Le 10/08/2017 à 16:05, Cédric Krier a écrit :
On 2017-08-10 14:47, Richard PALO wrote:
Le 10/08/2017 à 10:22, Richard PALO a écrit :
un simple horodatage certifié (ISO/IEC 18014-3) ?


pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
(avec la possibilité d'une autorité d'horodatage configurée localement)

C'est encore mieux évidement si on peut réutiliser un standard (que je
ne connaissais pas).
Les points manquants sont:

     - openssl ne gère pas l'envoie des requêtes/réponses.

Un simple site web avec authentification devrait faire l'affaire.

     - cryptography n'a pas de binding pour cette interface
       (https://cryptography.io/en/latest/hazmat/backends/openssl/)

Il faudra soit le proposer à cryptography. Par expérience le projet est
assez ouvert (j'y ai déjà contribué:
https://github.com/pyca/cryptography/commits?author=cedk).
Soit il faudra appeler les commandes via subprocess mais ça rendrait le
déploiement plus compliqué et moins portable (Windows, MacOSX, etc.).




mais le certificat peut être auto-signé:
https://superuser.com/questions/738612/openssl-ca-keyusage-extension
qui évite, dans ce cas, la nécessité d'envoyer la requête.

Sinon, il faut bien envoyer la requete à une autorité d'horodatage (TSA)
comme dans cet exemple:> http://unmitigatedrisk.com/?p=395

DuckDuckGo (ou g$ggle): openssl  timestamp extendedKeyUsage

--

Richard PALO

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/45973487-d9c8-9375-ff56-4cf79772eb00%40free.fr.

Répondre à