Encryption
使用企業 PKI 的數字簽名
我們是一家全球性企業,在全球擁有數千名員工。我們有自己的 PKI 基礎設施,我們的系統內部信任它,但外部未知。
我們與客戶簽訂契約。有一個正在進行的“無紙化”項目,旨在放棄實體契約,轉而使用電子契約。
我的管理層要求我使用我們自己的 PKI 基礎設施對此類契約實施數字簽名。
我的問題是,使用我們的 PKI 生成的數字簽名是否有任何附加值?還是我們絕對需要使用在全球範圍內受信任的 PKI/CA(如 Digicert 或 Verisign)?
我的問題是,使用我們的 PKI 生成的數字簽名是否有任何附加值?
對誰有價值?
公鑰基礎設施的重點是創建信任鏈。信任您的 CA 的人將信任該 CA 頒發的所有證書,因此也信任使用這些證書頒發的數字簽名。因此,如果您的同行確實信任您的 CA,那麼它發出的簽名就有價值。如果不是,則不是。
所以你應該問的問題是:你組織之外的人有什麼理由相信你的 CA 在頒發、管理和撤銷證書時遵循任何標準?
使用第三方簽名服務的重點是第三方應該由受信任的實體審計,以便您和其他相關方都有充分的理由信任他們。如果您在歐盟,eIDAS 為所謂的“(合格)信任服務提供商”設置了特定規則,並且想要根據該規則集發布受信任簽名的公司需要根據這些規則進行專門審計。
您還應該注意,用於 Web 伺服器的證書通常不能用於文件的數字簽名。
如果這個答案看起來不清楚,那可能是因為這是一個很大的問題,任何答案基本上都需要徹底了解您的要求和目前的 PKI 系統以及適用於您和您的同行的指南、規則和法律。如果您的公司內沒有任何人具備這方面的知識,我強烈建議您使用外部專業知識。這將是昂貴的,但比幾年後在法庭上發現某些簽名在您認為的法律上無效時要便宜得多。