Мітка часу TimeStamp для Code Signing сертифікатів

Що таке мітка часу?

Коли дата і час зафіксовані, ми можемо сказати, що це відмітка часу певної дії або події. Цифрова камера буде записувати час і дату зйомки фотографії, комп'ютер буде записувати часові дані збереження та редагування документа. У повідомленні соціальної мережі можуть бути записані дата і час, коли був створений допис. Це все приклади міток часу. Відмітки часу важливі для ведення обліку того, коли інформація обмінюється, створюється або видаляється в Інтернеті. У багатьох випадках ці записи просто корисні для нас. Але в деяких випадках часова мітка є більш цінною та важливою.

Уявіть собі такий сценарій: ваша організація в електронному вигляді підписує угоду про нерозголошення з іншою організацією або підрядником. Пізніше з'ясовується, що у підрядника стався витік інформації про проект, відповідно до якого було підписано угоду про нерозголошення. Підрядник оскаржує в суді, стверджуючи, що інформацію було передано до підписання Угоди про нерозголошення. Знання того, коли цей документ був фактично підписаний, в даному випадку дуже важливо. У такій юридичній обстановці недостатньо просто мати часову мітку. Якщо ваш аргумент зводиться до того, що Угоду про нерозголошення було підписано, ви повинні бути в змозі довести, що відмітка часу підпису дійсна, і що документ був підписаний в зазначений час. Відміток часу, які засновані на системному годиннику, недостатньо, оскільки неважко змінити дату і час локально на комп'ютері. Крім того, в Інтернеті є безліч інструментів, які дозволять вам змінити дату зміни, створення і останнього звернення до документу. Постає питання якій позначці часу можна довіряти?

Що таке Доверена мітка часу?

«Довірена» мітка часу створюєтсья довіреною третьою стороною з використанням безпечного обладнання, сумісного з FIPS, тому вони не піддаються маніпуляціям з боку локального користувача. Надійна відмітка часу означає, що ви можете з високим ступенем упевненості сказати, що дата на відмітці часу є точною і її не було підроблено.
В RFC 3161 викладено вимоги, які висуваються до третьої сторони, що може діяти як довірений центр мітки часу Time Stamp Authority (TSA) server.

Як працює Довірена мітка часу?

TSA (TimeStampService Autority) використовують технологію інфраструктури відкритих ключів (PKI) для застосування тимчасових міток.

  1. Клієнтська програма створює хешіроване значення у вигляді унікального ідентифікатора даних або файлу, яке повинно мати часову мітку і відправляє його в TSA.
  2. TSA об'єднує хеш і авторитетний час, ставить цифровий підпис закритим ключем TSA, створюючи маркер мітки часу*, який відправляється назад клієнту.
    * Маркер позначки часу містить інформацію, яка буде потрібна клієнтського додатку для перевірки позначки часу пізніше.
  3. Код мітки часу приймається клієнтським додатком і записується в документ або кодовий підпис.

Коли отриманий документ або файл з міткою часу буде відкритий в майбутньому, клієнтська програма буде використовувати відкритий ключ TSA для аутентифікації сервісу мітки часу (Перевірки того, що мітка часу отримана від довіреної TSA) та перерахунку хеша вихідних даних. Цей новий хеш порівнюється зі спочатку створеним хешем. Якщо будь-які зміни були внесені в дані після того, як була застосована часова мітка, ця перевірка хешу завершиться невдало, і буде показано попередження про те, що дані були змінені і їм не можна довіряти.

Без використання позначки часу термін дії підпису закінчиться або стане недійсним після закінчення терміну дії або відкликання самого сертифіката, і кінцеві користувачі побачать страшні попереджувальні повідомлення про те, що вони не повинні довіряти коду. З відміткою часу підпис все ще буде довіреною, оскільки сертифікат підпису був дійсним, коли підпис застосовувався.

Сервер меток времени RFC3161 обеспечивает важную функцию защиты записей данных в долгосрочной перспективе. Это обеспечивает доказательство того, что данные существовали в определенный момент времени и что они не изменились, поскольку они были заверены нотариально и были помечены временем.

GeoTrust предлагает сервер отметок времени RFC 3161 совместимого с Microsoft Authenticode

*Важное замечание : GeoTrust рекомендует клиентам использовать сервис меток времени SHA256 в будущем и не использовать сервис SHA1, если не существует устаревшего ограничения платформы, которое не позволяет использовать сервис SHA2.