Meg azon se segít, ha a nagyon megbízható aláíró akar visszaélni (az OTP-hez szükséges shared secretet is egyszer valamelyik irányba közölni kell [ÜF -> HSM vagy HSM -> ÜF], legalább azalatt az idő alatt hozzáfér a közvetítő cég [és mindenki, aki a HTTPS forgalmat fel tudja oldani...]).
BlackY