我们是一家全球性企业,在全球拥有数千名员工。我们拥有自己的 PKI 基础设施,该基础设施在内部受到系统信任,但在外部却不为人所知。
我们与客户签订合同。目前正在实施“无纸化”项目,旨在放弃纸质合同,改用电子合同。
我的管理层要求我使用我们自己的 PKI 基础设施在这些合同上实现数字签名。
我的问题是,使用我们的 PKI 生成的数字签名是否有任何附加值?或者我们是否绝对需要使用全球信任的 PKI/CA(例如 Digicert 或 Verisign)?
答案1
我的问题是,使用我们的 PKI 生成的数字签名有任何附加值吗?
值谁?
公钥基础设施的目的是创建信任链。信任您的 CA 的人会信任该 CA 颁发的所有证书,因此也会信任使用这些证书颁发的数字签名。因此,如果您的同行确实信任您的 CA,那么它颁发的签名就有价值。如果不信任,则没有价值。
因此你应该问的问题是:您的组织以外的人有什么理由相信您的 CA 在颁发、管理和撤销证书方面遵循任何标准?
使用第三方签名服务的意义在于,第三方应该经过受信任实体的审计,这样您和其他相关方都有充分的理由信任他们。如果您在欧盟,eIDAS 为所谓的“(合格)信任服务提供商”制定了具体规则,想要根据该规则集颁发受信任签名的公司需要根据这些规则进行专门审计。
您还应该注意,用于 Web 服务器的证书通常不能用于文档的数字签名。
如果这个答案看起来不清楚,可能是因为这是一个很大的问题,任何答案基本上都需要彻底了解您的要求和当前的 PKI 系统以及适用于您和您的同行的准则、规则和法律。如果您的公司内部没有人具备这些知识,我强烈建议您使用外部专业知识。这会很昂贵,但比几年后在法庭上发现某些签名在您认为有效时不具有法律效力要便宜得多。
答案2
在电子方面,信任是通过使用数字签名证书来建立的。因此,您可以从任何全球受信任的认证机构获得 DSC。