Имеет ли вес хеш сумма в юридической практике?

Question

[RigidStyle]

Здравствуйте.

Мне нужно несколько файлов сделать, что бы их нельзя было подменить или изменить их содержание. Файлы - не документы. То-есть электронная подпись не вариант (на сколько я понимаю принципы работы электронной подписи).
На сколько я знаю, хеш-сумма уникальна для файла и ее нельзя подделать.
Идея такая, сделать архив с этими файлами. После указать хеш сумму архива в договоре. Копия архива остается у меня (с неизмененной хеш суммой), и в случае чего я всегда смогу доказать, какие файлы были переданы по договору, просто продемонстрировав архив с хеш суммой, соответствующей таковой, прописанной в договоре.

Сработает ли это? Имею в виду, сработает ли это в суде, что это сработает для проверки подлинности это понятно. Если нет, то как правильно указывать передаваемые данные в договоре (особенно если данных там тысячи файлов на десятки гигов)?

Comments

[Алан Гибизов]

Я думаю, юристы не будут рассматривать суть вопроса. Они будут проверять соответствие договору. Если в договоре явно указан алгоритм «делай раз/делай два», желательно со ссылкой на ГОСТ или международный стандарт, то это они и будут проверять. А вы будете им доказывать, что то, что вы сделали, соответствует тому, что должны были по договору. Именно соответствие договору. Если в договоре будет указано что-то неоднозначное, что можно прочесть так или иначе - вам придется доказывать, что ваше прочтение верно, а не иное (привлекая экспертов, например).
Чтобы договор был максимально однозначным в части, вас интересующей, лучше конкретные формулировки согласовать с юристами (нотариус, занимающийся заверением всяких выгрузок из интернет, подойдет).

Но вообще можно, к примеру, переводить архив в текстовый формат посредством Base64 и заверять этот ascii-текст электронной подписью как обычный документ. Юристам будет безразлично, что за буковки вы им показали. Будет важно, что рядом с буковками лежит электронная подпись, которая удостоверяет, что это те самые буковки, которые были подписаны, от и до.
Главное, чтобы в договоре было написано, что вы обязаны по договору предоставить именно текст с подписью согласно стандарту такому-то. А что там в этом тексте - хоть матерные частушки, главное - электронные подписи. Ваш контрагент принял текст с подписью как исполнение договора, выдал вам акт приемки, в котором приложение - этот текст и электронные подписи - всё.

[Rsa97]

1. Электронная подпись - это всего лишь зашифрованный хэш документа (файла).
2. Хэш-сумма не уникальна. Каждой хэш-сумме соответствует бесконечное количество возможных файлов (если нет ограничения на размер файла).

[Mikhail Osher]

Хэш-сумма базируется на содержимом файла. Нет такого, что если создали файл, и ось ему наверняка уникальную хэш-сумму дала.

https://en.wikipedia.org/wiki/Fletcher%27s_checksum

Answer 1

[Sergey В.]

Почему бы и нет? Главное - укажите это в договоре, как подтверждение того, что обе стороны принмают этот способ контроля целостности передаваемых файлов.
В договоре необходимо указать :
- что именно передаётся, с материальной точки зрения. В Вашем случае - указывается перечень файлов, и их основные описательные характеристики;
- как именно передаются файлы (например - на носителе), согласно акта приёма-передачи. Стороны договорились о том, что целостность файлов подтверждается контрольной (хеш) суммой, которая рассчитыватся согласно алгоритма (MD5, SHA и т.д.) применительно к каждому бинарному файлу. Соответственно, в акте приёма-передачи указываете эти контрольные суммы, фразу что принимающая сторона проверила файлы и подтверждает что хеш суммы соответствуют указанным.

Answer 2

[Василий Банников]

Файлы - не документы. То-есть электронная подпись не вариант (на сколько я понимаю принципы работы электронной подписи).

Электронной подписью можно подписать любой файл, тк подпись - это по сути ассиметрично зашифрованная хэшсумма + публичный ключ для расшифровки.
Нужна для того чтобы зафиксировать, файл с какой хэш-суммой подписывался.

На сколько я знаю, хеш-сумма уникальна для файла и ее нельзя подделать.

Не уникальна. Подделать можно, тк в ней нет никакого признака аутентичности (хотя зависит от того, что такое "подделать"), но вычислить хэшсумму по файлу легко => легко проверить, что тебя обманули, если посчитанная хэш-сумма не совпадает с заявленной.
Изменить содержимое файла, чтобы при этом остался старый хэш - очень сложно, особенно если использовать несколько хэшей.

Идея такая, сделать архив с этими файлами. После указать хеш сумму архива в договоре. Копия архива остается у меня (с неизмененной хеш суммой), и в случае чего я всегда смогу доказать, какие файлы были переданы по договору, просто продемонстрировав архив с хеш суммой, соответствующей таковой, прописанной в договоре.

