Pålitlig tidsstämpling: en komplett guide med användningsfall

Att tidsstämpla information har en lång historia. För flera hundra år sedan använde vetenskapsmän och uppfinnare som Galileo och Robert Hooke anagram och kodade meddelanden för att hävda att de var upphovsmän till sina upptäckter. Långt senare, på tryckpressens tid, tidsstämplade kontorsanställda dokument med hjälp av fysiska stämplar med tillhörande klockor.

I vår digitala tidsålder har tidsstämpling utvecklats till en väletablerad teknik. I den här artikeln beskrivs grunderna för pålitlig tidsstämpling (Trusted Timestamping), dess tekniska aspekter och praktiska tillämpningar.

Vad är pålitlig tidsstämpling?

Pålitlig (digital) tidsstämpling är processen att tilldela en unik identifierare till en specifik digital händelse eller transaktion. Det ger en tillförlitlig, oföränderlig registrering av händelsens datum och tid och innehåller de metadata som krävs för att verifiera äktheten och integriteten hos de tidsstämplade uppgifterna.

Tidsstämplar kan tillämpas på meddelanden, dokument, transaktioner, programvara och andra typer av data.

Tillförlitlig tidsstämpling behövs på grund av de inneboende sårbarheterna i Internet och digitala system, där information är benägen att manipuleras och förvanskas.

Anta till exempel att du får ett viktigt elektroniskt dokument från en kollega. Du kanske vill veta när dokumentet skapades eller senast ändrades, men du kan inte helt lita på den tid som visas i dokumentet, eftersom författarens enhetsklocka kan vara felaktig eller avsiktligt ändrad.

I sådana fall erbjuder pålitlig tidsstämpling en lösning genom att säkerställa att datum och tid som är kopplade till dokumentets skapande eller ändring inte kan manipuleras eller förfalskas. Detta uppnås genom att införa ytterligare en aktör: en betrodd tredje part.

Enligt standarden RFC 3161 är en pålitlig tidsstämpel en stämpel som utfärdas av en betrodd tredje part som fungerar som en tidsstämplingsmyndighet. Dess primära roll är att bekräfta att specifika data existerade vid en viss tidpunkt samtidigt som den säkerställer att ingen - inklusive författaren - har befogenhet att ändra eller bakdatera tidsstämpeln.

Vad är en tidsstämplingsmyndighet (TSA)?

Tänk på en Time Stamping Authority som den digitala motsvarigheten till en notarie för onlinedokument.

En TSA är vanligtvis en server som kör programvara för tidsstämpling. Tidsstämplingsservrar använder ofta en högpresterande hårdvarusäkerhetsmodul (HSM) för förbättrad prestanda, tillförlitlighet och manipuleringsskydd.

TSA:er genomgår regelbundna revisioner och följer regleringsstandarder, t.ex. eIDAS i Europa, Electronic Signatures in Global and National Commerce Act (ESIGN) och Uniform Electronic Transactions Act (UETA ) i USA.

Du kan hitta en lista över gratis och allmänt tillgängliga TSA:er som överensstämmer med RFC 3161-standarder här.

RFC 3161 och dess tillägg RFC 5816 är standarder för säker kryptografisk tidsstämpling och definierar vad produkter och organisationer måste inkludera i tidsstämplar.

Hur fungerar pålitlig tidsstämpling?

Åålitlig tidsstämpling, enligt definitionen i RFC 3161, bygger på kryptografi med öppen nyckel.

I ett nötskal, för att generera en tidsstämpel, binder TSA kryptografiskt den unika hashen för data med aktuellt datum och tid, synkroniserat med en betrodd tidskälla. Resultatet signeras sedan med TSA:s privata nyckel.

Så här går processen till:

1. Processen inleds med att datautställaren (eller den som begär ut data) beräknar en kryptografisk hash av de data som kräver tidsstämpling. Endast en hash av uppgifterna skickas till TSA, så själva uppgifterna förblir hemliga.
   
   
2. Hashvärdet skickas till TSA i en begäran om tidsstämpel. Tidsstämpelbegäran innehåller också objektidentifieraren för den hashalgoritm som används, versionen av tidsstämpelbegäran, en nonce och andra metadata.
   
   
3. TSA lägger till aktuell tid till datahashen, vilket skapar en ny kombinerad hash.
   
   
4. Den nya hashen signeras med TSA:s privata nyckel. TSA:s digitala signatur sammanlänkad med den nya hashen bildar en tidsstämpeltoken.
   
   
5. Tidsstämpeltoken returneras till den som begärt den.

Den som begär uppgifterna lagrar sedan de ursprungliga uppgifterna och tidsstämpeltoken tillsammans.

När data hämtas kan giltigheten hos tidsstämpeln kontrolleras.

Hur man verifierar en pålitlig tidsstämpel

För att verifiera en pålitlig tidsstämpel behöver en verifierare tre element: hashen för originaldata, tidsstämpeltoken och TSA:s certifikat.

1. Först beräknas hashen för originaldata och jämförs med hashen i fältet messageImprint i tidsstämpeltoken. Om hasharna matchar varandra bekräftas att uppgifterna inte har ändrats sedan tidpunkten för tidsstämplingen.

