Есть ли способ цифровой подписи документов, чтобы доказать, что они существовали в определенный момент времени

Question

Мне любопытно, есть ли способ цифровой подписи документов (технически любой части данных), таких как контракты или фотографии, чтобы через 10 лет можно было доказать, что они с этого времени не поддельные 9лет спустя.

Например, я мог бы написать предсказание будущего и подписать его обычными средствами, чтобы доказать, что я его написал, а затем поставить отметку времени, чтобы, когда оно сбудется, я мог доказать, что япредсказал это.

Один из способов, о котором я подумал, это то, что может быть авторитет с отметкой времени.Вы отправляете им данные, они создают хэш data + timestamp и шифруют хеш с помощью RSA, используя свой закрытый ключ.Таким образом, существует подписанный документ: данные, временная метка, зашифрованный хэш.

Через 10 лет я хэширую данные + предполагаемая временная метка и проверяю, совпадает ли она с зашифрованным хешем, который я расшифровываю с использованием открытого RSA органа.ключ (которому я доверяю).Если это так, я знаю, что временная метка действительна.

Я могу видеть 2 проблемы с этим, хотя:

• Требуются внешние права доступа
• Закрытый ключ доступанужно было бы сохранить в тайне, потому что, если он будет обнаружен, все документы, подписанные с ним, станут недействительными.

Можете ли вы найти решение без (одной из) этих проблем?

Answer 1

Это называется отметка времени . Наиболее широко используемый механизм определен в спецификации TSP ( RFC 3161 ) и некоторых других. Альтернативный метод используется в MS Authenticode, но он не документирован и не совместим с TSP.

TSP используется в качестве дополнительной функции в нескольких стандартах шифрования и цифровой подписи, таких как PDF, XAdES, CAdES, PAdES (AdES означает «Расширенный стандарт шифрования»). Стандарты PDF, XAdES и PAdES применяются к определенным типам данных. CAdES - это универсальный формат (так как он может применяться для любых общих данных).

RFC 5544 предлагает способ применить TSP к любым общим данным без подписи этих данных.

В спецификации TSP интенсивно используются сертификаты PKI и X.509.

Услуги по отметке времени предоставляются центрами сертификации в качестве дополнительной услуги. Существуют также независимые службы меток времени.

Вы можете запустить собственную службу метки времени, однако для метки времени требуется использование специального сертификата (его расширения использования ключа должны быть установлены особым образом), поэтому обычные сертификаты SSL или подписи кода не будут работать.

Говоря о "органах отметки времени" - вы отправляете им хэш (рассчитывается при подписании), и они подписывают этот хэш, используя свой сертификат. Их личное дело - защищать закрытый ключ, и они обычно взимают за него плату.

Идея о сторонней власти заключается в том, что она удостоверяет время. Если вы подписываете данные, вы можете в любое время поставить подпись, и нет никакого способа проверить, является ли она правильной или вы ее подделали. Только доверенный сторонний орган может быть доказательством правильности отметки времени.

Answer 2

Да, вы можете сделать это с ProofOfExistence.com , который помещает хэш вашего документа в биткойн блокчейн .

^{(ср. это )}

Answer 3

Вот служба меток времени, которая непрерывно работает с 1995 года.

http://www.itconsult.co.uk/stamper/stampinf.htm

Вы отправляете свои данные (или их хэш) по электронной почте и получаете обратноподпись ваших данных плюс отметка времени с серийным номером.Отдельные подписи (но не сами данные) публикуются публично, и любой может заархивировать их для себя, так что, если бы операторы сайтов когда-либо пытались изменить запись отметки времени, люди бы знали.Поэтому в принципе вам не нужно сильно доверять самой услуге.

Answer 4

Да, есть коммерческие службы, которые надежно отметят время документами или программным обеспечением.

В есть статья в Википедии , объясняющая это. Google быстро обнаружил один такой сервис (я не аффилирован), я уверен, что есть еще много. Раньше был и бесплатный, но все дело в доверии (т.е. будут ли суды доверять «кому-то в Интернете» против VeriSign).

Answer 5

Проверьте easytimestamping.com .Метки времени (основанные на RFC3161) выпускаются квалифицированным сертификационным органом, аккредитованным в Европейском союзе, поэтому в большинстве стран ЕС отметка времени имеет гарантированную юридическую силу.

Закрытый ключ органа должен храниться в строжайшем секрете, потому что в случае его обнаружения все документы, подписанные с ним, становятся недействительными.

Квалифицированные центры сертификации сертифицированы на соответствие (как минимум) стандарту ETSI TS 102 023это налагает различные физические и программные меры безопасности для обеспечения защиты закрытого ключа.

PS: я связан с easytimestamping.com

Answer 6

RFC3161 - не единственный способ безопасной отметки времени.

В настоящее время область исследований заключается в разработке схем, в которых вы должны меньше доверять сторонним органам власти, выпускающим метки времени. С временными метками на основе RFC3161 вы более или менее обязаны полностью доверять авторитету. Эта презентация дает обзор альтернатив, большинство из которых основаны на схемах связывания . Идея весьма привлекательна, потому что временные метки будут находиться под пристальным вниманием, и нет никакого секретного ключа, который мог бы быть утечен, таким образом, обеспечивая по своей природе лучшую безопасность, чем современные стандартные метки времени RFC 3161.

Answer 7

В прошлом я бы сказал 'lookup PublicTimeStamp.org ', но у него было несколько сложное прошлое.Кажется, он все еще работает, но сайт только работает.Если вы получили http://PublicTimeStamp.org/ptb, вы найдете последние значения (сегодня).Но другие части системы не видны.

Answer 8

Может использоваться служба отметок времени, соответствующая RFC 3161, она является стандартом и должна содержать достаточно доказательств того, что определенный документ существовал в определенное время.Лучшей идеей было бы изменить документ на PDF, а затем подписать его цифровой подписью и временной меткой, в PDF любой может четко видеть метку времени и другие свойства подписи или метки времени.Отметьте tecxoft tsa , вы также можете проверить цифровые подписи в формате pdf здесь .

Answer 9

Пока вы не ищете что-то, что длится очень долго:

Зашифруйте документ и отправьте его в одну из двоичных групп Usenet.Любой может проверить заголовки и посмотреть, когда он был получен, вы можете расшифровать файл (или предоставить ключ в зависимости от обстоятельств) и доказать, что это действительно данные, о которых идет речь.

Поскольку вы этого не делаетеуправлять файлом, как только он публикует игры, как, например, раскрыть предсказание, которое сработало, невозможно.

Answer 10

Когда-то люди хранили нераскрытыми отправленные документы, отправленные заказным письмом, и называли это «авторским правом бедняка».Я полагаю, вы могли бы сделать то же самое с любым крупным, уважаемым сайтом электронной почты.Отправьте себе копию документа с помощью Gmail, Hotmail или чего-либо другого и сохраните копию в своей учетной записи. Дата / отметка времени в электронном письме должна быть получена от поставщика услуг (а не с вашего компьютера), так что это будет довольно веским доказательствомЯ представляю.