我对安全问题还是个新手,所以我的问题实际上可能只是一个误解。
我正在工作的系统要求用户应该在web应用程序中的某个位置对数据进行签名/时间戳。然而,为了使用数字证书进行签名,用户应该在系统上输入他们的私钥。考虑到第三方参与的事实,我们作为一家公司应该保证只有最终用户才被允许对数据进行签名/时间戳。
我看到的唯一方法是创建一个桌面应用程序,它可以证书数据。但我仍然需要有时间戳功能的地方,这需要与外部服务器进行通信,这可能是我们公司"窃取"他们私钥的一种方式。
在互联网上,特别是在网络应用程序上,是否有签名/时间戳数据的模式?如何实现这一点?
所以您有一个服务器和用户。用户在其系统上执行数据的数字签名。时间戳是与签名一起完成的(它证明了签名时间)。时间戳由受信任的第三方TSA(时间戳机构)执行。将进行签名的代码将联系TSA(通常使用HTTP或HTTPS协议),并以这种方式执行时间戳。TSA的证书包含在时间戳中,以便稍后可以验证时间戳。
现在谈谈技术方面。对于web应用程序,您的最佳选择是创建一个小程序或ActiveX控件,该控件将下载到用户的浏览器并进行签名。
我们公司为此提供了预先创建的解决方案,我在回答中对此进行了详细描述。
当然,您可以让用户下载文档,并使用Acrobat或其他客户端应用程序进行签名,然后将文档上传回来。如果您决定自己编写这样的应用程序,您将需要签名组件,例如IText或我们的SecureBlacbox。