Sto sviluppando un server web che esegue firme digitali di documenti (xml, pdf e office) e quindi convalida tali firme.
La mia idea è: un utente mette la sua SmartCard e attraverso un PIN, ottiene la sua chiave privata. Quindi, la chiave privata deve essere inviata al server, in modo che il server possa firmare il documento con quella chiave.
Anche se la chiave privata viene trasmessa attraverso un canale SSL (HTTPS), è una buona idea inviare la chiave privata lontano dall'utente? Qual è la tua opinione? Sto cercando di evitare di eseguire le firme sul lato client, in modo che sia possibile accedere al servizio di firma da ogni dispositivo.
Saluti, William.