W jednym z projektów jakie tworzę muszę dodać podpis cyfrowy przesłanej przez użytkownika. Czy jeżeli wygeneruję podpis skrótu pliku (np. SHA-256) to z prawnego punktu widzenia będzie to równoważne podpisaniu całego pliku?
0
0
nie wydaje mi się - po pierwsze skrót nie implementuje jednoznaczności, tzn. dwa różne pliki mogą dać ten sam skrót. Co więcej w samym podpisie jest używany skrót więc trochę by się to z celem mijało.
0
Z jednej strony da się znaleźć kolizję na skrócie, z drugiej jest to niezwykle trudne (spróbuj znaleźć poprawny pod względem składniowym dokument Word, który ma ten sam skrót SHA, jednak inną treść, da się zrobić ale łatwe to nie jest).
Problem jest taki że chcę podpisywać pliki przy pomocy profilu zaufanego, a ten ma ograniczenie do 5MB, w dodatku podpisywana treść musi być xml'em. Mogę przygotować xml'a mieszczącego się w 5MB który będzie zawierał skróty wszystkich załączników, jednak przesłanie całych plików raczej się nie uda.
1
W praktyce podpisuje się właśnie hasha: https://en.wikipedia.org/wiki/Digital_signature#How_they_work więc w którymś momencie przed zastosowaniem szyfrowania asymetrycznego to hashowanie powinno nastąpić.
Łamanie kryptograficznego hasha jest trudne, a także trudne jest łamanie klucza publicznego. Jednak są postępy w łamaniu, więc są wytyczne zarówno dla algorytmów tworzenia hashy jak i algorytmów tworzenia kluczy publicznych.
0
Na polskim podwórku masz pojęcie "podpis kwalifikowany", który jest stosowany do podpisywania czegoś co ma moc prawną. Nie wiem czy w swoim projekcie masz wymóg stosowania "podpisu kwalifikowanego" czy po prostu masz wymaganie projektowe nie mające nic wspólnego z obowiązkami wynikającymi z prawa.
0
Podpis kwalifikowany mam obsługiwać swoją drogą. Podpis przy pomocy profilu zaufanego ma tą samą moc prawną co podpis kwalifikowany. Ma jednak trochę więcej ograniczeń (można podpisywać tylko dokumenty xml, których rozmiar nie może przekraczać 5 MB, aby zakodować plik binarny musiałbym użyć kodowania base64 jeżeli dodam nagłówek i stopkę xml to mi wyjdzie że mogę podpisać max 2,2 MB trochę słabo, zakładając że rozmiar pliku może iść w setki megabajtów)