对存档数据进行数字签名

Question

我有一个应用程序，可以定期记录制造过程中的数据（各种采样率，最短 1 秒，通常最长为 10 分钟或更长）。客户想知道数据是否已被更改（就地更改、添加记录或删除记录）。

数据被记录为二进制记录。可以有多个数据流，每个数据流都进入自己的文件，并且每个数据流都有自己的数据格式。数据一次写入一条记录，如果监控计算机或进程出现故障，制造不一定会停止，因此我不能保证存档进程会保持正常状态。显然，我只能验证我实际录制的内容，但录制可能会开始和停止。

可以使用哪些方法来验证该数据？我更喜欢使用单独的“日志记录”文件来验证数据以保持向后兼容性，但我不确定这是否可行。除了直接答案之外，是否有搜索词的建议来找到一些建议？

谢谢！

Answer 1

我认为您不一定需要数字签名，安全哈希（例如 SHA-256）应该足够了。

写入每条记录时，计算其安全哈希值，并将哈希值存储在日志文件中。如果有某种记录 ID，也将其存储起来。您需要某种方法将哈希值与相应的记录进行匹配。

现在，只要没有人篡改日志文件，任何记录的更改都将被检测到。为了使篡改变得困难，请定期对日志文件进行哈希处理，并将该哈希值和日志文件中的记录数发送到安全的地方。理想情况下，将其发送到多个地方，每个地方由不同的人控制。

稍微复杂一点的方法是使用 Merkle 树，本质上是哈希二叉树，而不仅仅是日志文件的单个哈希。然后存储整个树（不是很大）并将“根”哈希发送到各个地方。根哈希允许您验证树的完整性，树允许您验证日志文件的完整性 - 如果完整性检查失败，它还使您能够确定哪些记录被修改。

Answer 2

您可以改为查看数字时间戳。 GuardTime 拥有支持大规模可扩展的 1 秒精度时间戳的技术，可保证信息完整性。