stamper
Не могу импортировать ключи с http://www.itconsult.co.uk/stamper/stampinf.htm
Выполняю: gpg --import file.asc
Он мне:
gpg: ключ 0712FEBD: "Matthew Richardson <matthew@itconsult.co.uk>" не изменен
gpg: ключ 083A08A9: нет действительных User ID
gpg: причиной этого может быть отсутствие самоподписи
gpg: ключ 70B61F81: нет действительных User ID
gpg: причиной этого может быть отсутствие самоподписи
gpg: Всего обработано: 3
gpg: без User ID: 2
gpg: неизмененных: 1
В результате ключа 0x70B61F81 в связке нет и как следствие я не могу проверить метку времени.
Что не так?
комментариев: 11558 документов: 1036 редакций: 4118
Выглядеть — да, но сам набор данных, получаемый на запрос серверу, будет идентичен (в большинстве случаев: если посылать GET на каждый внедрённый объект). В принципе, наверное, можно было бы производить подпись хотя бы основного документа, получаемого по запрошенной ссылке. Для меня здесь только два принципиальных вопроса:
1. Отсутствие аутентичности самого ресурса (если без ssl). Я под этим всё же понимаю не столько аутентичность данных, сколько источника — домена. На мой взгляд, это достаточное допущение — если мы соединяемся с аутентичным доменом (что определяем по сертификату), то и данные с высокой вероятностью получаем оттуда же. Но если сертификата нет, то и гарантировать что-либо уже невозможно.
(Я здесь исхожу из того, что доказательством для третьей стороны должна быть именно метка времени timestamper'а. В противном случае, если бы мы имели дело с SHTTP, можно было бы просто представить ей аутентифицированные данные сервера.)
2. Как быть с динамическими сайтами? Здесь действительно велика вероятность, что каждый клиент будет получать уникальные или, по крайней мере, сильно отличные данные, и метка времени вкупе с цифровой подписью никому ничего не докажут.
комментариев: 232 документов: 17 редакций: 99
И всё-таки, есть ли современная альтернатива на европейских сайтах?
Виноват, последнее время руки не доходили. Сейчас опять возьмусь за дело.
Если Венгрия — Европа, то скоро будет. :-)