나는 여전히 보안 문제에 새로운 것이므로 내 문제는 실제로 오해 일 수 있습니다.사용자가 개인 키로 데이터 서명/타임 스탬프를 작성하는 가장 좋은 방법은 무엇입니까?
내가 작업하고있는 시스템에는 사용자가 웹 응용 프로그램의 데이터 어딘가에 서명/타임 스탬프를 지정해야한다는 요구 사항이 있습니다. 그러나 디지털 인증서로 서명하려면 사용자가 시스템에 개인 키를 입력해야합니다. 제 3자가 관련되어 있다는 사실을 감안할 때 회사는 최종 사용자 만 데이터 서명/타임 스탬프를 허용하도록해야합니다.
내가 알아 차린 유일한 방법은 인증서 데이터가 될 수있는 데스크톱 응용 프로그램을 만드는 것입니다. 하지만 여전히 타임 스탬프 기능이 필요합니다. 외부 서버와의 통신이 필요합니다. 이는 회사의 개인 키를 도용하는 방식 일 수 있습니다.
인터넷이나 특히 웹 응용 프로그램에 서명/타임 스탬프 데이터를위한 패턴이 있습니까? 이것이 어떻게 구현 될 수 있습니까?
아니요, 디지털 인증서로 서명하는 것입니다. 제 3 자에게 내 코드가 안전하다고 말하는 사람이 있습니까? – mrcaramori
당신이 말하는 개인 키가 얼마나 동질입니까? 사용자가 자신의 것을 가져 오거나, 허용되는 모든 것을 가져 오거나, 유형을 어떻게 든 제한 할 수 있습니까? 스마트 카드 또는 USB 토큰은 어떻습니까? 이 경우 개인 키는 분명히 추출 할 수 없지만 카드 나 토큰은 사용자가 직접 작업하는 컴퓨터에서 일어날 가능성이 가장 큰 서명을해야합니다. 실제로 데스크탑 응용 프로그램을 가리키고 있지만 지원할 하드웨어의 범위를 나타냅니다. – mkl
@mkl 사용자는 특정 종류의 인증서를 사용하기로되어 있으며 어떤 기관에서 연락 할 수 있는지 알려줍니다. 스마트 카드와 토큰을 계속 연구 중입니다. 요점은 우리 회사가 사용자 개인 키를 만지거나 보지 않아야한다는 것입니다. – mrcaramori