Me pregunto si existe algún servicio de terceros confiable en el que pueda enviar un archivo, o solo la firma de un archivo, y recuperar una firma de ese archivo firmado con la marca de tiempo de cuando fue firmado.
¿Existe tal servicio?
No estoy buscando algo complicado como una cadena de bloques, solo un servicio simple que usa GPG o algo similar.
Una línea de un script de compilación que usé hace unos años:
signtool sign /v /f <REDACTED> /p <REDACTED> /fd sha256 /t http://timestamp.verisign.com/scripts/timstamp.dll %1
Es decir, usar signtool.exe del SDK de Windows para solicitar que Verisign (ahora Symantec) marque la marca del archivo que estaba compilando. Irónicamente, el dominio timestamp.verisign.com no está disponible a través de HTTPS (aunque esto no importa realmente; no se pasaron datos significativos y, por supuesto, pude verificar la firma de la marca de tiempo con una clave conocida).
Es posible que puedas encontrar otras autoridades públicas de sellado de tiempo; ese es solo uno que me mostró alguien más que trabaja en un problema similar. Además, tenga en cuenta que signtool.exe tiene un parámetro separado ( /tr vs. /t ) para las URL de RFC 3161, lo que sugiere que la URL que proporcioné no es compatible con RFC 3161.
Lea otras preguntas en las etiquetas digital-signature timestamp