Sto cercando un buon modo per pubblicare dati insieme a una firma digitale (e idealmente un timestamp) che sia il più semplice possibile per verificare.
Ad esempio, immagina un amministratore elettorale che desideri pubblicare i dati delle elezioni che devono essere controllati (in totale per candidato per distretto). Idealmente non vogliamo imporre al pubblico di dover acquisire molto se non un software speciale o proprietario. Le firme che aderiscono a uno standard aperto, possono essere convalidate su PC, Mac, Linux e possono essere generate da software open source.
I dati devono rimanere leggibili dalla macchina , quindi un pdf non è adatto , quindi, se si utilizza il pdf, i dati dovrebbero essere allegati al pdf.
es. se generiamo firme XML (ad esempio per IEEE 1622-2011 file EML (Election Markup Language) per elezioni), esiste una funzionalità standard in qualsiasi browser o sistema operativo comune per convalidare le firme? L'interfaccia utente è abbastanza chiara da essere chiara per l'utente quando i dati sembrano buoni, quando è sospetto e come gestire i problemi comuni?
Altre alternative (e dubbi):
- Pubblica hash SHA-256 nel giornale (come descrivere i passaggi di verifica all'utente?)
- Utilizzare un barattolo (zip firmata) e jarsigner (c'è una bella GUI per la verifica delle firme del barattolo? Convalida del PATH X.509?)
- Usa OpenOffice (una seccatura da installare)
- CMS o S-MIME (Come possiamo pubblicare un messaggio S-MIME con allegati - IMAP pubblico?)
- Utilizza gpg (ma gli amministratori devono entrare nella rete di fiducia di PGP e gli utenti devono imparare a capirlo)
- Utilizza s-http (un peccato link non è mai decollato ....)
- Usa Excel (ci sono client liberi che possono controllare la firma? Software open source per generarlo tramite uno script?)
- "Servi solo da un sito web sicuro" (non si occupa di una serie di attacchi)