Я работаю над цифровым приложением подписи и хочу подтвердить, что подписанный файл из подключенной подписи падса не был изменен посредником. < /p>
Приложение отправляет подпись Запрос пользователю, который загружает файл, прикрепленный к запросу, подписывает файл и отвечает на запрос с помощью подписанного файла, который ранее подтверждается приложением, чтобы убедиться, что это действительная и правильная подпись.
Одним из подтверждений, которые мы делаем, является проверка того, что исходный файл, прикрепленный к запросу, точно «такой же», как файл, который загружает подпись. Это не может быть сделано сравнить сами файлы, так как подписанный файл полностью отличается от исходного файла. Но мы конвертируем оба файла в изображения и сравниваем их, чтобы проверить, что они выглядят одинаково, но это очень дорого и подвержено ошибкам, особенно в больших файлах. решил эту проблему более эффективным образом. Например, если хэш исходного файла был включен в заголовок подписанного файла, мы могли бы сравнить хеши напрямую и пропустить все процесс сравнения изображений. Или любое другое убежденное решение, которое может существовать, или объяснение того, почему оно не. Я предполагаю, что это может быть ответственность за безопасность, чтобы добавить оригинальный хэш в заголовок для всех? Но нет другого более чистого способа сделать это? Это очень широкое приложение, но случай, с которым я имею дело здесь, - это некоторые более высокие взлеты, которые подписывают большой объем документов, которые рассматриваются персоналом, но они не читают себя. Они восприимчивы к среднему человеку, который перехватывает загрузку файла, чтобы подписать, который может изменить указанный документ, подписан и загрузить его, поскольку валидации для автономного знака были бы правильными, нам нужен способ проверки файла против исходного файла, не только проверьте, что подпись и сертификаты верны.
Подробнее здесь: https://stackoverflow.com/questions/794 ... ginal-file
