Хочу пополнить раздел "разработки"
Я начал разработку сервиса временных меток, примерно суть его в следующем:
Web-сервис выдает сертификаты, предназначенные для доказательства авторства над сертифицируемой информацией (статьи, программы, изображения и д.р.).
Сертификаты снабжены меткой времени сертификации, для предотвращения попыток доказательства ложного авторства (плагиат) путем повторной сертификации после публичного обнародования информации или иных действий, в результате которых злоумышленник получил к ней доступ.
Сам сервис будет выполнен в виде web-сервиса XML, общающегося с клиентами по средствам SOAP-сообщений, и написан на C#.Net. (начало уже положено).
Планируется использование ключей PGP.
Мне бы хотелось воспользоваться разделом «Разработки» для ведения проекта. Это было бы удобно, потом я мог бы узнать мнение экспертов по множеству возникших вопросов. Вообще это было бы полезно для моего проекта, и я думаю интересно для «openPGP в России».
У меня есть некоторые вопросы:
Все материалы на данном сайте не предназначены для коммерческого использования. Сейчас это так и для моего проекта (он создается в учебных целях), однако не возникнет ли проблем, если разработка будет достаточно удачной для коммерческого использования?
Для старта любых работ предназначен раздел /ЧерноWiki[link1]. Выберите там подходящий раздел, создайте в нём документ (или несколько иерархически структурированных страниц, т.е. кластер), заполните основным содержимым, и я перенесу его в /Разработки[link2]. В общем, покажите, что Вы не забросите дело на полпути, как иногда бывает.
Просто укажите лицензию явным образом, правила сайта это допускают. Для Вашего случая подойдёт CC-BY-SA. Просто поставьте в начало или в конец своего документа такой вызов:
Если у Вас будет несколько документов (кластер), добавьте в действие ещё один параметр: cluster=1.
[Добавлено:]
С другой стороны, если Вы будете вести разработку единолично, то и использовать в дальнейшем свою работу сможете любым подходящим способом, в том числе и коммерчески, даже не указывая лицензию явно.
Начинаю замечать, что в последнее время тема лицензий и коммерческого/некоммерческого использования становится наиболее обсуждаемой на этом сайте. Может пора отдельный раздел в форуме открыть?
Идея хорошая, но нужно сразу решать проблему с доверием к сервису.
Имхо сделать это можно только в том случае, если вы будете гарантировать выплату достаточно большого штрафа за создание ложных подписей (задним числом). Ну а если вы не несете ответственности за правильную работу такого сервиса, то и доверия к вам тоже не будет.
Ясно, спасибо за информацию.
ntldr, служба меток времени только выдаёт метки и ведёт аудиторский след, блокирующий подделку меток и выдачу фиктивных (всё обеспечивается криптографическими методами). Как Вы их используете — это Ваше дело. Сама служба не обязана давать какую бы то ни было гарантию, чтобы оставаться полезной: это прекрасно доказал Stamper.
Для программы лучше подходит "GPLv3 или выше".
Необходимо использовать "связывание подписей" и одновременно публиковать хэши, т.е. использовать криптографические инструменты.
Исходный код на этом сайте (если не указано иное) и так публикуется под GPL.
Служба обязана давать гарантию того, что не выдаст метку времени "задним числом".
Ну а связывание подписей не есть достаточная защита от этого, так как след может быть подделан целиком от требуемой записи до конца. К тому же нет адекватных инструментов для проверки этого следа, так что такой проверкой врядли кто-нибудь будет заниматься.
Из этого делаем вывод:
1 – нужно иметь инструменты позволяющие по следу проверить подделку
2 – нужно нести ответственность за подделку всей цепочки подписей.
Это реалистично при коротком аудиторском следе (например, для недавно запущенной или мало используемой службы). Если Ваш след составляет миллионы изданных подписей, подделать его нереально.
Грамотный дизайн предполагает дополнительные механизмы и здесь. Это может быть распределённое заверение метки по консенсусу (когда есть несколько независимых друг от друга серверов, контролируемых разными лицами), публикация связанных отчётов на ресурсах, не допускающих последующих исправлений (ньюс-группы, к примеру) и т.д.
Всё это напоминает ситуацию с отрытым исходным кодом. Мы вроде бы все согласны, что его наличие делает ниже вероятность преднамеренных потайных ходов (хотя и не исключает полностью). Это репутационная система. Если разработчик opensource-программы или оператор службы меток времени вносит предумышленную ошибку, которая с вероятностью так или иначе будет выявлена в будущем, его продукт просто перестанут использовать.
Будет ли в формате данного сайта публикация мануалов по использованию библиотеки bccrypto[link3] для криптографических операций по стандартам openPGP?
Насколько мне удалась узнать – это единственный бесплатный проект для . NET связанный с openPGP, доживший до наших дней. Однако никакой документации не существует, по крайней мере сейчас.
Конечно, это не будет исчерпывающей документацией, а скорее простенькие примеры, на подобии таких[link4].
Всё, что связано с OpenPGP, — в формате этого сайта. :-)