Как я могу цифровой подписью журналов, чтобы убедиться, что они не были изменены?

Question

В нашем приложении журналы должны быть подписаны, чтобы доказать, что они не были изменены после того, как они произошли.

Это означает, что они должны быть подписаны с использованием некоторой метки времени, которая связывает подпись со временем, когда журнал был написан и подписан.

Таким образом, журнал не может быть изменен и подписан снова без изменения этой отметки времени - и, следовательно, может быть обнаружена любая попытка изменения -.

Есть ли стандартный способ сделать это?

Answer 1

Евгений Маевский прав, подпись CAdES с меткой времени с использованием внешнего сервиса метки времени сделает эту работу.Однако все зависит от точных угроз журналам, которые создает ваше приложение, и их потенциальных создателей.В первом приближении вам будет достаточно подписать хэш журнала с внешним TSA (без локальной подписи CAdES).

Answer 2

Метка времени является частью стандарта CAdES, и этот стандарт допускает отдельные подписи. Так что да, вы можете использовать цифровую подпись с отметкой времени. Проблема изменения подписанных данных или неправильного использования закрытого ключа (хранящегося в вашем приложении) решается с помощью временной метки довольно эффективно.

Если вы разрабатываете приложение .NET или Windows, вы можете использовать пакет PKIBlackbox нашего продукта SecureBlackbox для создания подписей CAdES с отметкой времени.