Oi Marco,
Assinaturas digitais são como o registro de assinaturas em cartórios.
Tudo que dizem é que a assinatura confere com a depositada mas não
garante que quem assinou foi mesmo a pessoa. Apenas nos trazem um pouco
de paz de espírito e são apenas um ponto a mais a ser considerado.
Já quanto ao tamanho da chave, depende do quê está sendo protegido.
Quanto vale a informação da Bolsa de Valores depois de 5 minutos?
Praticamente zero. Por isso, vale a pena implementar uma proteção com
uma chave de milhares de bits (a um custo razoável quando se pensa no
volume de informações) para proteger um dado por apenas 5 minutos?
Quanto tempo dura uma sesão web com o seu banco? Qual o tamanho da chave
necessário para proteger esta sessão durante este tempo? Já a sua
assinatura precisa de mais cuidado e precisa ser preservada por muito
mais tempo. Daí a necessidade de gerar a assinatura com chaves de 1024
(por sinal as que uso) ou 2048 bits.
Gosto mais da proposta do GnuPG mas a decisão de suportar assinaturas
digitais precisava levar em conta as especificações do padrão Oasis. Vou
ver se encontro as especificações, mas o padrão Oasis, até onde me
lembro, não usa o GnuPG para a assinatura de documentos.
Um abraço,
Marco wrote:
Como já postei antes, reitero: não confio em empresas mais do que em
pessoas.
Um programa, macro, aplicativo ser certificado, para mim, significa
apenas que foi comprado um certificado para ele. Mais nada.
Não suprima nenhum dos cuidados paranóicos de praxe só por causa de um
mero certificado.
Ainda creio que o uso de pares de chaves gnuPG seria a melhor opção.
Quando acesso o sítio do Banco do Brasil a criptografia usada é de 128
bits. Meus pares de chaves gnuPG foram gerados com 1024 bits (o padrão).
Não julguei necessário gerar as chaves com 2048 bits.
---------------------------------------------------------------------
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
