用什么？ 电子签名？

Question

抱歉，我找不到这个问题的最佳标题。 以下是我的要求。

我正在开发一个项目，该项目将大量资金交易到不同的帐户。 系统自动将资金转入 A、B、C 等账户，但在此之前，A、B 或 C 中的某个人应批准（以电子方式）转帐金额。

您认为最好的做法是什么？ 我希望系统发送一个经过数字签名的文件（PDF 格式）（？），并且 A、B 和 C 的授权人员应检查并确认金额是否正确。

由于金额很大，我必须确保系统发出的文件不被篡改，同时我也要确保A、B或C发送的文件（回复）也不被篡改。 实现这一目标的最佳方法是什么？ 有任何想法吗？

Answer 1

数字签名正是您所寻找的。 Adobe PDF（既然您提到了 pdf）允许您在免费的 Adob​​e Reader 版本中签署 pdf，并且一旦您打开 pdf 文档，验证也会自动完成。

Nordorin 发布的 DigSig 和 (H)MAC 之间的区别在于，MAC 使用对称加密，您需要安全通道来交换密钥，而在 PKI 不需要安全通道的环境。

这取决于您想要如何分发密钥。

Answer 2

您需要研究MAC（消息身份验证代码）。 有许多针对各种语言的库可以实现常见算法，例如 HMAC。

编辑：另请参阅 DSA (http://en.wikipedia.org/wiki/Digital_Signature_Algorithm) ，这是一种流行的数字签名算法，并且在标准.NET框架（System.Cryptography命名空间）中完全实现。

Answer 3

我的第一反应是数字签名 - 但它们有一个致命的缺陷：它们是数字数据，可能会被粗心的用户破坏。

如果这是一个问题，您可以采用南非银行使用的流程，即一次性密码。 该密码通过不参与交易的方式传输给他们（在南非，这是通过短信，我强烈推荐）。 我们首先输入用户名和密码，然后通过短信获取 OTP，然后我们需要输入该 OTP 来进行任何导致资金离开我们账户的交易。

强大的安全形式（提高有效性）包括（我不是专家，但我知道一些）：

• 知识（密码）
• 拥有（可以接收短信的手机 SIM 卡，或带有证书的 USB 拇指驱动器）
• 位置（具有基于硬件的证书管理系统 CellID 的计算机）
• 时间（OTP 过期，交易必须在特定时间发生）
• 身份（指纹读取器 - 实际上是密码 - 但非常长）
• 唯一性（编码在其中的光纤电缆）光子的偏振）

据我所知，如果您拥有其中任何三个，您就可以对自己的安全感到满意。 添加更多安全性会成倍增加，但也会增加不便因素。 在南非，银行使用知识、财产和时间——网络钓鱼实际上对南非银行不起作用。

希望这对您有所帮助。

Answer 4

要对文件进行数字签名，您可以使用任何 Microsoft 合作伙伴。 例如，Arx 为您提供了一个名为 CoSign 的工具，您可以免费使用它（或至少是试用版）。 这将允许您将电子签名添加到大多数可用格式（word、pdf、xml 等）。