Да, такое сработает.
Только врядли предметом договора можно будет указать "архив с такой-той хэшсуммой".
Скорее всего ты продаёшь не архив, а его содержимое, а архивом ты договорился с покупателем, как о способе передачи.

Comments

[RigidStyle]

Под подделать я имел в виду "сделать архив с той же хеш-суммой, но в нем другие файлы".

Да, понятно, что передача содержимого. В архиве проект. А если точнее, то конструкторский проект, 3д модели, сборки, чертежи, описание и прочее. Суть в том, что получатель обязуется по договору выплачивать за проект роялти, а так же, если он решит что либо изменить в проекте, то любые производные от проекта или от его узлов все так же подпадают под действие договора, и по ним тоже выплачивается роялти.
Но понятно что можно всегда сказать что "это мы не проходили, это нам не передавали, мы сами придумали, в договоре был вообще другой проект и другое изделие".
Заверить нотариально все ХХ решений, узлов и т.д. не вариант.
По сути тут это надо для защиты интеллектуальной собственности, но без выставления на всеобщее обозрение предмета защиты (например, как происходит при патентировании). И в случае, если получатель захочет обойти условия договора и не платить роялти, например, сказав что были переданы другие файлы, нужно как то доказать, что были переданы не другие файлы и вообще то, что производит и продает фирма, не имеет отношения к предмету договора.

[d-stream]

RigidStyle, хэш суммы - да, они в своей сути "подделываемые" (гуглить коллизия хэш-функции)
Но задача подделки - жутко сложная.

А вот то что касается подписания/хэширования исходных файлов моделей - это идея-фикс.
По простой причине: открываем файл чертежа, меняем на штампе ФИО, сохраняем - получаем совершенно иную хэшсумму. Ну или даже просто пересохраняем в другой версии формата...

В общем в данном случае проблема организационно-юридическая и не имеет технического решения.

[Василий Банников]

RigidStyle, а как вы докажете, что сделано производное произведение и каким образом вам поможет в этом хэш-сумма архива?

[RigidStyle]

Василий Банников,
Тут уже другой вопрос на счет доказывания. Но что бы это доказывание было возможным, нужно что бы был исходник, от которого производное получено. Обычно в роли исходника выступает патент. Но в моем конкретном случае патентирование не вариант. Отсюда мне нужен другой исходник в качестве образца.

[Василий Банников]

RigidStyle, по идее тебе достаточно будет факта, что существует договор, по которому ты передал какие-то чертежи

[hint000]

Василий Банников,

а как вы докажете, что сделано производное произведение

он может доказать это с привлечением эксперта

и каким образом вам поможет в этом хэш-сумма архива?

- а это не мы у вас украли, а вы у нас украли...
- нет, вот архив (предъявляет эксперту флешку), давайте посчитаем хэш архива, и сравним с хэшем в договоре. совпадают? значит я, как автор, передал вам именно этот архив. а теперь эксперт пусть сравнит контент в архиве с тем, что вы якобы самостоятельно разработали.
как-то так.

Но на самом деле я отчасти согласен с d-stream, что это так себе идея. Потому что сразу придумывается хитрая схема. Я (заказчик), не буду разрабатывать производные продукты, а "нечаянно" допущу утечку, в результате чего разработка попадёт в руки какого-то Джона Смита (я буду отрицать, что знаком с ним). мистер Смит немедленно патентует это как свою разработку, причём в другом государстве.
И даже если это не Смит, а Сидоров и если он получил патент в той же стране, где находится RigidStyle, он может утверждать, что RigidStyle и заказчик были в сговоре и их договор фиктивный, с целью украсть у него - владельца патента - эту разработку. И если договор не был заверен нотариусом, то наврядли можно будет выиграть дело и наказать Сидорова. А Смита не достать вообще, потому что он в другой юрисдикции.

[d-stream]

hint000,

он может доказать это с привлечением эксперта

дык не задействована же регистрация приоритета. Могу предположить что этому могут быть препятствия в виде "колесо не патентуется".

А так - без хитрых схем - внесение любых по значительности изменений в исходники - автоматически приводит к изменению хэшей. Притом сам принцип не позволяет по изменению хэша оценить степень изменения.

[Василий Банников]

d-stream, причём даже незначительные изменения приведут к изменению хэша

[hint000]

d-stream,

внесение любых по значительности изменений в исходники - автоматически приводит к изменению хэшей

Не играет роли. Хэш здесь не для защиты от изменений а для слабого подтверждения авторства. Костыль вместо патента. В этой роли хэш работает только совместно с документом (договором), где он зафиксирован подписью\печатью другой стороны, и только соместно с наличием у автора архива, с которого посчитан хэш. От изменённых файлов никто не собирается считать хэш.

