Verificación de un PDF con marca de tiempo

Navega tus respuestas
4

Soy un poco nuevo en el proceso de etiquetado de tiempo para proporcionar integridad digital. Para propósitos de prueba, uso tsa.safecreative.org para archivos PDF.

Ahora he firmado un par de archivos PDF y si abro el PDF dice que la marca de tiempo es válida (ya que el archivo está firmado por los certificados de marca de tiempo). Sin embargo, una de las ideas clave de la marca de tiempo es ser una prueba de evidencia, por lo que debería poder utilizar la lista en el sitio web de SafeCreative para verificar la marca de tiempo de mi archivo.

Al analizar la hora exacta de la marca de tiempo, sé que SafeCreative guarda los siguientes datos para mi 

2015-12-16 21:17:27 5488602bec5c55a91e474c2b79d6c1a02928d594c472be54307e3cc8cec3cd90    SHA256

Ahora asumamos que este archivo de demostración es parte de un proceso judicial. Quiero verificar que el archivo se haya marcado a la hora exacta. De acuerdo con defuse.ca , el hash SHA256 es bc5886d2890da95d04b5ec4fbba7881a2cabb38ba87ae27daf5870c381facbbe aunque sea en el último momento.

¿Cómo probaría exactamente en el tribunal que el PDF que obtuve fue una marca de tiempo en ese momento (no creo que el certificado esté mostrando la marca de tiempo en lugar de la integridad del archivo)? ¿El hash "antiguo" está en algún lugar del archivo? Los servidores de marca de tiempo incluso almacenan los hashes y, en caso afirmativo, ¿por qué no hay una API para verificarlo?

    
pregunta James Cameron 16.12.2015 - 22:32
fuente

1 respuesta

5

Parece que ya casi estaba en eso y malinterpreté brevemente el concepto utilizado. El concepto que asumí fue la versión de la base de datos de timestamping, principalmente debido a la lista en el sitio web (sí, hay diferentes métodos de timestamping - vea aquí ), mientras que en realidad PKI se está utilizando de acuerdo con RFC 3161 .

El concepto puede explicarse más fácilmente mediante esta imagen (solo vinculada debido a su licencia). En lugar de verificar la marca de tiempo preguntando a la TSA, todos los datos están de hecho (como dudé en la publicación de inicio) incluidos en el nuevo archivo: el hash del archivo en ese momento y la marca de tiempo están firmados por la TSA y se adjuntan a la expediente. Por lo tanto, en el tribunal solo necesitaría proporcionar el archivo y podría verse que el archivo tenía este hash específico en ese momento, y eso se puede probar. Mientras la TSA no se comprometa, el tiempo de firma y el hash son válidos y nadie puede modificarlos.

De esta manera, también descubrí por qué la limitación a 5 firmas por IP / día son bullocks (para las bases de datos que podrían haber sido comprensibles) y tiene más sentido utilizar otros servicios gratuitos.

    
respondido por el James Cameron 17.12.2015 - 01:52
fuente

Lea otras preguntas en las etiquetas

¿Puedo obtener certificados SSL para mi clave OpenPGP? certificado autofirmado: cómo funciona