Вопрос или проблема
В академической среде были громкие случаи подделки идентичности; например, за последнее десятилетие издательство Springer было вынуждено отозвать 62 статьи только по этой причине.
Обычно это не высокозатратные атаки, а просто подделка адресов электронной почты и тому подобное. Обычно это происходит следующим образом:
- Молодой автор пишет/подделывает статью.
- Он находит уважаемого исследователя и создает схожий адрес электронной почты.
- Он добавляет имя уважаемого исследователя в статью в качестве первого автора, а себя – в качестве второго автора.
- Он связывается с журналом от имени уважаемого автора.
Это очень неприятно – отозвать статью из реестра – это большая головная боль. С другой стороны, академические конференции идеально подходят для таких мероприятий, как подписи ключей.
Я хотел бы попробовать подписывать те вещи, которые могу опубликовать, чтобы журнал мог быстро подтвердить, что указанный автор действительно написал статью и общается с ними.
Хорошая ли это идея (или вообще возможная)? Я довольно новичок в мире X.509/PGP/GPG; мне интересно, не могли бы вы указать мне на какие-либо прецеденты и лучшие практики для этого конкретного применения? Например, arXiv требует исходный текст в формате latex, поэтому простая подпись .pdf с помощью сертификата X.509 – это не выход.
Академический мир также принял идентификатор ORCiD как уникальный ссылочный ключ для каждого исследователя (чтобы избежать проблем с изменениями имен и нарушением цитирования и т. д., но не для аутентификации). Было бы хорошей идеей как-то включить это в подпись?
(обратите внимание, что я не ученый [пока] – я могу заблуждаться по этим вопросам!)
Мне кажется, что отметка времени столь же важна, как и подпись в вашем случае.
Например, вы можете написать статью в 2021 году и подписать ее. Нечестный человек может затем украсть вашу статью в 2023 году, а затем также ее подписать. У вас нет возможности доказать, что вы владели статьей до того, как нечестный человек ее подписал, или что ваша подпись предшествует подписи нечестного человека.
Что вам нужно, так это способ доказать, что статья существовала в 2021 году и была подписана с использованием личного ключа, который знаете только вы.
Один из способов сделать это – использовать блокчейн биткойнов в качестве своего «нотариуса». Создайте личный ключ и адрес биткойна. Затем сделайте хэш вашей статьи и включите его в транзакцию биткойна, которую затем подпишите своим личным ключом. Таким образом, хэш статьи будет храниться в блокчейне биткойнов вечно и будет связан с адресом биткойна, который привязан к вашему личному ключу, который знаете только вы.
Затем, в дальнейшем, при необходимости, вы сможете доказать:
a) Что статья существовала в тот момент, когда была сделана транзакция (на основании метки времени в блоке, который включает в себя транзакцию с хэшом статьи).
b) Что вы владели статьей в то время (на основании того факта, что транзакция связана с адресом, для которого только вы имеете соответствующий личный ключ).
Наконец, эта процедура не требует раскрытия статьи, так как публикуется только хэш статьи (а не сама статья).
Ответ или решение
Криптографическая подпись научных статей может значительно повысить уровень доверия и подлинности в академической среде, что особенно важно в свете случаев подделки авторства. Ниже приведены рекомендации по безопасному подписанию научных работ.
1. Использование криптографических ключей
Наиболее распространённым методом для цифровой подписи является использование системы открытых ключей, основанной на протоколах PGP (Pretty Good Privacy) или GPG (GNU Privacy Guard). Этот процесс включает в себя следующие этапы:
- Создание ключевой пары: Автору необходимо сгенерировать пару ключей: открытый ключ, который можно будет распространить, и закрытый ключ, который должен храниться в секрете.
- Подпись документа: Для подписания статьи автор создаёт хэш (оттиск) документа и шифрует его с помощью своего закрытого ключа. Это создаёт цифровую подпись, которая может быть проверена с помощью открытого ключа.
2. Хранение исходника и использование ORCiD
Для научных публикаций, особенно на таких платформах, как arXiv, недостаточно просто подписать финальный PDF-документ. Рассмотрите возможность подписания исходного кода:
- Подпись исходного файла: Если вы используете LaTeX или другой формат, убедитесь, что вы можете подписать сам документ (например, с помощью GPG).
- Интеграция с ORCiD: Включение вашего ORCiD в метаданные документа будет полезно для идентификации. Это даст возможность легко соотнести вашу ученую идентичность с подписанными публикациями.
3. Использование временной метки
Зачастую важно не только подтвердить подлинность документа, но и зафиксировать дату его создания:
- Временные метки с помощью блокчейна: Создание хэш-значения вашего документа и его запись в блокчейн (например, Bitcoin или Ethereum) может служить временем создания. Это обеспечит доказательство того, что работа существовала в определенное время, и её нельзя было подделать после этого.
- Другие службы временных меток: Существуют и специализированные сервисы, такие как DigiStamp или OpenTimestamps, которые позволяют зафиксировать время создания документа без необходимости в блокчейне.
4. Организация подписных мероприятий
Мероприятия по подписанию, или "подписные вечеринки", могут значительно упростить процесс подписания:
- Соберите коллег: Участвуйте в научных конференциях и встречах, где можно собрать авторов и позволить им обмениваться и подписывать свои работы.
- Обучение и поддержка: Проводите обучающие семинары по использованию криптографических методов, чтобы вовлечь других исследователей и создать культуру безопасного общения и подписания.
Заключение
Криптографическая подпись научных работ — это шаг к повышению безопасности и надежности академических публикаций. Следуя представленным рекомендациям, исследователи смогут защитить свои работы и задачи от подделок и несанкционированного использования. Это позволит повысить доверие к научным публикациям и упростит их идентификацию в широком круге читателей и исследователей.