Как выпускать электронные подписи?

Question

[tttttv]

Коллеги, добрый день. Возникла необходимость электронно подписывать договоры с физ лицами со стороны таксопарков при сдаче авто в аренду. Чтобы в случае аварии можно было в судебном порядке доказать что авто было у арендатора.

Есть у кого-то опыт с электронными подписями? Я процедуру вижу так - арендатор загружает фото паспорта, вводит код из смс на телефоне, мы после этого выпускаем ему электронную подпись, и ее должна заверить одна из компаний по ссылке? В каком направлении посоветуете копать? Использовать сторонние сервисы для выпуска эл подписей не вариант, все должно быть в нашей системе...

https://e-trust.gosuslugi.ru/#/portal/accreditatio...

UPD: Нужно что-то на уровне каршеринга, там после загрузки паспорта и кода из смс можно в суде подтверждать что при аварии авто было на человеке

Comments

[Drno]

А у Вас есть соответствующая сертификация для выпуска эл подписи?

[freeExec]

СМС и так является электронной подписью.

[tttttv]

freeExec, Оно является упрощенной цифровой подписью, в случае суда наверное не является доказательством, что авто было за человеком

Answer 1

[Rsa97]

все должно быть в нашей системе

А зачем клиенту доверять вам закрытый ключ своего сертификата?
Клиент на вашем сайте привязывает свой открытый сертификат к своей учётной записи. Вы удостоверяетесь, что подпись принадлежит ему, подписывая на клиентской стороне случайный блок и проверяя подпись на своей стороне. Затем вы храните сертификат у себя и проверяете с его помощью достоверность подписи клиента.
В каком именно из УЦ клиент сгенерировал свою подпись вас касаться не должно. Главное, чтобы переданный вам открытый сертификат был действителен, то есть не был просрочен и цепочка подписей прослеживалась до одного из признаваемых вами корневых УЦ.

Comments

[tttttv]

Здесь вопрос в том, что мы сами эти подписи хотим выпускать. Например как работает каршеринг - просто загружаете документы, подтверждаете смс, и в случае аварии в суде можно доказать, что авто было у человека в этот момент

[hint000]

tttttv,

мы сами эти подписи хотим выпускать

Так дела не делаются.
Если у вас хранится закрытый ключ клиента и вы об этом заявляете, то такая подпись гроша ломаного не стоит - вы можете самостоятельно подписать что угодно без участия клиента от его имени.
Если у вас хранится закрытый ключ клиента, но вы это скрываете и отрицаете, то это будет мошенничество с вашей стороны и в итоге опять же подпись будет недействительна.

[tttttv]

hint000, Каршеринг же как-то делает это(

[hint000]

tttttv, не пользовался каршерингом, но очень сомневаюсь, что там заморачиваются цифровой подписью.
IMHO, нормальная страховка решает эти проблемы, а дальше уже дело страховой компании вылавливать виновника, доказывать его вину и вчинять ему регрессный иск.

[Rsa97]

tttttv, Они пользуются кодом по СМС, как простой подписью. Достаточно указать его использование в договоре.