Sono tenuto a progettare un sistema in cui i revisori possano venire in futuro, esaminare dati storici ed essere sicuro che i dati non siano cambiati da quando sono stati archiviati. Ho una specifica che mi insegna a segnare il timestamp e firmare i dati quando li memorizzo, ma immagino che se voglio cambiare i dati in futuro, posso sempre rigenerare la firma con i dati modificati e il timestamp originale. Dato che la firma è generata con il mio certificato, non c'è nulla che possa fermarmi?
Qualsiasi soluzione, a mio avviso, deve richiedere che le mie firme siano timestampate e controfirmate da una terza parte. In questo modo, un futuro revisore ha la parola di un terzo che l'hash che protegge un insieme di dati è genuinamente vecchio come pretende.
Le norme come XAdES soddisfano questo requisito? Può l'autorità di certificazione che emette la mia data di certificato e controfirmare le mie firme? Ci sono altri servizi online che fanno questo?