如何对日志进行数字签名以确保它们未被修改？

Question

在我们的应用程序中，日志必须进行签名，以证明它们在发生后没有被更改。

这意味着必须使用某种时间戳对它们进行签名，该时间戳将签名与日志写入和签名的时间链接起来。

这样，在不更改时间戳的情况下，无法再次修改日志并对其进行签名 - 因此可以检测到任何修改尝试。

有没有标准的方法来做到这一点？

Answer 1

Eugene Mayevski 是对的，使用外部时间戳服务加上 CAdES 签名时间戳即可完成这项工作。然而，一切都取决于您的应用程序创建的日志的确切威胁及其潜在的发起者。在第一个近似中，使用外部 TSA 对日志的哈希进行签名（无需本地 CAdES 签名）就足够了。

Answer 2

时间戳是 CAdES 标准的一部分，该标准允许分离签名。所以是的，您可以使用带时间戳的数字签名。通过时间戳可以非常有效地解决更改签名数据或滥用私钥（存储在应用程序中）的问题。

如果您开发 .NET 或 Windows 应用程序，您可以使用我们的 SecureBlackbox 用于制作带时间戳的 CAdES 签名的产品。