Estoy buscando una buena forma de publicar datos junto con una firma digital (e idealmente una marca de tiempo) que sea lo más fácil de verificar.
Por ejemplo, imagine un administrador de elecciones que quiera publicar datos electorales que serán auditados (totales por candidato por precinto). Lo ideal es que no queramos que el público tenga que adquirir mucho, si es que tiene algún software especial o propietario. Se prefieren las firmas que se adhieren a un estándar abierto, pueden validarse en PC, Mac, Linux y pueden generarse mediante software de código abierto.
Los datos deben permanecer en legibles por la máquina, por lo que un pdf no es adecuado , por lo que si se usa pdf, los datos se adjuntarán a los pdf.
Por ejemplo, Si generamos firmas XML (por ejemplo, para IEEE 1622-2011 archivos de Lenguaje de marcado de elección (EML) para elecciones), ¿existe una funcionalidad estándar en los navegadores o sistemas operativos comunes para validar las firmas? ¿La interfaz de usuario es lo suficientemente clara para que quede claro para el usuario cuando los datos se ven bien, cuando son sospechosos y cómo lidiar con problemas comunes?
Otras alternativas (y preocupaciones):
- Publique hash SHA-256 en el periódico (¿Cómo describir los pasos de verificación al usuario?)
- Utilice un jar (zip firmado) y jarsigner (¿hay una interfaz gráfica de usuario agradable para verificar las firmas de los jar? ¿Validación de X.509 PATH?)
- Use OpenOffice (una molestia para instalar)
- CMS o S-MIME (¿Cómo podemos publicar un mensaje S-MIME con archivos adjuntos - IMAP público?)
- Use gpg (pero los administradores deben ingresar en la web de confianza de PGP, y los usuarios deben aprender a entenderla)
- Use s-http (una lástima enlace nunca se quitó ...)
- Use Excel (¿hay clientes gratuitos que puedan verificar la firma? ¿Software de código abierto para generarla a través de un script?)
- "Solo sirve desde un sitio web seguro" (no se ocupa de una variedad de ataques)