Come funzionano le firme digitali sui documenti PDF?

2

Recentemente ho compilato un documento PDF che mi ha richiesto di aggiungere una firma digitale. Il documento PDF aveva un link incorporato in esso che ho cliccato e ha attraversato il processo. Sono curioso di sapere come funziona.

  1. Ad un certo punto durante la firma, sono sicuro che questo documento è stato creato per una coppia privata-pubblica per me. Dal momento che non ho alcuna libreria crittografica sul mio computer, mi chiedo quale software abbia creato queste chiavi. I lettori Adobe PDF ora sono dotati di una libreria crittografica?

  2. La persona che riceve questo documento non ha nemmeno la mia chiave pubblica; come fanno a sapere che sono io a riempirlo? Il documento viene inviato insieme alla mia chiave pubblica?

  3. Nel caso in cui la chiave pubblica venga inviata insieme al documento, non ci sarebbe ancora alcun meccanismo per associare la chiave alla mia identità (nello stesso modo in cui una CA lo farebbe). Quindi, quali vantaggi offre esattamente questo tipo di firma?

posta Minaj 05.07.2016 - 16:31
fonte

1 risposta

3

Non essere sicuro di aver firmato il documento digitalmente. Adobe Reader e prodotti correlati includono anche le funzioni di echoSign. EchoSign è un sistema di firma elettronica (non digitale).

Se hai ancora il PDF "firmato", aprilo in Adobe Reader. Se vedi una barra colorata nella parte superiore che include un pulsante per il "pannello firma", il PDF è firmato digitalmente.

In tal caso, apri il pannello Firma (usa il pulsante) e vedi cosa ti dice sulle firme del documento. Lo screenshot qui sotto mostra un PDF con firma digitale aperto in Reader

Aggiunto per le tue domande:

What crypto lib was used?

[Adobe Reader è un enorme pezzo di sw installato localmente. Quindi non sarebbe un grosso problema per l'uso di una crittografia OS OS o includerne una per piattaforme che non hanno ciò di cui ha bisogno.]

The person receiving this document does not even have my public key; how do they know it is me who filled it out? Does the document get sent along with my public key?

[Sì, le firme digitali includono una copia della chiave pubblica del firmatario. Tuttavia, avere la chiave pubblica di un firmatario non stabilisce la fiducia, come dici tu. La fiducia viene stabilita avendo una relazione di fiducia con la chiave che ha firmato la chiave del firmatario.

Se una coppia di chiavi pubblica / privata viene creata al volo localmente sulla macchina del firmatario, probabilmente sono autofirmate. In tal caso, il relying party (destinatario) non ha modo di avere una relazione di trust preesistente con la chiave del firmatario poiché non ha un genitore emittente che lo garantisce.

Il destinatario può stabilire manualmente una relazione di fiducia con la chiave del firmatario, se lo desidera.]

In case the public key does get sent along with the document, there would still be no mechanism to associate the key with my identity (in the same way a CA would do it). So what benefits exactly does this kind of signing provide?

[Stai confondendo la disponibilità di una chiave pubblica con la potenziale relazione di fiducia di una CA o di un'altra persona che ha emesso la chiave.

  1. Le firme digitali includono la chiave pubblica del firmatario.
  2. La chiave del firmatario può essere autofirmata. In tal caso, la firma digitale SOLO garantisce che il documento non è stato modificato da quando è stato firmato. E anche quella garanzia è debole poiché non si può facilmente capire se qualcun altro ha impersonato il firmatario originale e modificato il documento.
  3. Se la chiave del firmatario è stata emessa da un'altra chiave (o una che è incatenata a una CA o una che è incatenata alla chiave master di un'organizzazione), allora è possibile creare un caso molto più strong che la chiave debba essere di fiducia. Inoltre, se la chiave è concatenata a una chiave già pre-attendibile dal software (Reader), allora sw può verificare automaticamente la relazione di fiducia tra te e il firmatario.)

Conclusione: le firme digitali autofirmate dovrebbero essere evitate da chiunque sia seriamente interessato alla loro firma. Le firme autofirmate sono facilmente falsificate da qualcun altro poiché non vi è alcuna possibilità di avere un rapporto di fiducia con l'emittente della chiave poiché non esiste un emittente, di per sé. La chiave si è garantita.

Ultimo commento: affinché una firma digitale sia strong, la sua chiave privata deve essere archiviata in un dispositivo di creazione di firme sicure come un dispositivo anti-manomissione o una smart card. La memorizzazione della chiave privata su un normale computer o server è una birra molto debole e non fornisce una firma legalmente vincolante in molti casi d'uso in tutto il mondo. (Ma va bene in altri casi d'uso.) ]

    
risposta data 06.07.2016 - 08:09
fonte

Leggi altre domande sui tag