Ho un piccolo forum Web e vorrei promuovere l'uso della firma PGP dei messaggi. Gli utenti possono firmare i loro post e verificare i post di altri utenti ma attualmente il processo è manuale. A seconda del software che stanno utilizzando e dell'integrazione del sistema operativo, alcuni utenti possono utilizzare le scorciatoie da tastiera per firmare i propri messaggi o verificare i messaggi di altri poster, ma alcuni sono semplicemente copia / incolla del contenuto tra un altro software e il forum. Ciò sembra soddisfacente dal punto di vista della sicurezza, ma non è una grande esperienza utente.
Idealmente vorrei chiedere la firma prima dell'invio del messaggio dal software PGP locale dell'utente, in modo che il mio servizio non entri mai in contatto con le chiavi private a qualsiasi titolo, richiede semplicemente la firma da parte di un servizio che è a conoscenza della chiave privata dell'utente, riceve una risposta firmata e la memorizza. È possibile? Ciò rappresenterebbe un rischio (dal punto di vista dell'utente) di un attacco di testo in chiaro scelto?
Dall'altro lato sarebbe bello verificare automaticamente i messaggi firmati. Ciò sembra più difficile poiché anche se il servizio conosce la chiave pubblica di ogni utente e può effettuare la verifica, gli utenti devono ancora crederlo che i miei rapporti sui risultati delle verifiche delle firme siano affidabili, sebbene forse ci sia un modo per il software dell'utente di Segnala un errore di verifica.
Esiste qualcosa di simile in cui un sito Web può richiedere servizi di crittografia da un altro software ritenuto affidabile dall'utente? C'è qualche problema di sicurezza fondamentale con una tale configurazione?