¿Qué buenos clientes de verificación de firma digital estándar se implementan amplia o fácilmente?

8

Estoy buscando una buena forma de publicar datos junto con una firma digital (e idealmente una marca de tiempo) que sea lo más fácil de verificar.

Por ejemplo, imagine un administrador de elecciones que quiera publicar datos electorales que serán auditados (totales por candidato por precinto). Lo ideal es que no queramos que el público tenga que adquirir mucho, si es que tiene algún software especial o propietario. Se prefieren las firmas que se adhieren a un estándar abierto, pueden validarse en PC, Mac, Linux y pueden generarse mediante software de código abierto.

Los datos deben permanecer en legibles por la máquina, por lo que un pdf no es adecuado , por lo que si se usa pdf, los datos se adjuntarán a los pdf.

Por ejemplo, Si generamos firmas XML (por ejemplo, para IEEE 1622-2011 archivos de Lenguaje de marcado de elección (EML) para elecciones), ¿existe una funcionalidad estándar en los navegadores o sistemas operativos comunes para validar las firmas? ¿La interfaz de usuario es lo suficientemente clara para que quede claro para el usuario cuando los datos se ven bien, cuando son sospechosos y cómo lidiar con problemas comunes?

Otras alternativas (y preocupaciones):

  • Publique hash SHA-256 en el periódico (¿Cómo describir los pasos de verificación al usuario?)
  • Utilice un jar (zip firmado) y jarsigner (¿hay una interfaz gráfica de usuario agradable para verificar las firmas de los jar? ¿Validación de X.509 PATH?)
  • Use OpenOffice (una molestia para instalar)
  • CMS o S-MIME (¿Cómo podemos publicar un mensaje S-MIME con archivos adjuntos - IMAP público?)
  • Use gpg (pero los administradores deben ingresar en la web de confianza de PGP, y los usuarios deben aprender a entenderla)
  • Use s-http (una lástima enlace nunca se quitó ...)
  • Use Excel (¿hay clientes gratuitos que puedan verificar la firma? ¿Software de código abierto para generarla a través de un script?)
  • "Solo sirve desde un sitio web seguro" (no se ocupa de una variedad de ataques)
pregunta nealmcb 21.12.2010 - 02:47
fuente

4 respuestas

4

Una opción sería firmar digitalmente un mensaje con el archivo adjunto XML con S / MIME. Utilice una página en línea en la que los usuarios puedan ingresar su dirección de correo electrónico a la que se enviará una copia.

Otra opción sería usar un PDF firmado. El estándar PDF permite la firma digital de documentos PDF y admite documentos adjuntos. El XML se puede adjuntar al PDF como un archivo adjunto. Se firmará el PDF completo, incluidos los archivos adjuntos.

Si desea facilitar la verificación de la firma a los usuarios finales, debe asegurarse de utilizar un certificado x.509 de confianza universal o usar su propio certificado y publicar la huella digital del certificado en algún lugar.

Martijn Brinkers

    
respondido por el Martijn Brinkers 21.12.2010 - 21:39
fuente
4

¿Clientes? Eso más bien pierde el punto. Realmente se trata de formatos de archivo y protocolos.

x509 es una piedra angular de las implementaciones de cifrado. Aunque es solo un punto de partida para implementar software, probablemente debería ser su punto de partida para buscar software.

Hace unos 10 años, necesitaba implementar una PKI para mis empleadores de entonces. La ruta que tomé fue configurar una Autoridad de Certificación raíz utilizando openSSL. En ese momento, la verificación x509 estaba disponible para los complementos requeridos por correo electrónico para MSOutlook Express y Eudora (¡pero no para Bat!). IIRC, ahora están incorporados de serie. Wincrypt (cifrado de archivos) estaba disponible como descarga gratuita y Stunnel acababa de ser portado a MSWindows.

Ciertamente, 10 años es mucho tiempo en los círculos de encriptación, pero lo bueno de x509 es que admite diferentes algoritmos / tamaños de clave. También se basa en la misma base que LDAP.

Más recientemente, se han implementado muchas más herramientas utilizando el cifrado de tipo SSL, por ejemplo, Gnu Anubis (OK, en realidad no agrega las firmas, pero proporciona enlaces para las llamadas a openssl), tarjetas inteligentes

    
respondido por el symcbean 21.12.2010 - 11:21
fuente
3
  

Firmas que se adhieren a un abierto   estándar, se puede validar en [...] Mac [...]

En la Mac, hay un servicio de Certificado, Clave y Confianza que está integrado en todo el lugar. Eso significa que usted podría enviarles datos S / MIME y ellos podrían inspeccionar el certificado y su ruta de confianza en el cliente de correo. Por otro lado, la interfaz de usuario solo se ve como un pequeño tic o cruz en una barra sobre el mensaje. Ese es también el problema con el uso de TLS: funciona, pero funciona de manera silenciosa y, en algunas situaciones, también falla silenciosamente. Todo lo que hay en el medio necesita un conocimiento especial para comprender.

Hay un complemento de terceros para GPG en Apple Mail , pero como observó en su registro de preguntas y en el siguiente el uso correcto de OpenPGP es difícil .

    
respondido por el user185 21.12.2010 - 12:52
fuente
1

Si el ejemplo es un caso de uso común (publicación oficial de elecciones), es posible que desee considerar una página web oficial que proporcione la validación de hash criptográfica del lado del servidor y la opción de permitir que los ciudadanos se validen sin conexión por sí mismos. La oficina de elecciones publicaría los resultados en una página que proporciona el mensaje de resultado, un hash de dicho mensaje y una función que confirma que el hash es válido para el mensaje en el lado del servidor (acción de botón o verificación automática con el resultado de la página). Este esquema abordaría la cadena de confianza mediante la resolución del sitio a una URL de agencia gubernamental legítima. La superficie de ataque serían los artefactos del lado del servidor de hash y DNS. Teniendo en cuenta que el caso de uso en el ejemplo tiene que ver con la publicación y no con la documentación original, esto podría ser suficiente, ya que el punto principal sería evitar que se reproduzcan errores tipográficos en una mayor difusión (periódicos, etc.).

    
respondido por el zedman9991 09.05.2011 - 21:59
fuente

Lea otras preguntas en las etiquetas