφών"
> που τα ιδιωτικά κλειδιά είναι σε HSM σε έμπιστο πάροχο και
> ακολουθείται διαδικασία αυθεντικοποίησης με OTP, username, password etc.
>
> Εν κατακλείδι, θα μπορούσε να υφίσταται Open source εργαλείο τέτοιο
> εφόσον η υπογραφή δημιουργείται μέσα σε HSM. Συγκεκριμένα το Sign
> Server της Primekey μπορείς να το συνδέσεις με HSM και σου δίνει Web
> Services ώστε να βάζεις υπογραφές. Άρα ένα λογισμικό το οποίο το θα
> κατανάλωνε τα Web Services του Sign Server αφού έχει αυθεντικοποίησει
> τον χρήστη. (Δεν αρκεί μόνο το username/password)
>
> Με εκτίμηση,
> Σπύρος Κόλλιας
>
> Στις 20 Ιουλίου 2016 - 5:15 μ.μ., ο χρήστης Angelos Karageorgiou
> <angelos [ at ] unix [ dot ] gr <mailto:angelos [ at ] unix [ dot ] gr>> έγραψε:
>
>     Εδω θα συμφωνήσω με τον Χάρη , κάθε open source λύση πρέπει πρώτα
>     να δοκιμαστεί λειτουργικά και κατόπιν να περάσει έαν καλό audit.
>
>     Εχοντας πεί αυτά ίσως θα έπρεπε να προσδιοριστεί το εύρος της
>     επιθυμιτέας λυσης.
>
>      
>
>      
>
>     On 2016-07-20 16:53, Charalampos Koutsouris wrote:
>
>>     Δεν έχω κάνει κάποια έρευνα για opensource λύσεις αλλά θέλω να
>>     παρατηρήσω ότι η φύλαξη των προσωπικών πιστοποιητικών σε κάποιο
>>     server ή στο κινητό τηλέφωνο δεν είναι και η καλύτερη λύση από
>>     πλευράς ασφάλειας.
>>
>>     Το προϊόν συνδυάζει document workflows με κάποια υπογραφή που
>>     μπορεί να είναι και PKI βασισμένη σε προσωπικά ψηφιακά
>>     πιστοποιητικά, αλλά φαίνεται να διαθέτει και άλλες επιλογές
>>     υπογραφής. Η εφαρμοσιμότητα της λύσης βασίζεται στο περιβάλλον
>>     ασφάλειας με το πρότυπο ISO27001 και ένα σωρό άλλες νομoθεσίες
>>     και πρότυπα για e-signature.
>>
>>     Εκτιμώ λοιπόν ότι μια opensource έκδοση αυτού δεν είναι πιθανό να
>>     υπάρξει ως ένα σύνολο αλλά ως άθροισμα πολλαπλών συστημάτων. Η
>>     ενσωμάτωση υπογραφής σε workflows με επαρκή νομική ισχύ πιστεύω
>>     ότι πρέπει να υλοποιηθεί σε συγκεκριμένα σενάρια χρήσης. Σε
>>     αντίθετη περίπτωση υπάρχει ο κίνδυνος ένα σύστημα εγγράφων και
>>     ψηφιακών υπογραφών να κατρακυλήσει στην αναζήτηση της ευκολότερης
>>     λύσης από πλευράς χρήστη, ξεχνώντας την ασφάλεια ή την νομική
>>     ισχύ των υπογραφών των εγγράφων.
>>
>>
>>     Με εκτίμηση
>>
>>     Χάρης
>>
>>
>>     On 18/7/2016 5:12 μμ, Theodoros G. Karounos wrote:
>>>     Υπάρχουν open source λύσεις για eSignature όπως το
>>>     https://www.docusign.com/ ?
>>>
>>>
>>>
>>>     -- 
>>>     ---------------------------
>>>     http://www.eellak.gr/,
>>>     http://mycontent.ellak.gr/,
>>>     http://www.creativecommons.gr,
>>>     https://opengov.ellak.gr/,
>>>     https://opendata.ellak.gr/,
>>>     https://opendesign.ellak.gr/,
>>>     http://mathe.ellak.gr/
>>>
>>>
>>>      
>>>     ----
>>>     Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας,
>>>     https://lists.ellak.gr/privacy/listinfo.html
>>>
>>>     Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr> <mailto:privacy+unsubscribe [ at ] ellak [ dot ] gr>.
>>
>>
>>     -- 
>>     ----------------------------------------------------      
>>     Koutsouris Charalampos, MSc, CISA,CISSP
>>     Institute of Informatics and Telecommunications,
>>     NCSR "Demokritos",
>>     153-10 Agia Paraskevi , Athens, GREECE
>>     Tel: +30 - 210 - 6503125 <tel:%2B30%20-%20210%20-%206503125>
>>     Fax: +30 - 210 - 6543615 <tel:%2B30%20-%20210%20-%206543615>
>>     E-mail: harisk [ at ] iit [ dot ] demokritos [ dot ] gr <mailto:harisk [ at ] iit [ dot ] demokritos [ dot ] gr>
>>     mobile : 0030 6981013265
>>     Skype : koutsourish
>>     ---------------------------------------------------- 
>>
>>     <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>     	Απαλλαγμένο από ιούς. www.avast.com
>>     <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>
>>
>>
>>      
>>     ----
>>     Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα
>>     αλληλογραφίας και συζητήσεων της κοινότητας που ασχολείται με
>>     θέματα ιδιωτικότητας,
>>     https://lists.ellak.gr/privacy/listinfo.html
>>
>>     Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ.
>>     ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr
>>     <mailto:privacy+unsubscribe [ at ] ellak [ dot ] gr>>.
>
>
>     ----
>     Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας
>     και συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας,
>     https://lists.ellak.gr/privacy/listinfo.html
>
>     Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ.
>     ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr
>     <mailto:privacy%2Bunsubscribe [ at ] ellak [ dot ] gr>>.
>
>


-- 
----------------------------------------------------      
Koutsouris Charalampos, MSc, CISA,CISSP
Institute of Informatics and Telecommunications,
NCSR "Demokritos",
153-10 Agia Paraskevi , Athens, GREECE
Tel: +30 - 210 - 6503125
Fax: +30 - 210 - 6543615
E-mail: harisk [ at ] iit [ dot ] demokritos [ dot ] gr
mobile : 0030 6981013265
Skype : koutsourish
---------------------------------------------------- 



---
Αυτό το e-mail ελέγχθηκε για ιούς από το πρόγραμμα Avast antivirus.
https://www.avast.com/antivirus

 
----
Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας,
https://lists.ellak.gr/privacy/listinfo.html

Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr>.