Adicionando uma assinatura OpenPGP a um documento já assinado? [fechadas]

Question

Gostaríamos de implementar um fluxo de trabalho que requer várias pessoas a assinar digitallly um documento. Se eu tiver várias chaves secretas em meu próprio chaveiro, eu posso fazer algo tão simples como:

gpg --sign -u userid1 -u userid2 filename

Mas o que eu faço se eu tenho um documento já assinado e quero Adicionar uma assinatura? Uma solução seria ter todos gerar assinaturas destacadas para o documento, e em seguida, empacotá-los todos juntos em um arquivo zip ou algo assim, mas a sobrecarga não é substancialmente maior. Existe uma maneira melhor?

Answer 1

Não há necessidade de ZIP-los:. Você pode simplesmente concatenar assinaturas isolada em um único arquivo e tudo será verificado um após o outro

% gpg -b -u $ID1 -o prova.c.sig1 prova.c
% gpg -b -u $ID2 -o prova.c.sig2 prova.c
% cat prova.c.sig1 prova.c.sig2 >prova.c.sig
% gpg prova.c.sig
gpg: Signature made Mar  1 Set 18:16:09 2009 CEST using RSA key ID $ID1
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"
gpg: Signature made Mar  1 Set 18:16:25 2009 CEST using RSA key ID $ID2
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>"

Tenho verificado que isso funciona bem com arquivos blindado ASCII difíceis, nesse caso, o tamanho do arquivo de saída é sub-óptima desde o cabeçalho é repetido para cada assinatura e que poderia ser melhor primeiro concatenar as assinaturas binárias e eles ASCII -armadura a coisa toda.

Eu não sei formato OpenPGP bem o suficiente para ter certeza, mas eu acho que você pode provavelmente também tem um software que, dado um arquivo e algumas assinaturas desanexadas, faz uma única assinatura anexado com os pacotes de assinatura extraídos de todos eles , no entanto, que seria necessário mais tempo para ser implementada (se possível: talvez existam diferentes pacotes para assinaturas anexadas e isoladas e não se pode ser convertido no outro, mas eu apostaria o pacote é apenas um tipo) <. / p>