Quali validi e standard client di verifica delle firme digitali sono ampiamente o facilmente implementabili?

8

Sto cercando un buon modo per pubblicare dati insieme a una firma digitale (e idealmente un timestamp) che sia il più semplice possibile per verificare.

Ad esempio, immagina un amministratore elettorale che desideri pubblicare i dati delle elezioni che devono essere controllati (in totale per candidato per distretto). Idealmente non vogliamo imporre al pubblico di dover acquisire molto se non un software speciale o proprietario. Le firme che aderiscono a uno standard aperto, possono essere convalidate su PC, Mac, Linux e possono essere generate da software open source.

I dati devono rimanere leggibili dalla macchina , quindi un pdf non è adatto , quindi, se si utilizza il pdf, i dati dovrebbero essere allegati al pdf.

es. se generiamo firme XML (ad esempio per IEEE 1622-2011 file EML (Election Markup Language) per elezioni), esiste una funzionalità standard in qualsiasi browser o sistema operativo comune per convalidare le firme? L'interfaccia utente è abbastanza chiara da essere chiara per l'utente quando i dati sembrano buoni, quando è sospetto e come gestire i problemi comuni?

Altre alternative (e dubbi):

  • Pubblica hash SHA-256 nel giornale (come descrivere i passaggi di verifica all'utente?)
  • Utilizzare un barattolo (zip firmata) e jarsigner (c'è una bella GUI per la verifica delle firme del barattolo? Convalida del PATH X.509?)
  • Usa OpenOffice (una seccatura da installare)
  • CMS o S-MIME (Come possiamo pubblicare un messaggio S-MIME con allegati - IMAP pubblico?)
  • Utilizza gpg (ma gli amministratori devono entrare nella rete di fiducia di PGP e gli utenti devono imparare a capirlo)
  • Utilizza s-http (un peccato link non è mai decollato ....)
  • Usa Excel (ci sono client liberi che possono controllare la firma? Software open source per generarlo tramite uno script?)
  • "Servi solo da un sito web sicuro" (non si occupa di una serie di attacchi)
posta nealmcb 21.12.2010 - 02:47
fonte

4 risposte

4

Un'opzione consisterebbe nel firmare digitalmente un messaggio con l'allegato XML con S / MIME. Utilizza una pagina online in cui gli utenti possono inserire il loro indirizzo email a cui verrà inviata una copia.

Un'altra opzione sarebbe quella di utilizzare un PDF firmato. Lo standard PDF consente ai documenti PDF di essere firmati digitalmente e supporta documenti allegati. L'XML può essere allegato al PDF come allegato. Il PDF completo con gli allegati sarà firmato.

Se vuoi rendere più semplice per gli utenti finali il controllo della firma, assicurati di utilizzare un certificato x.509 universalmente affidabile oppure, usa il tuo certificato e pubblica l'identificazione personale del certificato da qualche parte.

Martijn Brinkers

    
risposta data 21.12.2010 - 21:39
fonte
4

clienti? Questo manca piuttosto il punto. Si tratta davvero di formati e protocolli di file.

x509 è una pietra angolare delle implementazioni di crittografia. Sebbene sia solo un punto di partenza per l'implementazione del software, dovrebbe probabilmente essere il punto di partenza per cercare software.

Circa 10 anni fa, avevo bisogno di implementare un PKI per i miei datori di lavoro allora. Il percorso che ho intrapreso è stato quello di impostare un'autorità di certificazione di root utilizzando openSSL. A quel tempo era disponibile la verifica x509 per i plug-in email richiesti per MSOutlook Express ed Eudora (ma non per il Bat!). IIRC, questi sono ora integrati come standard. Wincrypt (file encryption) era disponibile come download gratuito e Stunnel era appena stato trasferito su MSWindows.

Certamente 10 anni sono un tempo lungo in circoli di crittografia - ma la cosa bella di x509 è che accetta diversi algoritmi / dimensioni chiave. Inoltre si basa sulla stessa base di LDAP.

Più di recente ci sono stati molti più strumenti implementati usando la crittografia del tipo SSL - ad es. Gnu Anubis (OK, in realtà non aggiunge i sigs - ma fornisce ganci per chiamare openssl), smart card

    
risposta data 21.12.2010 - 11:21
fonte
3

Signatures which adhere to an open standard, can be validated on [...] Mac [...]

Sul Mac, c'è un servizio Certificato, Chiave e Fiducia che è costruito in tutto il luogo. Ciò significa che potresti inviare loro dati S / MIME e sarebbero in grado di ispezionare il certificato e il suo percorso di fiducia nel client di posta. D'altra parte, l'interfaccia utente sembra un piccolo segno di spunta o una croce in una barra sopra il messaggio. Questo è anche il problema con l'utilizzo di TLS - funziona, ma funziona in modo silenzioso, e in alcune situazioni fallisce anche in modo silenzioso. Tutto ciò che c'è in mezzo richiede una conoscenza speciale da comprendere.

È disponibile un plug-in di terze parti per GPG in Apple Mail , ma come hai osservato nella domanda di registrazione e in seguito l'uso corretto di OpenPGP è difficile .

    
risposta data 21.12.2010 - 12:52
fonte
1

Se l'esempio è un caso di uso comune (pubblicazione ufficiale elettorale), è possibile prendere in considerazione una pagina Web ufficiale che fornisce la convalida dell'hash crittografico sul lato server e l'opzione per consentire ai cittadini di convalidare offline per se stessi. L'ufficio elettorale pubblicherebbe i risultati su una pagina che fornisce il messaggio di risultato, un hash di detto messaggio e una funzione che conferma l'hash è valida per il messaggio sul lato server (azione del pulsante o controllo automatico con risultato sulla pagina). Questo schema indirizza la catena di fiducia per risoluzione del sito a un URL di agenzia governativa legittima. La superficie di attacco sarebbero gli artefatti sul lato server del messaggio e dell'hash e del DNS. Considerando il caso d'uso nell'esempio relativo alla pubblicazione e non garantendo la documentazione originale, ciò potrebbe essere sufficiente in quanto il punto principale sarebbe evitare che gli errori di battitura vengano riprodotti in un'ulteriore diffusione (giornali, ecc.).

    
risposta data 09.05.2011 - 21:59
fonte

Leggi altre domande sui tag