Мітка часу TimeStamp для Code Signing сертифікатів

Що таке мітка часу?

Коли дата і час зафіксовані, ми можемо сказати, що це відмітка часу певної дії або події. Цифрова камера буде записувати час і дату зйомки фотографії, комп'ютер буде записувати часові дані збереження та редагування документа. У повідомленні соціальної мережі можуть бути записані дата і час, коли був створений допис. Це все приклади міток часу. Відмітки часу важливі для ведення обліку того, коли інформація обмінюється, створюється або видаляється в Інтернеті. У багатьох випадках ці записи просто корисні для нас. Але в деяких випадках часова мітка є більш цінною та важливою.

Уявіть собі такий сценарій: ваша організація в електронному вигляді підписує угоду про нерозголошення з іншою організацією або підрядником. Пізніше з'ясовується, що у підрядника стався витік інформації про проект, відповідно до якого було підписано угоду про нерозголошення. Підрядник оскаржує в суді, стверджуючи, що інформацію було передано до підписання Угоди про нерозголошення. Знання того, коли цей документ був фактично підписаний, в даному випадку дуже важливо. У такій юридичній обстановці недостатньо просто мати часову мітку. Якщо ваш аргумент зводиться до того, що Угоду про нерозголошення було підписано, ви повинні бути в змозі довести, що відмітка часу підпису дійсна, і що документ був підписаний в зазначений час. Відміток часу, які засновані на системному годиннику, недостатньо, оскільки неважко змінити дату і час локально на комп'ютері. Крім того, в Інтернеті є безліч інструментів, які дозволять вам змінити дату зміни, створення і останнього звернення до документу. Постає питання якій позначці часу можна довіряти?

Що таке Доверена мітка часу?

«Довірена» мітка часу створюєтсья довіреною третьою стороною з використанням безпечного обладнання, сумісного з FIPS, тому вони не піддаються маніпуляціям з боку локального користувача. Надійна відмітка часу означає, що ви можете з високим ступенем упевненості сказати, що дата на відмітці часу є точною і її не було підроблено.
В RFC 3161 викладено вимоги, які висуваються до третьої сторони, що може діяти як довірений центр мітки часу Time Stamp Authority (TSA) server.

Як працює Довірена мітка часу?

TSA (TimeStampService Autority) використовують технологію інфраструктури відкритих ключів (PKI) для застосування тимчасових міток.

  1. Клієнтська програма створює хешіроване значення у вигляді унікального ідентифікатора даних або файлу, яке повинно мати часову мітку і відправляє його в TSA.
  2. TSA об'єднує хеш і авторитетний час, ставить цифровий підпис закритим ключем TSA, створюючи маркер мітки часу*, який відправляється назад клієнту.
    * Маркер позначки часу містить інформацію, яка буде потрібна клієнтського додатку для перевірки позначки часу пізніше.
  3. Код мітки часу приймається клієнтським додатком і записується в документ або кодовий підпис.

Коли отриманий документ або файл з міткою часу буде відкритий в майбутньому, клієнтська програма буде використовувати відкритий ключ TSA для аутентифікації сервісу мітки часу (Перевірки того, що мітка часу отримана від довіреної TSA) та перерахунку хеша вихідних даних. Цей новий хеш порівнюється зі спочатку створеним хешем. Якщо будь-які зміни були внесені в дані після того, як була застосована часова мітка, ця перевірка хешу завершиться невдало, і буде показано попередження про те, що дані були змінені і їм не можна довіряти.

Без використання позначки часу термін дії підпису закінчиться або стане недійсним після закінчення терміну дії або відкликання самого сертифіката, і кінцеві користувачі побачать страшні попереджувальні повідомлення про те, що вони не повинні довіряти коду. З відміткою часу підпис все ще буде довіреною, оскільки сертифікат підпису був дійсним, коли підпис застосовувався.

Сервер міток часу RFC3161 забезпечує важливу функцію захисту записів даних в довгостроковій перспективі. Це забезпечує доказ того, що дані існували в певний момент часу і що вони не змінилися, оскільки вони були завірені нотаріально і були помічені часом.

GeoTrust пропонує сервер відміток часу RFC 3161 сумісного з Microsoft Authenticode

*Важливе зауваження: Digicert рекомендує клієнтам використовувати сервіс міток часу SHA256 в майбутньому і не використовувати сервіс SHA1, якщо не існує застарілого обмеження платформи, яке не дозволяє використовувати сервіс SHA2.

Максимальный срок действия сертификата подписи кода или сертификата подписи документов составляет всего три года, поэтому важно, чтобы они были снабжены временной меткой сертификата TSA с максимально возможным сроком действия. Отметка времени сохраняет подпись файлов или программного обеспечения, позволяя операционным системам и другому программному обеспечению принимать их после истечения срока действия сертификата подписи кода или документа. Когда подпись проверяется, отметка времени позволяет подтвердить достоверность подписи по времени ее подписания, а не по текущему времени выполнения программного обеспечения.

Временная отметка кода или файлов с новым сертификатом TSA DigiCert увеличит срок действия подписей ваших клиентов до 11 лет.