дык не задействована же регистрация приоритета.

Приоритет определяется не только патентом. Публикация с зафиксированной датой вполне подтверждает авторство. Если Пушкин опубликовал стихотворение в "Литературной газете", а на следующий день Пупкин заявил, что это было его стихотворение, то Пупкину никто не поверит без серьёзных доказательств.
Без публикации тоже можно подтвердить приоритет. Я распечатываю свою работу на принтере, упаковываю в пакет, иду в отделение Почты России и отправляю сам себе бандероль (чтобы на почте не делали большие круглые глаза, можно отправить из соседнего города). Мне нужно, чтобы бандероль была хорошо запечатана и был почтовый штемпель с датой. Потом я получаю эту бандероль и кладу в сейф. Когда нужно в суде доказать мой приоритет, я предъявлю бандероль в запечатанном виде, пусть эксперт осмотрит и подтвердит, что никто её не вскрывал, пусть подтвердит подлинность штемпеля с датой, после этого в присутствии судьи можно вскрыть бандероль. Этот способ известен очень давно, возможно, с позапрошлого века.

сам принцип не позволяет по изменению хэша оценить степень изменения

Поэтому и нужен эксперт в предметной области разработки.
- Вот исходная разработка - табурет на пяти ногах из углепластика. А вот другая разработка - табурет на пяти ногах из углепластика и с дыркой посередине. Уважаемый эксперт, оцените, степень сходства этих работ. Суд ожидает аргументированное заключение, является ли одна из работ производной от другой.

[d-stream]

hint000,

Не играет роли. Хэш здесь не для защиты от изменений а для слабого подтверждения авторства.

по сути можно обойтись приложением к договору не с хэшами, а с ключевыми чертежами - оно будет проще и прямее для гуманитарного судьи и даже возможно не потребует привлечения эксперта)

Приоритет определяется не только патентом. Публикация с зафиксированной датой вполне подтверждает авторство. Если Пушкин опубликовал стихотворение в "Литературной газете", а на следующий день Пупкин заявил, что это было его стихотворение, то Пупкину никто не поверит без серьёзных доказательств.
Без публикации тоже можно подтвердить приоритет. Я распечатываю свою работу на принтере, упаковываю в пакет, иду в отделение Почты России и отправляю сам себе бандероль (чтобы на почте не делали большие круглые глаза, можно отправить из соседнего города). Мне нужно, чтобы бандероль была хорошо запечатана и был почтовый штемпель с датой. Потом я получаю эту бандероль и кладу в сейф. Когда нужно в суде доказать мой приоритет, я предъявлю бандероль в запечатанном виде, пусть эксперт осмотрит и подтвердит, что никто её не вскрывал, пусть подтвердит подлинность штемпеля с датой, после этого в присутствии судьи можно вскрыть бандероль. Этот способ известен очень давно, возможно, с позапрошлого века.

Только на практике судья может не захотеть маяться с неведомой фигнёй - оно в жизни несколько не как в кино/учебниках выглядит)

- Вот исходная разработка - табурет на пяти ногах из углепластика. А вот другая разработка - табурет на пяти ногах из углепластика и с дыркой посередине. Уважаемый эксперт, оцените, степень сходства этих работ. Суд ожидает аргументированное заключение, является ли одна из работ производной от другой.

Первый табурет археологи нашли в древних раскопках -> оба с пляжа)
Впрочем то ли apple то ли самсунгу подобное удавалось со скруглёнными углами корпуса телефона.

Answer 3

[mayton2019]

Я-бы попросил переделать текст договора. На момент подписания мне должны быть ясны все реквизиты. Фамилии, условия, сумма и вдруг вы подкладываете какой-то непонятный хеш. Мы же не про хеши договаривались.

Далее. Ты говоришь - в "случае чего" - доказать. Доказательство скорее всего будет происходить в суде. Суд призовет эксперта. А он будет рассматривать не какие-то хеши а как раз именно ваши чертежи и модели и прочее. Так как именно это будет звучать в главном вопросе.

Comments

[RigidStyle]

Да, разумеется что чертежи, модели и прочее. Но просто можно столкнуться с тем, что ответчик скажет "а чертежи это не его, он нам передавал совсем другое, а после вот мы сделали сами вот такое, он у нас это перерисовал, и теперь говорит, что это он нам передал, якобы, вот это, что мы сами сделали, и требует с нас что то, негодяй".
Ну а передать чертежи, модели и прочее в рамках договора (бумажного), это сделать страниц 500, где все будет распечатано и описано со всех ракурсов и т.д. (у меня само техописание принципов и устройства на 120 страниц 12тым кегелем. Это без картинок и схем, и я хочу это передавать не в бумажном виде, а в архиве вместе с моделями и т.д.)

Answer 4

[Денис]

Предлагаю пойти в сторону OpenPGP