Quali validi e standard client di verifica delle firme digitali sono ampiamente o facilmente implementabili?

Un'opzione consisterebbe nel firmare digitalmente un messaggio con l'allegato XML con S / MIME. Utilizza una pagina online in cui gli utenti possono inserire il loro indirizzo email a cui verrà inviata una copia.

Un'altra opzione sarebbe quella di utilizzare un PDF firmato. Lo standard PDF consente ai documenti PDF di essere firmati digitalmente e supporta documenti allegati. L'XML può essere allegato al PDF come allegato. Il PDF completo con gli allegati sarà firmato.

Se vuoi rendere più semplice per gli utenti finali il controllo della firma, assicurati di utilizzare un certificato x.509 universalmente affidabile oppure, usa il tuo certificato e pubblica l'identificazione personale del certificato da qualche parte.

Martijn Brinkers

clienti? Questo manca piuttosto il punto. Si tratta davvero di formati e protocolli di file.

x509 è una pietra angolare delle implementazioni di crittografia. Sebbene sia solo un punto di partenza per l'implementazione del software, dovrebbe probabilmente essere il punto di partenza per cercare software.

Circa 10 anni fa, avevo bisogno di implementare un PKI per i miei datori di lavoro allora. Il percorso che ho intrapreso è stato quello di impostare un'autorità di certificazione di root utilizzando openSSL. A quel tempo era disponibile la verifica x509 per i plug-in email richiesti per MSOutlook Express ed Eudora (ma non per il Bat!). IIRC, questi sono ora integrati come standard. Wincrypt (file encryption) era disponibile come download gratuito e Stunnel era appena stato trasferito su MSWindows.

Certamente 10 anni sono un tempo lungo in circoli di crittografia - ma la cosa bella di x509 è che accetta diversi algoritmi / dimensioni chiave. Inoltre si basa sulla stessa base di LDAP.

Più di recente ci sono stati molti più strumenti implementati usando la crittografia del tipo SSL - ad es. Gnu Anubis (OK, in realtà non aggiunge i sigs - ma fornisce ganci per chiamare openssl), smart card

Signatures which adhere to an open standard, can be validated on [...] Mac [...]

Sul Mac, c'è un servizio Certificato, Chiave e Fiducia che è costruito in tutto il luogo. Ciò significa che potresti inviare loro dati S / MIME e sarebbero in grado di ispezionare il certificato e il suo percorso di fiducia nel client di posta. D'altra parte, l'interfaccia utente sembra un piccolo segno di spunta o una croce in una barra sopra il messaggio. Questo è anche il problema con l'utilizzo di TLS - funziona, ma funziona in modo silenzioso, e in alcune situazioni fallisce anche in modo silenzioso. Tutto ciò che c'è in mezzo richiede una conoscenza speciale da comprendere.

È disponibile un plug-in di terze parti per GPG in Apple Mail , ma come hai osservato nella domanda di registrazione e in seguito l'uso corretto di OpenPGP è difficile .

Se l'esempio è un caso di uso comune (pubblicazione ufficiale elettorale), è possibile prendere in considerazione una pagina Web ufficiale che fornisce la convalida dell'hash crittografico sul lato server e l'opzione per consentire ai cittadini di convalidare offline per se stessi. L'ufficio elettorale pubblicherebbe i risultati su una pagina che fornisce il messaggio di risultato, un hash di detto messaggio e una funzione che conferma l'hash è valida per il messaggio sul lato server (azione del pulsante o controllo automatico con risultato sulla pagina). Questo schema indirizza la catena di fiducia per risoluzione del sito a un URL di agenzia governativa legittima. La superficie di attacco sarebbero gli artefatti sul lato server del messaggio e dell'hash e del DNS. Considerando il caso d'uso nell'esempio relativo alla pubblicazione e non garantendo la documentazione originale, ciò potrebbe essere sufficiente in quanto il punto principale sarebbe evitare che gli errori di battitura vengano riprodotti in un'ulteriore diffusione (giornali, ecc.).