Sto cercando una fonte di data / ora firmata crittograficamente in linea. Non ho bisogno di un servizio di timestamp completo, poiché sono soddisfatto delle informazioni «data / ora era quella», senza un link a una sfida / hash che fornisco. Non mi interessa se un avversario attivo nutre il mio dispositivo fidato con una data / ora vecchia (anche molto vecchia); Mi preoccupo solo dei tentativi di dargli un appuntamento in futuro. Il mio dispositivo fidato potrebbe essere una Smart Card che posso programmare, collegata a un PC non affidabile.
Desidero qualcosa senza costi o necessità di autenticarsi per ottenere un nuovo certificato. Sto bene per una tassa annuale all'autorità che mi fornisce quel servizio. Prevedo solo una decina di migliaia di richieste in un anno. Potrei vivere con interruzioni del servizio o ritardo di data / ora non superiore a un'ora.
Sto pensando di acquistare un certificato SSL (o simile) regolare da una CA commerciale e, utilizzando i servizi di revoca che forniscono per quel certificato, che mi viene risposto rispondere alle domande «questo certificato è ancora valido? »Con un messaggio firmato« per (ora corrente esplicita) questo certificato è valido », che sono quindi in grado di verificare utilizzando la chiave pubblica CA a lungo termine.
Sembra che suoni? Quale protocollo adatto è ampiamente supportato dalle CA commerciali? Il mio utilizzo è consentito dalle normali pratiche CA commerciali / termine di utilizzo?
Qualche alternativa?
Aggiunte recenti:
Preferisco di gran lunga qualcosa di simile che il dispositivo fidato possa verificare una quantità moderata di dati (ad es. messaggio firmato, certificato), staticamente inoltrati da non fidato Host PC.
Il lavoro del dispositivo fidato dovrebbe essere semplice (a causa sia di risorse limitate, sia della necessità di accertarsi che l'implementazione sia sicura).
Preferirei che la data / ora firmata crittograficamente potesse essere ottenuta in una singola sessione TCP / IP e non sono pronto per impostare un indirizzo email per punto in cui ho bisogno di questo servizio.
Il mio requisito per le richieste gratuite non riguarda tanto la tariffa, ma la necessità pratica di autenticarsi per richiedere qualsiasi cosa ottenuta a pagamento. Una password è fuori discussione. Persino una debole autenticazione tramite IP non si adatta (passa a un accesso a Internet di backup in caso di emergenza e poof va alla disponibilità).
Non ho nulla contro un servizio gratuito, ma sono disposto a pagare per abbassare le probabilità che il servizio sia terminato e rendere qualcuno imbarazzato se l'orologio salta in futuro.