Pålitelig tidsstempling: Omfattende guide og bruksområder

Praksisen med å tidsstemple informasjon har en lang historie. For flere hundre år siden brukte vitenskapsmenn og oppfinnere som Galileo og Robert Hooke anagrammer og kodede meldinger for å påberope seg opphavsretten til oppdagelsene sine. Mye senere, på trykkpressens tid, tidsstemplet kontorarbeidere dokumenter ved hjelp av fysiske stempler med påmonterte klokker.

I vår digitale tidsalder har tidsstempling utviklet seg til å bli en veletablert teknologi. Denne artikkelen tar for seg de grunnleggende prinsippene for pålitelig tidsstempling, de tekniske aspektene og de praktiske bruksområdene.

Hva er betrodd tidsstempling?

Pålitelig (digital) tidsstempling er en prosess som tilordner en unik identifikator til en bestemt digital hendelse eller transaksjon. Det gir en pålitelig, uforanderlig registrering av hendelsens dato og klokkeslett, og inkluderer metadata som er nødvendige for å verifisere autentisiteten og integriteten til de tidsstemplede dataene.

Tidsstempler kan brukes på meldinger, dokumenter, transaksjoner, programvare og andre typer data.

Pålitelig tidsstempling er nødvendig på grunn av de iboende sårbarhetene ved Internett og digitale systemer, der informasjon er utsatt for uautorisert endring og manipulering.

La oss si at du mottar et viktig elektronisk dokument fra en kollega. Du vil kanskje vite når dokumentet ble opprettet eller sist endret, men du kan ikke fullt ut stole på klokkeslettet som vises på dokumentet, fordi opphavsmannens klokke kan være feil eller endret med vilje.

I slike tilfeller kan betrodd tidsstempling være en løsning som sikrer at dato og klokkeslett knyttet til opprettelsen eller endringen av dokumentet ikke kan manipuleres eller forfalskes. Dette oppnås ved å introdusere en ekstra aktør: en betrodd tredjepart.

I henhold til RFC 3161-standarden er et betrodd tidsstempel utstedt av en betrodd tredjepart som fungerer som en tidsstemplingsmyndighet. Dens primære rolle er å bekrefte at spesifikke data eksisterte på et bestemt tidspunkt, samtidig som den sikrer at ingen - heller ikke opphavsmannen - har mulighet til å endre eller tilbakedatere tidsstempelet.

Hva er en tidsstemplingsmyndighet (TSA)?

Tenk på en Time Stamping Authority som den digitale ekvivalenten til en notarius publicus for nettdokumenter.

En TSA er vanligvis en server som kjører programvare for tidsstempling. Tidsstemplingsservere bruker ofte en høytytende maskinvaresikkerhetsmodul (HSM) for bedre ytelse, pålitelighet og motstandsdyktighet mot manipulering.

TSA-er gjennomgår regelmessige revisjoner og overholder regulatoriske standarder, for eksempel eIDAS i Europa, Electronic Signatures in Global and National Commerce Act (ESIGN) og Uniform Electronic Transactions Act (UETA ) i USA.

Du finner en liste over gratis og offentlig tilgjengelige TSA-er som er i samsvar med RFC 3161-standardene her.

RFC 3161 og dens utvidelse RFC 5816 er standarder for sikker kryptografisk tidsstempling, og definerer hva produkter og organisasjoner må inkludere i tidsstempler.

Hvordan fungerer betrodd tidsstempling?

Pålitelig tidsstempling, som definert i RFC 3161, baserer seg på kryptografi med offentlig nøkkel.

Kort fortalt genererer TSA et tidsstempel ved å binde den unike hashen til dataene med gjeldende dato og klokkeslett, synkronisert med en klarert tidskilde. Resultatet signeres deretter med TSAs private nøkkel.

Her er prosessen:

1. For å starte prosessen beregner dataforfatteren (eller den som ber om data) en kryptografisk hash av dataene som krever tidsstempling. Bare en hash av dataene sendes til TSA, slik at selve dataene forblir hemmelige.
   
   
2. Hashingen sendes til TSA i en forespørsel om tidsstempel. Tidsstempelforespørselen inneholder også objektidentifikatoren til hashalgoritmen som brukes, versjonen av tidsstempelforespørselen, et nonce og andre metadata.
   
   
3. TSA legger til det aktuelle klokkeslettet i datahashingen, noe som skaper en ny kombinert hash.
   
   
4. Den nye hashen signeres med TSAs private nøkkel. TSAs digitale signatur sammenkoblet med den nye hashen danner et tidsstempeltoken.
   
   
5. Tidsstempeltokenet returneres til spørreren.

Deretter lagrer rekvirenten de opprinnelige dataene og tidsstempeltokenet sammen.

Når dataene åpnes, kan gyldigheten til tidsstempelet kontrolleres.

Slik verifiserer du et klarert tidsstempel

For å verifisere et klarert tidsstempel trenger en kontrollør tre elementer: hashen til originaldataene, tidsstempeltokenet og TSA-sertifikatet.

1. Først beregnes hashen til originaldataene og sammenlignes med hashen i messageImprint-feltet i tidsstempeltokenet. Hvis hashen stemmer overens, bekrefter dette at dataene har vært uendret siden tidspunktet for tidsstemplingen.

