menu di navigazione del network

Non Ripudio ed RSA considerato legacy


(Roberto Polli) #1

Attualmente esistono due draft RFC per l’invio di richieste o risposte HTTP firmate - entrambe contenenti gli header Signature e Digest:

  • 1 draft-cavage con un approccio minimale e anteriore alle nuove specifiche di http RFC723x

  • 2 signed-exchanges è nata all’interno del Web Incubator Community Group ed ha un approccio più moderno e radicale, con un’occhio ad HTTP2 e TLS1.3.

Vediamo alcuni punti distintivi.

draft-cavage:

signed-exchanges:

  • orientato alla response e alla distribuzione di contenuti firmati da terze parti
  • sviluppato per lo più da Google, verrà implementato in Chrome
  • supporta firme da autorità multiple
  • mutua strategie di sicurezza da TLS1.3 ed altre specifiche
  • utilizza il nuovo draft dell’HTTP working group Structured Headers che permette di specificare insieme dati binari e stringhe delimitando con * i dati codificati in base64
Example-DictHeader: en="Applepie", da=*w4ZibGV0w6ZydGUK=*

Stiamo discutendo nei workgroup di entrabe queste specifiche in modo che:

1- diventino una base per implementare scambi non ripudiabili;
2- si trovi una sintesi sull’header Signature;
3- si migliori la sicurezza di draft-cavage eg.#35 e #36

Per contribuire alla discussione potete vedere i ticket delle due specifiche qui:

e/o contattarmi.