Voglio garantire che il mittente del documento B sia la stessa persona di chi mi ha inviato in precedenza il documento A. Entrambi i documenti sono firmati con certificati autofirmati. Non mi interessa conoscere l'identità del mittente nel mondo reale.
Quando apro il certificato autofirmato con un visualizzatore di certificati, mostra l'oggetto del certificato, l'emittente, il numero di serie, l'identificatore della chiave dell'oggetto, la chiave pubblica (molto lunga senza senso), il digest SHA1 della chiave pubblica, i dati X.509, Digestione SHA1 (di cosa?) E digestione MD5 (di cosa?).
So che l'emittente del certificato autofirmato può inserire elementi arbitrari nei campi "soggetto", "emittente", "numero di serie", quindi non hanno senso. Ma non so nulla di altri campi.
Se i certificati contenuti in questi due documenti hanno, ad esempio, esattamente la stessa stringa "SHA1 digest of public key", significa che sono effettivamente firmati dalla stessa persona? Può un hacker fingere?