¿Hay alguna CA (entidad de certificación) del estado nacional que tenga una API pública para verificar las firmas digitales? [cerrado]

Question

¿Hay alguna CA (entidad de certificación) del estado nacional que tenga una API pública para verificar las firmas digitales? [cerrado]

#1 de Larry K (1 votos)
#2 de WhiteWinterWolf (1 votos)

0

Hay alrededor de más de 200 estados-nación en el planeta. La mayoría de estos utilizan eIDs. ¿Alguno de estos estados nacionales tiene una API pública para verificar las firmas digitales?

Ejemplo :

Nación-estado Canadá emite un eID a Alice, a través de Canadas CA (autoridad de certificación)

Alice firma un documento legal con su eID.

Bob posee un servicio que necesita verificar el documento legal de Alice. Bob verifica la firma digital de Alice con Canadas CA.

Bob utilizó algún tipo de API, y Canadá devuelve 'verdadero' o 'falso'.

Y si ninguno de los más de 200 estados nacionales verifica las firmas digitales,

¿Cómo verifica Bob que Alice es realmente Alice?

hizo la misma pregunta hace 3 días, pero se consideró "muy amplio", ¿Cómo proporcionaría un estado-nación un API para que sus ciudadanos verifiquen su identidad legal en línea? He intentado reducirlo ahora.

digital-signature certificate-authority

pregunta b0ris 20.07.2015 - 16:31

fuente

2 respuestas

Lea otras preguntas en las etiquetas digital-signature certificate-authority

¿Es viable la seguridad biométrica a largo plazo? ¿cómo saber que mi PC está 100% limpia?

score 1 · Answer 1

¿Alguna CA (autoridad de certificación) del estado-nación tiene una API pública para verificar las firmas digitales?

No, las CA no verifican las firmas digitales, las partes confidentes (los destinatarios) hacen la verificación por sí mismas, utilizando sus propias aplicaciones de software. Por ejemplo, use Adobe Reader (versión gratuita) para verificar archivos PDF firmados digitalmente.

Sin embargo, las CA publican una CRL (Lista de revocación de certificados) . Ese archivo puede verse como una API que ayuda en el proceso de verificación. No realiza el proceso de verificación per se.

Y algunas CA brindan acceso para las solicitudes de Online Certificate Status Protocol (OCSP) . OCSP es una técnica más nueva para determinar si un certificado ha sido revocado o no. Por ejemplo, Verisign . Al igual que los archivos CRL, OCSP ayuda con el proceso de verificación, pero no es lo mismo que verificar una firma.

Y si ninguno de los más de 200 estados nacionales verifica las firmas digitales, ¿cómo verifica Bob que Alice es realmente Alice?

Bob abre el documento o los datos firmados digitalmente utilizando la aplicación de software adecuada. Para verificar una firma digital, la aplicación de Bob pasa por varios pasos. Uno de los pasos es volver a crear la cadena de confianza entre un certificado en el que Bob ya confía y el certificado de Alice en el que Bob aún no confía.

Si el software de Bob es capaz de recrear la cadena de confianza, hacerlo le da a Bob cierto nivel de seguridad de que Alice es quien dice que es.

¿Qué tan alto es el nivel de confianza? Depende de las políticas y procedimientos de la CA raíz y las CA intermedias en la cadena de confianza. También depende de que Alice proteja adecuadamente su dispositivo de firma digital.

Si te gustan las "tramas de películas", siempre es posible (pero no probable) que alguien falsifique la firma de otra persona sin importar qué tecnología se haya utilizado.

En el mundo real, las firmas denotan confianza y las partes confiables determinan qué nivel de confianza necesitan para aceptar una firma determinada en un documento determinado.

score 1 · Answer 2

Para la Unión Europea, parece haber una lista de CA de confianza disponible aquí utilizable para autentificar dicha firma. Debe importar la lista a su software (de la misma manera que a los navegadores se les proporciona una lista de CA web común que ya se importó en ellos), luego se podrá utilizar como raíz para garantizar la autenticidad de la firma digital.

Algunos países también proponen kits de desarrollo , aunque no estoy seguro de que haya ningún proyecto internacional para ampliar dicho kit a mayor escala. Si su actividad no se limita a ese país, construir su propia API basándose en la Lista de confianza mencionada anteriormente puede ser una solución más genérica.