Supponiamo di avere un modulo Infopath firmato digitalmente oggi da un utente valido e attivo.
Quando quell'utente lascia la società, disabilitiamo l'account e revochiamo il certificato. Ciò causa un problema poiché i vecchi documenti che sono stati firmati correttamente sono segnalati come non validi.
In che modo manteniamo l'integrità di un'infrastruttura PKI e assicuriamo che i documenti firmati validi validi siano ancora validi in Infopath?
Non so come funzioni Infopath ma la tua domanda è un problema generale nel campo della validazione della firma digitale a lungo termine.
La soluzione è memorizzare insieme alla firma tutte le informazioni necessarie per convalidare la firma (ad esempio tutti i percorsi dei certificati, le risposte CRL o OCSP scaricate ...) e avvolgere tutto con un timestamp crittografico (come definito in RFC 3161 ). Questo timestamp fornisce una prova di esistenza di tutti questi oggetti alla data di scadenza. Pertanto è possibile rieseguire il processo di convalida della firma in passato (cioè quando il certificato di firma era valido / non scaduto)
Ho trovato questo link link sulla firma digitale in MS Office 2010 e sembra rilevante per Infopath. È necessario un livello di firma XAdES-X o XAdES-XL, a seconda di quanto in futuro dovrà essere convalidata la firma.
Spero che questo aiuti.
PKI riguarda l'autenticazione (authn) e l'identità e non affronta l'intero problema dell'autorizzazione (authz). Sembra che tu stia cercando di fare affidamento sulla convalida del percorso di certificazione per fare più di quanto è stato progettato per fare.
Infopath non fornisce alcun modo per aggiungere altri assegni quando valuta i documenti - come controllare un timestamp sicuro sulla firma con altri metadati quando il soggetto autenticato dal certificato era autorizzato a fare cosa? O non ci sono altri modi per prevenire soggetti correttamente autenticati, ma non autorizzati, dalla firma dei documenti? Quindi potresti evitare di revocare il certificato, ma essere comunque in grado di valutarne l'utilizzo in modo appropriato.
E, naturalmente, saranno utili brevi periodi di validità.
Leggi altre domande sui tag authentication digital-signature public-key-infrastructure certificates