webportal voor accorderen docsmet digitale handtekening

Nou, ik denk eignelijk dat je beter in Beveiliging en Virussen kan zijn. Dit forum gaat over Netwerken.

Ik zal het topic even verplaatsen

Verder zit ik nog even te denken over het meervoudig digitaal ondertekenen. Een digitale ondertekening is in principe bedoeld als non-repudiation. Onweerlegbaarheid. Je weet zeker dat het document gemaakt is door de ondertekenaar. Niet om meerdere mensen een document te laten ondertekenen.
Zodra piet het document ondertekend, dan is dat te valideren. Zodra jan het daarna ook ondertekend, is de ondertekening van Piet niet meer geldig. Want een digitale ondertekening (HMAC) is een hash van het gehele document. Die hash wordt daarna bij het document geplaatst.
De 2e hash is een hash van het document+de eerste hash. So far so good: Ga je nu de eerste hash controleren, dan klopt deze niet meer omdat de 2e hash erbij is geplaatst.

Misschien heb ik het mis, omdat de handtekening als meta informatie bij het bestand wordt geplaatst, maar hou er iig even rekening mee.

Als je alleen een soort documentsysteem beschrijft waarbij iemand een accoord op een document kan geven voordat het publiek beschikbaar is, dan zou ik kijken naar bijvoorbeeld: MS Sharepoint server.

Waarom GNUPG en geen PKCS? Dat laatste is ook een open standaard vziw, maar in veel meer systemen geintegreerd.

OOo kan ook documenten digitaal ondertekenen middels PKCS#11. Dat gecombineerd met het feit dat je OOo "headless" kunt draaien en het goed te scripten valt, maakt het misschien bruikbaar voor jou.

Then again, bestanden digitaal laten ondertekenen kan alleen client-side. Server-side zou betekenen dat de private keys van de "ondertekenaars" op die server staan, en dat is uiteraard een no-no en zelfs een no-go als je met USB tokens werkt.

Wellicht dat je met (Java)-applets kunt werken: download het te ondertekenen bestand naar de client, en onderteken het daar middels de applet m.b.v. PKCS#11, stuur de handtekening terug. Oid.

Overigens zie ik geen reden waarom je een document niet meerdere keren kunt ondertekenen; zolang de metadata van de signatures niet meegenomen wordt in het berekenen van de hashes van het document invalideert de ene signature de andere niet; de signatures gelden dan uiteraard alleen voor het oorspronkelijk document, maar dat is precies ook de bedoeling lijkt me.

[ Voor 19% gewijzigd door Fuzzillogic op 18-06-2009 11:46 ]

Als het puur om het ondertekenen gaat, voldoet dan een digitale parafenlijst niet? Toon het document, toon een formulier met een knop 'accoord' en sla dan op wie er wanneer op de knop drukte (en wat de locatie, versie en hash van het document is). Zolang de accounts voldoende zeker persoonlijk zijn (*), je het document bewaart en de (web)server fatsoenlijk is beveilgd en de 'timestamp' niet kan worden aangepast ben je al een heel eind.

(*) als je dat niet bent, moet je je afvragen of die persoon dan niet een key zou uitlenen/kopieren.

Equator schreef op donderdag 18 juni 2009 @ 11:32:
Misschien heb ik het mis, omdat de handtekening als meta informatie bij het bestand wordt geplaatst, maar hou er iig even rekening mee.

Als het om het accorderen gaat, zal het bestand inderdaad (hopelijk) niet worden aangepast. Dan accordeert Pietje immers per definitie een ander bestand dan Henkie.

Sharepoint is trouwens gratis noch opensource. Bijvoorbeeld Alfresco is tenminste een vd twee

TS geeft wel erg weinig requirements. Voor kleinschalig maar zeer flexibel gebruik is zelfs plain old e-mail voldoende, met PKCS (reeds ingebouwd in vrijwel elke client!) of GPG (gratis). Degene die een document ondertekend wil zien stuurt dat document simpelweg per e-mail op naar de ondertekenaars. Eventueel al met signed en encrypted e-mail, voor extra veiligheid. De ondertekeneaars forwarden het bericht (met attachment dus) gewoon terug, maar nu ondertekend met hun eigen key. tadaa, klaar. Kost niks. Enige dat je dan nog moet regelen is dat je de public keys hebt van de ondertekenaars.

Certificaten enzo kun je zelf aanmaken, of gratis regelen bij bijv. cacert.org.

Het is al eerder gezegd, maar ondertekenen met meerdere digitale handtekeningen heeft alleen maar zin als de signature client-side wordt geplaatst.

Als representatieformaat kan ook aan XMLSignature gedacht worden Dat ondersteunt expliciet meerdere signatures en ook expliciet het ondertekenen van 'externe' content mocht dat handig uitkomen. Afaik zijn er wel open source implementaties voor beschikbaar.

Overigens heeft het vastleggen van signatures alleen maar zin als de applicatie ook zodanig is dat ze ooit geverifieerd gaan worden, hetzij extern, hetzij in de toekomst.

[ Voor 14% gewijzigd door Rukapul op 18-06-2009 19:35 ]

Verwijderd schreef op vrijdag 19 juni 2009 @ 10:33:
(en aanvullingen zijn natuurlijk nog altijd welkom )!

Dan is het handig om de requirements eerst duidelijk te presenteren.

[ Voor 4% gewijzigd door Rukapul op 19-06-2009 10:53 ]

Ik krijg de indruk dat je ons nogal hebt verward met "digitale handtekening". De normale betekenis daarvan is een echte, rechtsgeldige(!) digitale handtekening, met een private/public key infrastructure, ciphers, encryption en andere complexe wiskundige grappen en grollen om het maar zo betrouwbaar en veilig mogelijk te krijgen.

Maar zoals je het brengt met "een vinkje zetten" en "parafenlijst" lijkt het meer alsof je enkel een hele basic webapp wil hebben waar men een documentje kan downloaden/bekijken, en waar enkel per document en per gebruiker een vlaggetje "TRUE" of "FALSE" wordt bijgehouden...

Dus, wat is het nou?