Стандарт ANSI ASC X9.95
Интернет-стандарт для надежных временных меток

Стандарт ANSI X9.95 для доверенных временных меток расширяет широко используемый RFC  3161 - Internet X.509 Public Key Infrastructure Time-Stamp Protocol, добавляя требования безопасности на уровне данных, которые могут гарантировать целостность данных по отношению к надежному источнику времени, который может быть доказан любой третьей стороне. Применимый как к неподписанным, так и к цифровым подписанным данным, этот новый стандарт использовался финансовыми учреждениями и регулирующими органами для создания надежных временных меток , которые не могут быть изменены без обнаружения, и для поддержания доказательного следа подлинности. Временные метки на основе стандарта X9.95 могут использоваться для предоставления:

  • подлинность: достоверная, неопровержимая дата, когда данные были подписаны цифровой подписью
  • целостность: защита временной метки от несанкционированного доступа
  • своевременность: доказательство того, что время цифровой подписи было фактическим временем
  • доказательственный след подлинности для юридической достаточности

Расширенный набор протокола RFC 3161 IETF, стандарт X9.95 включает определения для конкретных объектов данных, протоколов сообщений и надежных методов временных меток, таких как цифровая подпись , MAC , связанный токен , методы связанных и подписных и переходных ключей. Соответствие X9.95 может быть достигнуто с помощью нескольких технологических подходов, таких как криптография с переходными ключами . Несколько поставщиков продают системы, соответствующие X9.95.

Определения

Запрашивающая сторона получает от центра отметок времени доверенную отметку времени, которая передается верификатору.

В схеме доверенных временных меток X9.95 имеется пять сущностей: сущность источника времени, орган по временным меткам, запрашивающая сторона, верификатор и проверяющая сторона.

  • Источник времени. В большинстве стран есть официальный источник времени, и за последние сто лет он был систематизирован посредством ряда соглашений о взаимном признании и соглашений о законодательной метрологии (более подробную информацию о законодательной метрологии см. на сайте http://www.oiml.org). Почему это важно, так это то, что теперь, когда Интернет сделал возможным прямой доступ к лаборатории, которая управляет официальным источником времени для этой юрисдикции, многочисленные слои «посредников», которые стояли между конечным пользователем и источником времени, теперь исчезли. Таким образом, время, которое может быть показано как прослеживаемое до конкретного национального института измерений или главных часов этой юрисдикции, является единственным источником, который предоставляет утвержденный «источник калибровки времени» для X9.95. Примерами являются NIST в США и Международное бюро мер и весов (BIPM) . Другие нормативные базы также требуют, чтобы время, которое передается через сетевой протокол времени ntp, было надлежащим образом сертифицировано и аутентифицировано, что означает, что неаутентифицированное использование времени от любого поставщика не будет соответствовать требованиям X9.95 для получения времени доказуемым образом.
  • Time Stamp Authority (TSA) — эмитент временных меток, который может быть внутренним по отношению к организации или третьей стороне или внешним (как в интернет-сервисе). TSA получает свое доказуемое «доверенное время» от одного или нескольких надежных источников времени и генерирует запрашиваемые у него временные метки в соответствии со схемой X9.95.
  • Запрашивающая сторона — субъект, запрашивающий временную метку.
  • Верификатор — субъект, который проверяет временную метку. Верификатором может быть проверяющая сторона, регулирующий орган или субъект, который использует стороннюю службу проверки.
  • Доверяющая сторона - Сущность, получающая временную метку. Доверяющая сторона использует токен временной метки в операциях.

Создание временной метки

Генерация временной метки для неподписанных данных.

Перед началом работы службы отметок времени Служба отметок времени калибрует свои часы с помощью источника времени вышестоящего уровня, например, юридически определенных главных часов для юрисдикции, для которой TSA является доказательством отметки времени. После получения доверенного времени TSA может выдавать отметки времени для неподписанных и подписанных в цифровой форме данных на основе всех юрисдикций, для которых она поддерживает решения по отсчету времени.

Приложения, использующие временные метки для неподписанных данных, могут предоставить проверяющей стороне доказательства того, что базовые цифровые данные существовали с момента создания временной метки.

Когда запрашивающая сторона требует доверенную временную метку для фрагмента данных, она создает хэш данных с помощью криптографической хэш-функции и отправляет его в TSA (через сетевое соединение). Затем TSA подписывает хэш и время подписи для создания доверенной временной метки. Эта доверенная временная метка в конечном итоге возвращается запрашивающей стороне, которая может хранить ее вместе с данными.

Для приложений, использующих данные с цифровой подписью, запрашивающая сторона подписывает цифровой хеш своим закрытым ключом и отправляет цифровую подпись в TSA, который выполняет те же операции, что и в предыдущем примере: связывает отправленные данные с меткой времени, используя свою криптографическую привязку, и возвращает результаты запрашивающей стороне.

Когда запрашивающая сторона получает токен временной метки от TSA, она также опционально подписывает токен своим закрытым ключом. Теперь запрашивающая сторона имеет доказательства того, что данные существовали на момент выдачи TSA. При проверке проверяющей стороной или полагающейся стороной токен временной метки также предоставляет доказательства того, что цифровая подпись существовала с момента выдачи временной метки, при условии, что никакие сомнения в подлинности цифровой подписи не опровергают это утверждение.

Генерация временной метки для подписанных данных.

Токены временных меток в открытых моделях временных меток могут быть получены от разных TSA по одним и тем же данным и могут быть проверены в любое время третьей стороной.

Проверка временной метки

Когда требуется проверка, верификатор использует открытый ключ RSA для предполагаемого интервала, чтобы расшифровать маркер временной метки. Если исходный цифровой хэш внутри маркера совпадает с хешем, сгенерированным на месте, то верификатор подтвердил:

  1. Хэш в маркере временной метки соответствует данным
  2. Криптографическая привязка TSA
  3. Цифровая подпись запрашивающего

Эти три проверки предоставляют неопровержимые доказательства того, кто подписал данные (аутентификация), когда они были подписаны (своевременность) и какие данные были подписаны (целостность). Поскольку для расшифровки токенов используются открытые ключи, эти доказательства могут быть предоставлены любой третьей стороне. Американский национальный стандарт X9.95-2005 Trusted Time Stamps был разработан на основе протокола RFC 3161 [TSP] и стандартов ISO/IEC 18014 [ISO], но расширяет свой анализ и предложения. Стандарт X9.95 может применяться для аутентификации данных с цифровой подписью для финансовых транзакций, соблюдения нормативных требований и юридических доказательств.

  • Стандарт X9.95 для доверенных временных меток
  • RSA Laboratories — Что такое цифровая временная метка?
  • Стюарт Хабер и В. Скотт Сторнетта «Как поставить отметку времени на цифровом документе», 1991.
  • Проблема с временными метками
  • Surety AbsoluteProof — служба временных меток на основе ссылок, соответствующая стандартам ISO/IEC 18014-3 и ANSI X9.95
Взято с "https://en.wikipedia.org/w/index.php?title=ANSI_ASC_X9.95_Standard&oldid=1230188109"