Con una firma digitale potresti rivendicare la proprietà di un dato, ma di solito non a tuo vantaggio Una firma digitale funziona in questo modo:
- Il proprietario della chiave genera una coppia di chiavi pubblica / privata (due oggetti matematici che condividono una struttura comune).
- La chiave pubblica viene resa pubblica (da cui il nome) mentre la chiave privata viene mantenuta privata (la struttura è tale che rivelare la chiave pubblica non consente il recupero della chiave privata).
- Una firma viene calcolata su una determinata porzione di dati utilizzando l'algoritmo di generazione della firma, che si basa sulla chiave privata.
- Un valore di firma può essere verificato sulla parte di dati, utilizzando l'algoritmo di verifica della firma e la chiave pubblica.
La firma dimostra in qualche modo che il proprietario della chiave privata era coinvolto nel processo poiché la conoscenza della chiave privata è necessaria per produrre un valore di firma che l'algoritmo di verifica accetterà. Il valore della firma è matematicamente legato ai dati che sono stati firmati e pertanto non può essere trasportato su un'altra parte di dati. I certificati (quindi PKI ) sono un metodo per associare identità (ad esempio il tuo nome e il tuo essere fisico) per chiavi pubbliche , in modo che altre persone possano apprendere (con una certa garanzia di affidabilità) quale sia effettivamente la tua chiave pubblica. I certificati stessi si basano internamente sulle firme.
Ora questo non risolve il tuo problema. Come ho scritto, le firme possono essere utilizzate per rivendicare proprietà; firmando un dato, dimostrerai di essere coinvolto, ma nulla ti impedisce di firmare un file che è stato "prodotto" (in qualche modo) da qualcun altro.
Il modo normale di usare le firme è di approvare : firmando qualcosa, accetti di essere vincolato (in qualche modo, eventualmente legalmente) al contenuto di ciò che hai firmato. Non è quello che cerchi qui.
Un candidato migliore è data / ora . L'autore è definito in modo relativamente relativo al tempo : tu sei l'autore di qualche lavoro perché sei < em> il primo per averlo fatto. Quindi vuoi una prova di anteriorità .
Una Autorità di timestamp è un servizio che firma (con una firma digitale) una struttura contenente la data e l'ora correnti (come noto alla TSA) e un dato (in realtà un suo hash, ma è una questione tecnica). La TSA, con tale firma, garantisce che il dato sia esistito alla data specificata. Quindi quello che vuoi fare è presentare a un TSA una struttura che contiene il tuo lavoro artistico (il "volantino") e il tuo nome; e la TSA emetterà un timestamp che dimostra che, ad una certa data T , il volantino era in tuo possesso.
Se lo fai prima che pubblica il volantino, le altre persone non saranno in grado di ottenere un timestamp per gli stessi dati, con il loro nome e una data precedente a T . Se la prima prova del possesso del volantino porta il tuo nome, allora sarai considerato il "proprietario originale", cioè l'autore.
In pratica , ciò che fai è il seguente:
- Trasforma il lavoro artistico in un file F .
- Crea un file di testo chiamato
README.txt con il tuo nome in esso.
- Metti entrambi F e
README.txt in un archivio Zip.
- Ottieni un timestamp da un TSA.
- Conserva il timestamp e l'archivio Zip da qualche parte. In caso di controversia, mostrali al giudice.
Se un tale schema possa rimanere in tribunale è un'altra questione. Le questioni legali sono il loro mondo. Il mio sentimento tecnico è che un timbro temporale fatto in quel modo è un elemento di prova piuttosto strong, ma se sarà sufficiente dipende dalla giurisdizione, dalle leggi locali e, soprattutto, da come bene il TSA usato fa il suo lavoro.
Esiste un equivalente non computerizzato alla data e ora; si chiama una busta di Soleau . Se prendi il tuo volantino in forma stampata e lo metti nella busta di Soleau insieme a un foglio di carta che riporta il tuo nome, sarebbe un buon inizio per ulteriori rivendicazioni di paternità.