x

Kryptograficzne znakowanie czasem RFC3161

Jak działa wiarygodne znakowanie czasem.

Proces wiarygodnego znakowania czasem danych (np. raportów systemowych LOG, plików zdjęć, baz danych itp.) zaczyna się po stronie klienta, który tworzy na ich podstawie odcisk palca (ang. fingerprint), czyli unikalną sekwencję identyfikującą dane tzw. skrót HASH-1. Czynność liczenia skrótu wykonuje się przy użyciu jednej z wielu dostępnych matematycznych funkcji; np. SHA-2 (SHA-256) lub SHA-1. Od tej pory jakakolwiek zmiana, nawet pojedynczego bitu informacji w oryginale znakowanych czasem danych będzie wymagać rozpoczęcia operacji od nowa, dlatego do czasu zwrotnego odbioru pełnego znacznika czasu z serwera TSA (ang. Time Stamping Authority) oryginał danych powinien pozostawać w nienaruszonej formie. Skrót  HASH-1 rozszerzony o pola dodatkowych informacji wysyłany jest przez sieć do TSA.  Liczy on około 500 bajtów.

Po odebraniu żądania TSA uzupełnia odebrane dane dodając: informacje o czasie i dacie (TIME),  certyfikat z kluczem publicznym TSA (CERT) oraz nowy skrót (HASH-2) tak przygotowanej odpowiedzi. Całość podpisuje swoim kluczem prywatnym i odsyła do klienta. Odpowiedź liczy około 1500 bajtów i jest zapisywana przez klienta w postaci oddzielnego pliku. Z wyjątkiem plików PDF, wszystkie pozostałe formaty plików produkują wiarygodny znacznik czasu w formie oddzielnego RFC3161. Format PDF jako jedyny posiada specjalne wewnętrzne deskryptory zgodne z RFC3161 pozwalające w bardzo elegancki sposób przechowywać w pojedynczym pliku zarówno oryginał dokumentu jak i znacznik czasu.

 

Weryfikacja wiarygodności znacznika czasu

Proces weryfikacji może być wykonany w dowolnym momencie również po wielu latach i do weryfikacji nie jest potrzebny serwer TSA. Aby zweryfikować poprawność potrzebny jest oryginał dokumentu oraz plik znacznika czasu zawierający certyfikat z kluczem publicznym TSA. Proces weryfikacji zawiera badanie tożsamości TSA (autentykacja) i spójności danych znacznika czasu (integralność). W tym celu używany jest klucz publiczny TSA zawarty w certyfikacie (CERT) przesłanego znacznika. Niezależnie klient ponownie sprawdza i liczy skrót HASH2. Jeżeli jest on zgodny (z przesłanym wcześniej HASH-2 przesłanego załącznika) to autentykacja TSA i integralność danych znacznika są zachowane i wiarygodne. W przeciwnym wypadku zwracany jest błąd.


Na koniec pozostaje konieczność sprawdzenia czy weryfikowany znacznik odwołuje się do oryginału danych (pliku), co jest zasadniczo podmiotem procesu weryfikacji. Dlatego klient ponownie liczy skrót HASH-1 a podstawie zarchiwizowanej kopii oryginału danych, i porównuje wynik z pobranym ze znacznika skrótem HASH-1 jaki sam liczył przygotowując zapytanie do TSA. Dopiero ta zgodność gwarantuje że znacznik i dokument wzajemnie korespondują ze sobą. W ten sposób uzyskuje się pełną weryfikację spełniających właściwości PKI i cechy prawidłowej: autentykacji TSA, integralności znacznika, oryginalności dokumentu i znacznika, oraz niezaprzeczalności wiarygodności że dokument istniał w danej formie w określonym wiarygodnie przez znacznik czasu momencie historii

 

Wiarygodne znakowanie czasem systemowych raportów LOG w przemyśle

 

Powszechność dostępu do bibliotek takich jak OpenSSL oraz łatwość generacji kluczy prywatny/publiczny z użyciem przeglądarek Internetowych dostarcza nowe możliwości wykorzystania infrastruktury klucza publicznego PKI w przemyśle jakie daje cyfrowe podpisywanie danych i autentykacja ich nadawcy. Funkcjonalność ta w połączeniu z serwerami czasu tworzy nową grupę usług tzw. wiarygodnego oznaczania czasem zdarzeń w przemyśle, a które trwale kojarzy zdarzenia, alarmy błędy itp. z datą i godziną ich wystąpienia. Tam gdzie konsekwencje mogą mieć wymiar finansowy, dotyczą kwestii bezpieczeństwa pracy ludzi, lub gdy automatyzacja realizuje funkcje objęte rygorem prawa, wiarygodne znakowanie czasem jest nie mniej ważne od prawidłowej synchronizacji, ponieważ dostarcza dodatkowe niespotykane wcześniej właściwości takie jak:

Niezaprzeczalność zdarzenia opisanego w systemowym dzienniku zdarzeń LOG

Autentykacja serwera czasu znakującego wiarygodnie czasem

Oryginalność i integralność tak oznaczonych wiarygodnym czasem informacji o zdarzeniach

Wiarygodne znakowanie czasem RFC3161 może być wykonywane na dowolnych typach danych, najwygodniej w formie pliku o dowolnym formacie i długości. Również coraz popularniejsza dziś w przemyśle i telemetrii/M2M technologia CLOUD coraz częściej odwołuje się do wiarygodnego oznaczanie czasem przesyłanych za jej pośrednictwem informacji.

Znakowanie wiarygodnym czasem nie ogranicza się wyłącznie do zastosowań w przemyśle. Można go używać również do celów indywidualnych i domowych z wykorzystaniem np. Adobe Acrobat Readera. Zawarty w dokumencie PDF informacje i multimedia (zdjęcia) mogą w przyszłości uprościć złożone procedury ochrony patentowej, czy ochrony własności intelektualnej. Być może w przyszłości każdy telefon komórkowy będzie pozwalał nie tylko rejestrować dźwięk, kręcić film, robić zdjęcia ale dzięki wiarygodnemu znakowaniu czasem będziemy mogli w prosty automatyczny sposób zagwarantować sobie pierwszeństwo praw autorskich, własność intelektualną – potwierdzić istnienie dokumentów, znane dziś jako usługa daty pewnej świadczonej przez notariuszy.

Czytaj więcej::

  Napędy i Sterowanie - Co to jest kryptograficzne znakowanie czasem cz.1

  Napędy i Sterowanie - Jak działa kryptograficzne znakowanie czasem cz.2

  Napędy i Sterowanie - Prosty przykład używania znakowania czasem cz.3

x
Adam Ant: *
: *
: *
*