Questa domanda su SE descrive uno scenario che non capisco perfettamente il caso d'uso o come il 4998 può aiutare a correggere il problema.
Come e quando dovrebbe essere usato XAdES-X-L e dove dovrebbe essere usato l'RFC4998?
Questa domanda su SE descrive uno scenario che non capisco perfettamente il caso d'uso o come il 4998 può aiutare a correggere il problema.
Come e quando dovrebbe essere usato XAdES-X-L e dove dovrebbe essere usato l'RFC4998?
La differenza tra le registrazioni di prove e le firme XAdES è che, per prima cosa, il primo consiste in record di prove (garantisce l'integrità dei dati) e il secondo nelle firme (garantisce l'integrità e l'autenticità dei dati).
I vari formati XAdES consentono alle persone e alle persone giuridiche di firmare i dati. In un numero crescente di paesi, questo ha lo stesso valore legale della firma di un documento cartaceo , tuttavia con una maggiore sicurezza (la creazione di una firma digitale è teoricamente impossibile se si utilizza la prova provata, algoritmi sicuri di digestione e crittografia).
Esistono tuttavia alcuni problemi che possono sorgere con tali firme: gli algoritmi diventano più deboli e le informazioni di revoca per i certificati di firma potrebbero non essere disponibili (una volta scaduto il certificato, la CA non è tenuta a conservare le informazioni di revoca correlate). Di conseguenza, l'archiviazione delle firme digitali per lunghi periodi può diventare impraticabile ... a meno che non si tenga, insieme alla firma, tutte le relative informazioni di revoca e si assicuri anche che non possa essere falsificato se gli algoritmi (che sono stati utilizzati al momento della creazione) diventare più debole / rotto.
Ed è esattamente ciò che portano i formati XAdES / a lungo termine: aggiungono le informazioni di revoca alla firma e quindi emettono un nuovo timestamp (con un algoritmo più strong questa volta) su questa firma aggiornata. Questo nuovo timestamp copre quindi il valore della firma originale, insieme alle informazioni di revoca aggiunte. Con l'emissione di tali timestamp di archivio ogni volta che un algoritmo diventa più debole e / o quando un certificato di firma scade, puoi virtualmente archiviare la firma originale per sempre.
Le testimonianze, d'altro canto, sono "giuste" prove a cui è stato applicato un timestamp (cfr. RFC3161). Questo può essere usato per dimostrare che alcuni dati sono effettivamente esistiti in un dato momento, ma manca lo scopo legale di una firma (cioè qualcuno ha espresso il proprio consenso a qualcosa specificato in un dato documento).
Quindi, per riassumere: XAdES-A deve essere utilizzato quando è necessario archiviare i contenuti di archiviazione entro della firma. Altrimenti, i RE possono fare lo stesso lavoro ...
Leggi altre domande sui tag digital-signature