Tengo un pequeño foro web y me gustaría promover el uso de la firma de mensajes PGP. Los usuarios pueden firmar sus publicaciones y verificar las publicaciones de otros usuarios, pero actualmente el proceso es manual. Dependiendo del software que estén usando y de la integración del sistema operativo, algunos usuarios pueden usar los atajos de teclado para firmar sus mensajes o verificar los mensajes de otros carteles, pero algunos simplemente copian / pegan contenido entre otra pieza de software y el foro. Esto parece estar bien desde una perspectiva de seguridad, pero no es una gran experiencia para el usuario.
Idealmente, me gustaría solicitar la firma antes del envío del mensaje desde el software local de PGP del usuario para que mi servicio nunca entre en contacto con claves privadas en cualquier capacidad, simplemente solicita la firma de algún servicio que tenga conocimiento de la clave privada del usuario. una respuesta firmada, y almacena eso. es posible? ¿Esto representaría un riesgo (desde la perspectiva del usuario) de un ataque de texto simple elegido?
Por otro lado, sería bueno verificar automáticamente los mensajes firmados. Esto parece más difícil, ya que incluso si el servicio conoce la clave pública de cada usuario y puede hacer la verificación, los usuarios tienen que confiar en que mi informe de resultados de verificación de firmas es confiable, aunque quizás haya alguna forma de que el software del usuario Fallo en la verificación del informe.
¿Existe algo como esto donde un sitio web pueda solicitar servicios de cifrado de otra pieza de software en la que el usuario confíe? ¿Existe algún problema de seguridad fundamental con esta configuración?