¿Agregando una firma OpenPGP a un documento ya firmado? [cerrado]

Question

Nos gustaría implementar un flujo de trabajo que requiera que varias personas firmen digitalmente un documento. Si tengo varias claves secretas en mi propio llavero, puedo hacer algo tan simple como:

gpg --sign -u userid1 -u userid2 filename

¿Pero qué hago si tengo un documento ya firmado y quiero agregar una firma? Una solución sería que todos generen firmas separadas para el documento y luego las agrupen todas en un archivo zip o algo así, pero la sobrecarga allí es sustancialmente mayor. ¿Hay una mejor manera?

Answer 1

No es necesario comprimirlos en ZIP: simplemente puede concatenar firmas separadas en un solo archivo y todas serán verificadas una tras otra.

% gpg -b -u $ID1 -o prova.c.sig1 prova.c
% gpg -b -u $ID2 -o prova.c.sig2 prova.c
% cat prova.c.sig1 prova.c.sig2 >prova.c.sig
% gpg prova.c.sig
gpg: Signature made Mar  1 Set 18:16:09 2009 CEST using RSA key ID $ID1
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"
gpg: Signature made Mar  1 Set 18:16:25 2009 CEST using RSA key ID $ID2
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"

He comprobado que esto funciona bien con los archivos blindados ASCII en ese caso, el tamaño del archivo de salida es subóptimo, ya que el encabezado se repite para cada firma y sería mejor concatenar primero las firmas binarias y ASCII -Ahorre todo el asunto.

No conozco el formato OpenPGP lo suficiente como para estar seguro, pero creo que probablemente también pueda tener un software que, dado un archivo y algunas firmas separadas, haga una única firma adjunta con los paquetes de firmas extraídos de todos ellos. , aunque eso requeriría más tiempo para ser implementado (si es posible: quizás haya diferentes paquetes para firmas adjuntas y separadas y uno no se puede convertir en el otro, pero apostaría que el paquete es solo de un tipo). / p>