Есть вэб-форма документа, в которой можно прицеплять файлы.
Данный документ необходимо подписывать ЭЦП и отправлять в банк.
Имеет ли юридическую силу подписанный ЭЦП хэш sha1 файла вместе с текстом полей формы документа?
Либо нужно подписывать содержимое самого файла?
Проблема тут в том, что мы заранее не ограничиваем форматы приаттаченных файлов, и посему извлечь из них текст для подписания не можем.
Можно конечно подписывать бинарное представление данного файла, но ограничения по размеру загружаемых файлов слишком большие и поэтому подписывать на клиенте бинарный файл в несколько мегабайт я считаю не рациональным.

А что такое отделённая подпись?
И как она исправит моё положение?
Меня больше интересует вопрос, разрешает ли законодательство о ЭЦП подписывать хэш файла, и в последствии эта ЭЦП может ли быть аналогом собственноручной подписи (как к примеру подпись на печатной копии даного файла?

Отредактировано пользователем 10 февраля 2011 г. 14:15:41(UTC)  | Причина: Не указана

Закогодательство может и не накладывает ограничение, но т.к. если мы используем в тексте подписи хэш файла, а хэш сделан sha1, хоть он и считается криптостойким, теоретически его можно взломать, но на данный момент вычислительный мощности этого не позволяют. Раз теоретически можно, то и в суде можно сослаться на то, что хэш файла в эл. подписи не подтверждает на 100%, что он является результатом хэширования именно этого документа.
Кто запретит подобрать, хотя и теоретически документ, хэш которого будет совпадать с хэшем в ЭЦП в подсунуть вместо оригинала?

Отредактировано пользователем 10 февраля 2011 г. 20:25:09(UTC)  | Причина: Не указана

Т.е. в данном случае, рискуем мы, кто разрабатывает данную систему. Но хотелось бы минимизировать эти риски, а то толку тогда вообще от ЭЦП для файлов.

А чем ГОСТ будет отличаться с юридической точки зрения от зарубежных алгоритмов? Где гарантия его криптостойкости?