2. Därefter valideras TSA:s signatur mot TSA:s certifikat för att bekräfta att tidsstämpeln verkligen utfärdats av TSA.

3. I det sista steget bekräftas att certifikatkedjan kan spåras tillbaka till en pålitlig rot och att TSA:s certifikat inte har återkallats. TSA:s certifikat måste vara giltigt under verifieringsprocessen för att upprätthålla tidsstämpelns tillförlitlighet.

Om alla kontroller godkänns bekräftas att tidsstämpeln har utfärdats av TSA och att data inte har ändrats sedan tidsstämplingen.

Hur man utför RFC 3161-tidsstämpling

En fördel med RFC 3161-tidsstämpling är att den följer Internet X.509 Public Key Infrastructure Time-Stamp Protocol. Detta är en standard som stöds av många, vilket innebär att RFC 3161-tidsstämplar kan erhållas och verifieras med hjälp av många verktyg. Nedan följer tre alternativ, som sträcker sig från avancerad till användarvänlig teknisk komplexitet.

• OpenSSL: ett av de mest mångsidiga alternativen är att utnyttja OpenSSL - en allmänt använd verktygssats med öppen källkod som specialiserar sig på kryptografiska operationer. Den här artikeln ger ett användbart steg-för-steg-exempel.
  
  
• Tidsstämplingsbibliotek: du kan välja ett av många bibliotek som följer RFC 3161-protokollet för att utföra tidsstämpling programmatiskt, t.ex. biblioteket rfc3161ng. Tidsstämpling för git-förvar kan implementeras med GitTrustedTimestamps.
  
  
• Leverantör av tidsstämplingstjänster: Vissa pålitliga leverantörer av tidsstämplingstjänster erbjuder webbaserade gränssnitt där användare kan dra och släppa filer för att få dem tidsstämplade. Detta fungerar bra med en mängd olika filtyper, inklusive PDF-dokument. freeTSA är ett exempel på en offentlig tidsstämplingstjänst.

En fråga om förtroende

Förtroende är den grund som olika standarder och processer bygger på i den digitala sfären.

När det gäller OpenID Connect-protokollet litar till exempel den förlitande parten på att identitetsleverantören säkerställer att den identitetsinformation som tillhandahålls är korrekt och äkta. Detta förtroende är kärnan i säker autentisering och auktorisering av användare.

På samma sätt är förtroendet för Time Stamping Authority kärnan i tillförlitlig tidsstämpling. Organisationer förlitar sig på TSA:er för att certifiera den exakta tidpunkten för digitala transaktioner och för att garantera integriteten och äktheten hos tidsstämplade data. Detta förtroende är viktigt av juridiska, regleringsmässiga och säkerhetsmässiga skäl.

Den regulatoriska aspekten omfattar att skapa och underhålla listor över kvalificerade tjänsteleverantörer i lagstiftning som European Union Trusted Lists (EUTL) eller Adobe Approved Trust List.

Användningsfall för pålitlig tidsstämpling

Pålitlig tidsstämpling kan tillämpas i:

• Juridiska avtal och notarisering: pålitliga tidsstämplar säkerställer att avtal och dokument behåller sin integritet och giltighet över tid. Detta har långtgående konsekvenser i tvister och rättstvister.
  
  
• Skydd av immateriella rättigheter: pålitlig tidsstämpling är ett praktiskt sätt att kräva bevis på ägande och uppfinning för patent och upphovsrätt.
  
  
• Förebyggande av finansiella bedrägerier: pålitliga tidsstämplar hjälper företag att upptäcka och reagera på obehöriga ändringar och potentiell bedräglig verksamhet inom finanssektorn.
  
  
• Programvaruutveckling: tidsstämpling kan t.ex. mildra problem relaterade till maskinell klockdrift. Detta är särskilt värdefullt i projekt med öppen källkod, distribuerade samarbeten och scenarier där kodändringar måste granskas eller valideras för efterlevnad.
  
  
• Signering av dokument: pålitlig tidsstämpling är en kritisk komponent i PKI-baserade (Public Key Infrastructure) elektroniska signaturer, inklusive PAdES-kompatibla digitala signaturer. Dessa signaturer bygger på en kombination av en pålitlig tidsstämpel och bevis på att undertecknarens certifikat är giltigt (ofta i form av ett Online Certificate Status Protocol, OCSP). Dessa två faktorer garanterar det signerade dokumentets integritet på lång sikt och att det inte kan manipuleras.
  En pålitlig tidsstämpel bevisar att de signerade uppgifterna existerade vid den givna tidpunkten. I kombination med en digital signatur garanterar denna ytterligare säkerhetsnivå att de signerade uppgifterna är äkta och skyddar mot obehöriga ändringar. Detta är ett vanligt användningsfall som tillämpas inom flera branscher.

Sammanfattning

Genom att inkludera en pålitlig tidsstämpel i digitala dokument säkerställs deras långsiktiga giltighet och oavvislighet. Det tjänar många syften, från att organisera information kronologiskt till att säkerställa att avtal är juridiskt bindande.

I takt med att fler branscher övergår till digitala plattformar och ersätter konventionella signaturer med penna och papper med digitala signaturer kommer efterfrågan på tidsstämpling att fortsätta öka. Det är fortfarande ett viktigt verktyg för att förbättra noggrannheten och integriteten i digitala transaktioner.