¿Protocolo / estándar / software para solicitar la firma / verificación de contenido de PGP?

1

Tengo un pequeño foro web y me gustaría promover el uso de la firma de mensajes PGP. Los usuarios pueden firmar sus publicaciones y verificar las publicaciones de otros usuarios, pero actualmente el proceso es manual. Dependiendo del software que estén usando y de la integración del sistema operativo, algunos usuarios pueden usar los atajos de teclado para firmar sus mensajes o verificar los mensajes de otros carteles, pero algunos simplemente copian / pegan contenido entre otra pieza de software y el foro. Esto parece estar bien desde una perspectiva de seguridad, pero no es una gran experiencia para el usuario.

Idealmente, me gustaría solicitar la firma antes del envío del mensaje desde el software local de PGP del usuario para que mi servicio nunca entre en contacto con claves privadas en cualquier capacidad, simplemente solicita la firma de algún servicio que tenga conocimiento de la clave privada del usuario. una respuesta firmada, y almacena eso. es posible? ¿Esto representaría un riesgo (desde la perspectiva del usuario) de un ataque de texto simple elegido?

Por otro lado, sería bueno verificar automáticamente los mensajes firmados. Esto parece más difícil, ya que incluso si el servicio conoce la clave pública de cada usuario y puede hacer la verificación, los usuarios tienen que confiar en que mi informe de resultados de verificación de firmas es confiable, aunque quizás haya alguna forma de que el software del usuario Fallo en la verificación del informe.

¿Existe algo como esto donde un sitio web pueda solicitar servicios de cifrado de otra pieza de software en la que el usuario confíe? ¿Existe algún problema de seguridad fundamental con esta configuración?

    
pregunta Ryan Jenkins 08.08.2018 - 23:30
fuente

1 respuesta

1

Suponiendo que está utilizando formularios, se podría agregar accept=multipart/signed,application/pgp como un atributo del elemento de entrada apropiado. No creo que haya nada por ahí que realmente haga algo con esta información, pero es una forma que cumple con los estándares para expresar que desea que los datos firmados se envíen.

En lo que respecta a los problemas de seguridad, creo que siempre que la firma deje en claro al usuario lo que está firmando y obtenga su consentimiento, debería estar bien.

    
respondido por el William Hay 15.09.2018 - 14:41
fuente

Lea otras preguntas en las etiquetas