在客户端的 ASPX 中签署数据

Question

在我的应用程序中，客户端必须签名（使用证书）并将数据发送到服务器。 我的疑问是我该怎么做？

要在客户端签名，我应该使用 ActiveX，对吗？我的问题是 Firefox 不支持它。 在服务器端签名我有两个选择：

1. 将私钥保存在服务器上并在必要时使用它（如果在交易期间修改了数据，它将签署虚假数据）
2. 在必要时发送私钥（可能包含密钥）

尽管使用 SSL，我对服务器端签名的两个选项中的任何一个都不太满意...... 使用 ActiveX 可能会导致我的应用程序更容易受到攻击，对吧？

希望你能帮助我:)

Answer 1

不幸的是，没有一个单一的解决方案可以在所有浏览器中进行客户端签名。我们目前正在为我们的 SecureBlackbox 产品开发分布式签名组件，并且我们已经创建了 Java 小程序、ActiveX控件和 Flex 脚本来执行签名。然而，所有变体都有缺点。例如，只有 ActiveX 控件可以访问 Windows 证书存储。对于其他模块类型，用户需要从 PFX (PKCS#12) 文件加载证书。

在服务器上上传和签名将不起作用，因为私钥并不总是可在客户端上导出（它可以驻留在加密令牌或智能卡上，或者只是不可导出），而且这种方法使整个过程毫无用处，因为它显着降低安全性。

更新：SecureBlackbox 9 现在处于公开测试版，支持客户端签名（我们为此提供了 ActiveX、Java 和 Flash 模块）。