Aggiunta di una firma GPG a un documento già firmato?

Question

Desideriamo implementare un flusso di lavoro che richiede a più persone di firmare digitalmente un documento. Se ho più chiavi segrete nel mio portachiavi, posso fare qualcosa di semplice come:

gpg --sign -u userid1 -u userid2 filename 

Ma cosa devo fare se ho un documento già firmato e voglio aggiungere una firma? Una soluzione sarebbe avere tutti generano firme distaccate per il documento, e quindi comprimerle tutte insieme in un file zip o qualcosa del genere, ma il sovraccarico è sostanzialmente più alto. C'è un modo migliore?

Answer 1

Non è necessario comprimerli: è sufficiente concatenare le firme distaccate in un singolo file e tutte verranno verificate una dopo l'altra.

% gpg -b -u $ID1 -o prova.c.sig1 prova.c 
% gpg -b -u $ID2 -o prova.c.sig2 prova.c 
% cat prova.c.sig1 prova.c.sig2 >prova.c.sig 
% gpg prova.c.sig 
gpg: Signature made Mar 1 Set 18:16:09 2009 CEST using RSA key ID $ID1 
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>" 
gpg: Signature made Mar 1 Set 18:16:25 2009 CEST using RSA key ID $ID2 
gpg: Good signature from "Lapo Luchini <lapo@lapo.it>" 

Ho verificato che questo funziona anche con file ASCII-blindato difficili in questo caso la dimensione del file di output è sub-ottimale in quanto l'intestazione viene ripetuta per ogni firma e potrebbe essere migliore di concatenare prima il binario firme e loro ASCII-armano il tutto.

Non conosco il formato OpenPGP abbastanza bene per essere sicuro, ma suppongo che si possa probabilmente anche avere un software che, dato un file e alcune firme staccate, crea una singola firma allegata con i pacchetti di firma estratti da tutti loro, anche se questo avrebbe bisogno di più tempo per essere implementato (se possibile: forse ci sono diversi pacchetti per le firme allegate e separate e uno non può essere convertito nell'altro, ma scommetto che il pacchetto è solo un tipo).