0

我正在使用 signtool 签署我的 Windows 二进制文件并使用 Digicert 的时间戳服务器http://timestamp.digicert.com

我注意到大多数时间戳服务器都托管在 HTTP 上。不比HTTPS安全吗?

时间戳响应是否已签名,signtool 是否验证响应未被篡改?

4

1 回答 1

0

通过 HTTP提供未经身份验证的时间戳服务并不比 HTTPS 安全,因为您不发送任何用户/密码来访问 TSA 服务。

此外,消息的真实性已经由 TSA 签名提供(并且客户端应该验证它)。

如果您要发布软件二进制文件,则无需担心哈希的隐私问题。但是我们可以找出没有人知道您拥有文档或您为其添加时间戳的情况。

无论如何,您发送的文件的哈希值是用随机数产生的。使用 nonce 的目的是验证响应的及时性并避免响应攻击,如 RFC3161 的第 2.4.1 段所述,但副作用也是增强隐私。

于 2020-06-05T06:00:49.400 回答