ttv писал(а):каждому предприятию - своя подпись. так было всегда, даже в банках, существуют обычные картонные карточки с образцами подписей. даже если бух работает с двумя разными фирмами, обслуживающимися в одном банке, всё равно на каждое юр.лицо своя карточка.
Карточки - это не подписи. До сих пор бух. подписывал и счета и накладные и платёжки и отчёты одной и той же подписью на всех обслуживаемых предприятиях. А в банке хранится необходимое количество
образцов этой одной подписи.
У меня в банке на два предприятия - одна ЭЦП. Моя личная ЭЦП. Этой подписью пользуюсь лично я и документы, подписанные этой подписью - подписаны лично мной и ни кем иным.
ttv писал(а):для каждой инстанции - своя подпись. это связано с безопасностью и структурой программы (здесь я не сильна
, но думаю, что пароли кодировать должны программисты той инстанции, куда я подаю отчёт с эл.подписью)
Вижу: не сильна. ЭЦП и пароли - разные вещи, разные подходы к обеспечению безопасности. Множество разных ЭЦП - это потенциальная угроза безопасности, поскольку затрудняется проверка действительности всего множества ЭЦП и подлинности подписанного документа. Если программа требует свою собственную ЭЦП - это не для безопасности, а в результате недоработки программы.
Elena.alexandru писал(а):так всегда было. и програмисты сами кодируют подпись отдельно на каждую фирму.
Программисты сами генерируют подписи потому что это проще, чем связываться с уполномоченным центром сертификации и делать всё "по уму". Любой человек (если не полный чайник) может самостоятельно закодировать свою личную ЭЦП. Средства для этого уже много лет как встроены в Windows. Кроме того, существуют специализированные программы для генерации и проверки ЭЦП. И всегда ЭЦП генерировалась из двух частей: PRIVATE и PUBLIC. Первая используется для подписания документов, вторая - передаётся всем желающим для проверки подлинности подписанного документа. Остаётся только проблема доверия к ЭЦП (если каждый имеет возможность каждые 5 минут генерировать новую ЭЦП на любое имя - как доверять таким ЭЦП?). Для решения проблемы доверия ЭЦП содержит ссылку на сертификат организации, сгенерировавшей ЭЦП. А сертификат этой организации должен содержать ссылку на международно признанную организацию по сертификации (например, VeriSign). ЭЦП, цепочка сертификатов которой не приводит к признанному центру сертификации (как упомянутый VeriSign) - не заслуживает доверия и может использоваться только в узком кругу "своих" людей. Наличие у одного лица множества ЭЦП также подрывает доверие как к этому лицу, так и к центру сертификации, допустившему генерацию множества ЭЦП.