Mi chiedo se esiste un servizio di terze parti attendibile che posso inviare un file, o solo una firma di un file, e recuperare una firma di quel file firmato con il timestamp di quando è stato firmato.
Esiste un servizio simile?
Non sto cercando qualcosa di complicato come una catena di blocchi: solo un semplice servizio che usa GPG o qualcosa di simile.
Una riga da uno script di build che ho usato alcuni anni fa:
signtool sign /v /f <REDACTED> /p <REDACTED> /fd sha256 /t http://timestamp.verisign.com/scripts/timstamp.dll %1
Cioè, utilizzando% s_di% di Windows SDK per richiedere che Verisign (ora Symantec) timestamp la firma del file che stavo compilando. Ironia della sorte, il dominio timestamp.verisign.com non è disponibile su HTTPS (anche se questo non ha molta importanza, non sono stati trasmessi dati sensibili significativi e potrei ovviamente verificare la firma di data e ora contro una chiave conosciuta).
Potresti riuscire a trovare altre autorità pubbliche di timestamping; questo è solo uno che mi è stato mostrato da qualcun altro che lavora su un problema simile. Inoltre, nota che signtool.exe ha un parametro separato ( signtool.exe rispetto a /tr ) per gli URL RFC 3161, il che suggerisce che l'URL che ho fornito non è conforme a RFC 3161.
Leggi altre domande sui tag digital-signature timestamp