Microsoft Word e assinaturas digitais usando o PGP?

Question

Microsoft Word e assinaturas digitais usando o PGP?

#1 resposta do (7 votos)

7

Eu tenho um documento para um projeto em que estou trabalhando com minha equipe e preciso assinar digitalmente o documento de uma forma que possa ser verificada por outros membros da equipe. O problema é que, internamente, estamos usando o PGP (a versão comercial, eu acho). Parece que, para todas as intenções e propósitos, o PGP é totalmente incompatível com qualquer função de assinatura digital integrada do Microsoft Office. Idem para o Adobe Acrobat.

Isso é desconcertante, porque o PGP é um RFC definido, 4880, então imagino que seja possível ao MS integrar ALGUM tipo de suporte para X.509 ou PGP. Assinar um documento usando o software PGP externo, no entanto, produz um arquivo * .sig autônomo que precisa ser marcado junto com o documento original para que qualquer pessoa possa verificar sua autenticidade. Como tenho várias pessoas que precisam assinar digitalmente este documento, não tenho idéia se isso significa que eu precisaria gerenciar um * .sig para cada pessoa contratada, ou se um único arquivo * .sig pode conter várias assinaturas por diferentes signatários. / p>

Existe alguma solução que me permita autenticar / verificar digitalmente documentos do Word ou PDF usando chaves PGP entre membros de uma equipe? Seria ótimo se houvesse algo que pudesse deixar uma marca visual dentro do próprio documento também.

Imaginei que, se houvesse uma maneira de exportar um certificado X.509 / PKCS-12 baseado em uma chave PGP pública e, em seguida, armazenar esse certificado no armazenamento de certificados interno do Windows ( certmgr ), talvez poderia obter Office para puxar a partir disso. Mas isso parece ser impossível. Quero dizer, os dois não são certificados PKI tecnicamente normais?

Suponha que cada signatário tenha seu próprio par de chaves PGP com senha e que haja um servidor de chaves PGP interno para que todos possam sincronizar.

Pensamentos?

pgp microsoft-word digital-signature

por Kumba 25.04.2012 / 09:46

1 resposta

Tags pgp microsoft-word digital-signature

Desativa o atalho 'ctrl + shift + w' no Firefox Linux Como eu conecto vários dispositivos com adaptadores powerline?

score 7 · Accepted Answer

It appears that, for all intents and purposes, PGP is wholly incompatible with any of Microsoft Office's built-in digital signature functions. Ditto for Adobe Acrobat.

Está certo. Você terá que usar o X.509 - veja abaixo.

This is baffling, because PGP is a defined RFC, 4880

O fato de o PGP ser definido como RFC não significa nada aqui - o X.509 tem mais RFCs ( 1422 e 5280 sendo os principais, todos baseados em vários ITU-T standards (que é de onde vem o nome "X.509").

É muito usado em TLS (SSL), S / MIME (email), assinatura de código (Authenticode, Java, Android, iOS), assinatura de documento (AdES) e assim por diante. Até mesmo muitos governos usam a PKI baseada em X.509 e emitem certificados "qualificados" com o mesmo status legal de uma assinatura manuscrita. No Office 2010, foram adicionadas assinaturas digitais no formato XAdES para ajudar com isso.

so I would imagine that it is possible for MS to integrate SOME kind of support for either X.509 or PGP.

Tanto o Microsoft Office quanto o Adobe Acrobat do usam certificados X.509 - qualquer certificado em seu certstore Windows pode ser imediatamente usado no Office (desde que, claro, ele tenha uma chave privada armazenada e os bits de uso adequados habilitados). No Office 2007, isso está em Office → Preparar → Assinatura digital .

OAdobeReaderlistaoscertificadosdoWindowsem"IDs digitais → IDs digitais do Windows" no menu * Editar → Proteção → Configurações de segurança ".

I figured that if there was a way to export an X.509/PKCS-12 certificate based off of a public PGP key, [...] But this appears to be impossible. I mean, aren't both technically bog-standard PKI certificates?

Não, eles não são. A única coisa que o OpenPGP e o X.509 têm em comum é o uso de algoritmos criptográficos: RSA, DSA, SHA, et cetera; caso contrário, eles são completamente independentes. O termo "PKI" geralmente cobre apenas o X.509.

É tecnicamente possível (e geralmente muito fácil) reutilizar o material chave - por exemplo, usar os parâmetros RSA de um par de chaves PGP para criar um certificado X.509. Mas isso não fará com que sejam intercambiáveis:

O PGP e o X.509 usam modelos de confiança muito diferentes - o PGP é baseado na rede de confiança, enquanto o X.509 é hierárquico e exige que o certificado seja assinado por autoridade única , por isso, a chave de confiança que você criou a partir de assinaturas de chaves simplesmente não será transferida.
Além disso, eles armazenam informações diferentes visíveis ao usuário, começando com o "Assunto" básico de Mantas M. <[email protected]> versus /C=LT/O=Example Company/OU=Users/CN=Mantas M. , por exemplo. ( Isso pode estar relacionado.)

Em outras palavras, a conversão de um certificado PGP para um certificado X.509 não atinge nada além de aumentar o risco de segurança (devido à reutilização da chave criptográfica em vez de gerar uma nova.)