Esistono servizi di firma a tempo di terzi?

1

Mi chiedo se esiste un servizio di terze parti attendibile che posso inviare un file, o solo una firma di un file, e recuperare una firma di quel file firmato con il timestamp di quando è stato firmato.

Esiste un servizio simile?

Non sto cercando qualcosa di complicato come una catena di blocchi: solo un semplice servizio che usa GPG o qualcosa di simile.

    
posta Jacob Brown 02.08.2018 - 04:32
fonte

1 risposta

3

Una riga da uno script di build che ho usato alcuni anni fa:

signtool sign /v /f <REDACTED> /p <REDACTED> /fd sha256 /t http://timestamp.verisign.com/scripts/timstamp.dll %1

Cioè, utilizzando% s_di% di Windows SDK per richiedere che Verisign (ora Symantec) timestamp la firma del file che stavo compilando. Ironia della sorte, il dominio timestamp.verisign.com non è disponibile su HTTPS (anche se questo non ha molta importanza, non sono stati trasmessi dati sensibili significativi e potrei ovviamente verificare la firma di data e ora contro una chiave conosciuta).

Potresti riuscire a trovare altre autorità pubbliche di timestamping; questo è solo uno che mi è stato mostrato da qualcun altro che lavora su un problema simile. Inoltre, nota che signtool.exe ha un parametro separato ( signtool.exe rispetto a /tr ) per gli URL RFC 3161, il che suggerisce che l'URL che ho fornito non è conforme a RFC 3161.

    
risposta data 02.08.2018 - 10:22
fonte

Leggi altre domande sui tag