Firma messaggi del forum web

2

Gestisco il software del forum web, accessibile tramite NNTP e e-mail (come mailing list). Poiché NNTP di design consente a chiunque di falsificare il proprio indirizzo e-mail, è possibile utilizzare la firma dei messaggi per verificare l'identità dei poster.

Pertanto, vorrei integrare la firma e la verifica dei messaggi PGP opzionali nell'interfaccia utente web, in un modo che sia ragionevolmente sicuro ma non intralci. Probabilmente la verifica non sarebbe stata troppo difficile: la chiave potrebbe essere cercata sui keyserver e forse l'interfaccia utente web potrebbe visualizzare le identità della base di chiavi collegate una volta che si apre.

Il problema più difficile è la firma del messaggio. Essenzialmente, il flusso di lavoro dovrebbe essere un po 'lungo queste linee:

  1. L'utente compone il messaggio nell'interfaccia utente Web.
  2. Una volta che l'utente è pronto a pubblicare il messaggio, viene compilato in un messaggio RFC-850, quindi in qualche modo firmato.
  3. Il messaggio firmato è memorizzato e ad es. inviato agli iscritti alla mailing list.

Posso pensare ad alcuni modi per firmare il messaggio:

  • Chiedi all'utente di caricare la propria chiave privata.
    • Questo è fuori, ovviamente.
  • Utilizza un'implementazione PGP JavaScript e archivia la chiave privata dell'utente in localStorage .
    • Una vulnerabilità XSS nel software del forum significherebbe compromettere la chiave privata.
  • Fai in modo che il software del forum conservi la propria coppia di chiavi per ogni utente (crittografato con la password di accesso), che l'utente in qualche modo collega alla propria identità.
    • Non sono sicuro dei dettagli di questa idea. Probabilmente l'utente dovrebbe essere in grado di revocare la chiave in qualche modo.
  • Presentare all'utente il testo che è necessario copiare dal proprio browser Web, accedere alla propria macchina, quindi incollare di nuovo il messaggio firmato nel browser web.
    • Il dover fare questo per ogni post del forum diventerà presto noioso.
  • Scrivi le estensioni del browser per firmare il messaggio.
    • Non vedo l'ora di mantenere più estensioni del browser per questo scopo.
  • Scrivi un servizio di firma, che viene eseguito come server Web su localhost. Pertanto, il software del forum web potrebbe ad es. POST a link , dove il servizio di firma visualizzerà il messaggio e permetterà all'utente di confermare che questo è il messaggio che desidera firmare, il quale quindi POST il messaggio firmato a un URL di richiamata.
    • Forse qualcosa del genere esiste già?

C'è un modo migliore?

    
posta Vladimir Panteleev 24.03.2016 - 04:42
fonte

1 risposta

3

Ho scoperto link , sembra interessante.

È un'estensione del browser che tiene le chiavi sul client. Sebbene sia progettato principalmente per crittografare i messaggi su webmail, supporta anche la firma. Sembra anche esporre un'API, anche se non ho trovato nulla nell'API riguardante la firma dei messaggi, in particolare.

    
risposta data 24.03.2016 - 06:16
fonte

Leggi altre domande sui tag