A prueba de falsificaciones / comprobación de firma hecha a mano

1

Me gustaría imprimir documentos pre-firmados con un OTP verificable en él.

Soy un desarrollador web / de sistemas, criptográfico y entusiasta de la seguridad. De alguna manera, ahora soy el jefe de recursos humanos en un hotel en el Congo. Como persona de TI, quiero hacer lo máximo con menos trabajo, así que, por ejemplo, he desarrollado una intranet que genera automáticamente los certificados necesarios (certificados del empleador, certificados de capacitación, ...), con el sello de mi propia firma + empresa en como PDF.

Por ahora, soy el único autorizado para generar documentos "pre-firmados", pero no es difícil escanear y recortar un documento para extraer esta área, así que estoy buscando una manera de pegar (dentro de la área de firma) algo así como una OTP para poder controlar la validez de un documento.

Por ejemplo, asignamos una ID determinada a un documento, y asignamos una OTP-like a la firma en ese mismo documento. Entonces, para cualquiera en la empresa, será posible verificar en la intranet una ID determinada que llevará a la PTO asociada (o al revés).

Ahora mi pregunta es ¿cuál sería la mejor forma no adivinable de implementarlo? UUID s y / o cryptographic signature parecen ser opciones lógicas, pero demasiado largas (para pegar en el área de la firma) IMO. ¿Alguna idea?

Gracias por su ayuda.

PS: Preciso "Congo" más arriba porque actualmente NO HAY LEY sobre los documentos numéricos. Todo tiene que ser impreso, firmado y reconocido.

    
pregunta Max13 12.11.2016 - 17:43
fuente

1 respuesta

1

Antes de responder a la pregunta en sí, una cosa:
No lo hagas , porque hay una gran falla en tu forma de pensar.

Si su jefe viene a usted con un documento falso con su firma manuscrita copiada, y le pregunta por qué lo hizo, ¿cómo lo convencerá de que el documento no fue hecho por usted, con intenciones maliciosas? El software de firma digital es creado y utilizado exclusivamente por usted = > Si no se puede confiar en él, no se puede confiar en el software y viceversa. Si el software le dice al jefe "eso es incorrecto", podría ser cierto o una continuación de tus mentiras. Suponiendo que el jefe no es supid, no puedes convencerlo de que no hiciste nada malo. ... Es un poco como certificados HTTPS autofirmados. "Te garantizo que soy honesto". Bien ...

...

Si todavía quieres hacerlo:

Supuesto: está protegiendo adecuadamente su sistema contra el acceso no autorizado, y no planea dar acceso a otros para crear / almacenar documentos.

UUID no son mejores que criptas. Firmas, así que no voy a hablar de ello en absoluto.

Una cripta. firma sin almacenamiento en línea de todo el documento :
Tldr: Algunas falacias, y tediosas en el mejor de los casos.
No tiene que imprimir la firma en el lugar donde se encuentra la firma escrita a mano, puede estar en cualquier parte del papel. Y si se hace bien, es seguro, pero hay una falacia que los gobiernos se equivocan:
No firme el contenido binario de un archivo. Si lo hace, no se puede verificar el documento en papel, porque el escaneo no volverá a obtener el mismo archivo al 100%. (Y existe el problema de insertar la firma en el documento después de firmar = cambiar el documento ...).
Necesita algún proceso para firmar solo el contenido central. Y para verificar, alguien necesita volver a escribir todo en la computadora, sin ningún error.

Cripta. La firma con almacenamiento en línea es mejor, pero ...

Si tiene el documento en línea, solo puede imprimir un enlace a la versión en línea y, para verificarlo, el lector puede compararlo visualmente con la versión en papel. No es necesaria ninguna firma.

    
respondido por el deviantfan 12.11.2016 - 19:22
fuente

Lea otras preguntas en las etiquetas