2. Deretter valideres TSA-signaturen mot TSA-sertifikatet for å bekrefte at tidsstempelet faktisk er utstedt av TSA.

3. Det siste trinnet innebærer å bekrefte at sertifikatkjeden kan spores tilbake til en klarert rot, og at TSA-sertifikatet ikke har blitt tilbakekalt. TSA-sertifikatet må være gyldig under verifiseringsprosessen for at tidsstempelet skal være til å stole på.

Hvis alle kontrollene er bestått, bekrefter dette at tidsstempelet ble utstedt av TSA og at dataene ikke har blitt endret siden tidspunktet for tidsstemplingen.

Slik utfører du RFC 3161-tidsstempling

En fordel med RFC 3161-tidsstempling er at den følger Internet X.509 Public Key Infrastructure Time-Stamp Protocol. Dette er en standard som støttes av mange, noe som betyr at RFC 3161-tidsstempler kan innhentes og verifiseres ved hjelp av en rekke verktøy. Nedenfor følger tre alternativer, som varierer fra avansert til brukervennlig i teknisk kompleksitet.

• OpenSSL: Et av de mest allsidige alternativene er å utnytte OpenSSL - et mye brukt verktøy med åpen kildekode som spesialiserer seg på kryptografiske operasjoner. Denne artikkelen gir et nyttig trinn-for-trinn-eksempel.
  
  
• Bibliotek for tidsstempling: Du kan velge ett av mange biblioteker som følger RFC 3161-protokollen for å utføre tidsstempling programmatisk, for eksempel rfc3161ng-biblioteket. Tidsstempling for git-arkiver kan implementeres med GitTrustedTimestamps.
  
  
• Leverandører av tidsstemplingstjenester: Noen pålitelige leverandører av tidsstemplingstjenester tilbyr nettbaserte grensesnitt, der brukerne kan dra og slippe filer for å få dem tidsstemplet. Dette fungerer godt med en rekke filtyper, inkludert PDF-dokumenter. freeTSA er et eksempel på en offentlig tidsstemplingstjeneste.

Et spørsmål om tillit

Tillit er grunnlaget for en rekke standarder og prosesser i den digitale verden.

I forbindelse med OpenID Connect-protokollen stoler for eksempel den parten som benytter seg av protokollen, på at identitetsleverandøren sørger for at identitetsinformasjonen som leveres, er nøyaktig og autentisk. Denne tilliten er kjernen i sikker brukerautentisering og autorisasjon.

På samme måte er tilliten til tidsstemplingsautoriteten kjernen i pålitelig tidsstempling. Organisasjoner er avhengige av TSA-er for å sertifisere det nøyaktige tidspunktet for digitale transaksjoner og for å garantere integriteten og autentisiteten til tidsstemplede data. Denne tilliten er avgjørende for juridiske, regulatoriske og sikkerhetsmessige formål.

Det regulatoriske aspektet omfatter opprettelse og vedlikehold av lister over kvalifiserte tjenesteleverandører i lovverk som European Union Trusted Lists (EUTL) eller Adobe Approved Trust List.

Bruksområder for betrodd tidsstempling

Pålitelig tidsstempling kan brukes i:

• Juridiske kontrakter og notarialbekreftelse: Pålitelig tidsstempling sikrer at kontrakter og dokumenter beholder sin integritet og gyldighet over tid. Dette har vidtrekkende konsekvenser i tvister og rettssaker.
  
  
• Beskyttelse av immaterielle rettigheter: Pålitelig tidsstempling er en praktisk måte å kreve bevis på eierskap og oppfinnelse for patenter og opphavsrettigheter.
  
  
• Forebygging av økonomisk svindel: Pålitelige tidsstempler hjelper bedrifter med å oppdage og reagere på uautoriserte endringer og potensiell svindelaktivitet i finanssektoren.
  
  
• Programvareutvikling: Tidsstempling kan for eksempel redusere problemer knyttet til maskinell klokkedrift. Dette er spesielt verdifullt i prosjekter med åpen kildekode, distribuerte samarbeid og scenarier der kodeendringer må revideres eller valideres for å sikre samsvar.
  
  
• Signering av dokumenter: Pålitelig tidsstempling er en kritisk komponent i Public Key Infrastructure (PKI)-baserte elektroniske signaturer, inkludert PAdES-kompatible digitale signaturer. Disse signaturene baserer seg på en kombinasjon av et pålitelig tidsstempel og bevis på gyldigheten til underskriverens sertifikat (ofte i form av en Online Certificate Status Protocol, OCSP). Disse to faktorene garanterer det signerte dokumentets integritet på lang sikt og sikrer at det ikke kan manipuleres.
  Et pålitelig tidsstempel beviser at de signerte dataene eksisterte på det gitte tidspunktet. Kombinert med en digital signatur gir dette ekstra sikkerhetsnivået autentisiteten til de signerte dataene og beskytter mot uautoriserte endringer. Dette er et vanlig bruksområde i flere bransjer.

Sammendrag

Ved å inkludere et pålitelig tidsstempel i digitale dokumenter sikrer man dokumentenes langsiktige gyldighet og uavviselighet. Det tjener mange formål, fra å organisere informasjon kronologisk til å sikre at kontrakter er juridisk bindende.

Etter hvert som flere bransjer går over til digitale plattformer og erstatter konvensjonelle signaturer med penn og papir med digitale signaturer, vil etterspørselen etter tidsstempling fortsette å øke. Det er fortsatt et viktig verktøy for å forbedre nøyaktigheten og integriteten til digitale transaksjoner.