Aggiunta di una firma OpenPGP a un documento già firmato? [chiuso]

Question

Vorremmo implementare un flusso di lavoro che richiede a più persone di firmare digitalmente un documento. Se ho più chiavi segrete nel mio portachiavi, posso fare qualcosa di semplice come:

gpg --sign -u userid1 -u userid2 filename

Ma cosa devo fare se ho un documento già firmato e voglio aggiungere una firma? Una soluzione sarebbe quella di far sì che tutti generino firme distaccate per il documento, quindi impacchettarle tutte insieme in un file zip o qualcosa del genere, ma il sovraccarico è sostanzialmente più elevato. C'è un modo migliore?

Answer 1

Non è necessario comprimerli: puoi semplicemente concatenare le firme staccate in un singolo file e tutto sarà verificato uno dopo l'altro.

% gpg -b -u $ID1 -o prova.c.sig1 prova.c
% gpg -b -u $ID2 -o prova.c.sig2 prova.c
% cat prova.c.sig1 prova.c.sig2 >prova.c.sig
% gpg prova.c.sig
gpg: Signature made Mar  1 Set 18:16:09 2009 CEST using RSA key ID $ID1
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"
gpg: Signature made Mar  1 Set 18:16:25 2009 CEST using RSA key ID $ID2
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"

Ho verificato che questo funziona anche con file corazzati ASCII difficili in quel caso la dimensione del file di output è subottimale poiché l'intestazione viene ripetuta per ogni firma e potrebbe essere meglio concatenare prima le firme binarie e loro ASCII -armare il tutto.

Non conosco il formato OpenPGP abbastanza bene per esserne sicuro, ma credo che probabilmente tu possa avere anche un software che, dato un file e alcune firme distaccate, crea una singola firma allegata con i pacchetti di firme estratti da tutti loro , sebbene ciò richiederebbe più tempo per essere implementato (se possibile: forse ci sono pacchetti diversi per le firme allegate e staccate e uno non può essere convertito nell'altro, ma scommetto che il pacchetto è solo di un tipo).