基于企业PKI的数字签名

Question

我们是一家全球性的企业，在全球拥有数千名员工。我们有自己的PKI基础设施，这些基础设施在内部是由我们的系统信任的，但在外部却是未知的。

我们和客户签合同。有一个正在进行的“无纸化”项目，其目的是放弃实物控制，转而使用电子控制。

我的管理层要求我使用我们自己的PKI基础设施，在此类合同上实现数字签名。

我的问题是，使用我们的PKI产生的数字签名是否有任何附加值？还是我们绝对需要使用全球范围内的PKI/CA (如Digicert或Verisign)？

Answer 1

我的问题是，使用我们的PKI产生的数字签名是否有任何附加值？

对谁有价值？

公钥基础设施的目的是创建信任链。信任您的CA的人将信任该CA颁发的所有证书，因此也信任与这些证书一起颁发的数字签名。因此，如果您的对应方确实信任您的CA，则由它发出的签名具有价值。如果不是，那就不要。

所以，你应该问的问题是:你的组织以外的人有什么理由相信你的CA在颁发、管理和撤销证书时遵循任何标准？

使用第三方签名服务的目的是，第三方应该由受信任的实体进行审计，以便您和其他相关方都有充分的理由信任他们。如果你在欧盟，eIDAS为所谓的“(合格)信托服务提供商”制定了一些具体的规则，而那些希望根据该规则发布可信签名的公司需要根据这些规则进行专门的审核。

您还应该注意，用于web服务器的证书通常不能用于文档的数字签名。

如果这个答案似乎不明确，那可能是因为这是一个巨大的问题，任何答案基本上都需要彻底了解您的需求和当前的PKI系统，以及适用于您和您的同行的指导方针、规则和法律。如果你的公司里没有具备这些知识的人，我强烈建议你利用外部的专业知识。这将是昂贵的，但是比几年后在法庭上发现某些签名在你认为是不合法的时候要便宜得多。

Answer 2

通过电子方式，通过使用数字签名证书来建立信任。因此，您可以从任何一个全球可信的认证机构采购DSC。