Почитайте в конце концов про ассиметричную криптографию и PKI.
В общем в кратце так, хотите с клиентами юридически значимый электронный документооборот - подписываете с каждым соглашение, что стороны соглашаются считать собственноручной электронную подпись сделанную с помощью такой-то технологии.
Технология при этом может быть различная. Довольно простой и легкий вариант - PGP, это не PKI, но довольно близко.
Каждая сторона генерирует себе пару ключей (секретный/публичный), публичный ключ передается противоположной стороне. С помощью соответствующего софта файлы подписываются и отправляются второй стороне.
Тут важно, что каждый из участников сам генерирует себе ключи и приватный ключ никому никогда не передается.
Именно по такому принципу работают большинство банков, только они обязаны использовать отечественную сертифицированную криптографию (CryptoPro, КриптоКом ...).
Если перейти на PKI, то добавляется еще один персонаж - центр сертификации (ЦС). Каждая сторона, после того как сгенерирует ключ отправляет запрос на сертификат в ЦС и получает от него сертификат. Сертификат, это по сути публичный ключ, подписанный на ключе ЦС с различными ограничениями. Например есть ограничение на срок использования сертификата.
Точно не уверен, но вроде как в нашей стране нельзя использовать западную криптуху по закону, поэтому лучше сразу ориентироваться на отечественный софт. Например не плохой вариант CryptoPro+КриптоАРМ. Отечественная стоит денег.
Если спросите, а что насчет SSL - там же сплошь западные алгоритмы, не сертифицированные, отвечу - в законе есть специальные оговорки про это, смысл в том, что если не возможно удалить из ПО поддержку западных алгоритмов, то можно. Но применительно к документообороту это не притянуть.
Простой
