¿Cuál es la marca de tiempo más creíble que puedo crear para un archivo digital?

La semana pasada escuché sobre este servicio Prueba de existencia que realiza un resumen seguro de su archivo y lo agrega al público Bitcoin blockchain.

Por lo tanto, en lo sucesivo y para siempre (o hasta que Bitcoin esté resquebrajado o abandonado), tendrá una prueba públicamente certificada y verificable de que ESTA instancia particular de su archivo existía en ese momento. Incluso si el servicio web Proof of Existence desaparece, es posible que pueda utilizar una herramienta de exploración de blockchain para mostrar la fecha más temprana en que se mostró su resumen seguro en la blockchain.

Al igual que con la criptografía de clave pública, donde confía en una autoridad de identidad confiable, existen autoridades de marca de tiempo. Una organización puede configurar uno internamente o puede confiar en un tercero de confianza (o varios terceros de confianza) para firmar un documento.

Si se confía en la autoridad de marca de tiempo, entonces puede proporcionar una seguridad razonable de la hora en que se selló (no necesariamente creado o modificado). Un mapa de tiempo generalmente se basa en la firma criptográfica de un hash y la firma criptográfica del token para la marca de tiempo. De esta manera, tiene alguna autoridad de confianza que valida la hora y el documento. Acrobat y otros programas PDF le permiten apuntar a un servidor de marca de tiempo que luego puede usar cuando firma archivos (o simplemente marca de fecha). También hay formas de hacerlo manualmente contra un archivo.

Un buen lugar para comenzar es con RFC 3161 + RFC 3628 y este artículo sobre" sellos de tiempo de confianza ". Echa un vistazo a una pregunta relacionada sobre Desbordamiento de pila, y esta sobre Crypto .

Para cualquier información específica sobre legalidad y admisibilidad de un tribunal, comuníquese con un asesor legal específico que esté familiarizado con los requisitos de ese tribunal en particular.

Algunas leyes y directivas para varias regiones:

• Directiva 1999/93 / EC / Directiva Europea sobre un marco comunitario para la firma electrónica (Europa)
• La Ley de Comercio Nacional y Firmas Electrónicas, 2000 (EE. UU.)

También hay muchas soluciones SaaS donde puede hacer clic para firmar, pero confía en los mecanismos del servicio, que pueden no estar vinculados a ningún estándar. Se me ha pedido que firme documentos utilizando el servicio DotLoop , pero no he evaluado sus especificaciones técnicas.

Una posible solución es hacer un hash criptográfico, p. ej. SHA256, de cualquier información con la que quieras usar la marca de tiempo y luego publicar ese hash; tal vez en Internet, lo que incluye guardar por la máquina de retroceso o el caché de Google, etc., o hacer que lo firme un tercero de confianza.

En muchos casos, la persona contra la cual podría querer defenderse más adelante tiene alguna relación con usted que puede darle un incentivo para que la firme. En muchos casos, incluso puede ser posible poner la carga completamente en esa persona simplemente manteniendo un registro público (¿sitio web?) De dichos hashes publicados.

Si bien no soy un abogado, creo que incluso el hecho de continuar con este tipo de registro de manera consistente ayudará, al menos en cierta medida, a su caso. Esa es la solución que solicitó, y proporciona alguna prueba de que no hizo una fecha anterior de la fecha y hora anterior al pasado porque no podía conocer el hash (una función de un solo sentido) sin tener los datos que deseaba con la fecha.

Si no se basa en fuentes externas acreditadas para la validación, no creo que sea posible. Siempre que los datos (marca de tiempo) se almacenen en local, los datos se almacenarán en alguna parte del disco duro. Y cualquier parte de los datos del disco duro se puede sobrescribir fácilmente con herramientas especiales como el editor hexadecimal, siempre que tenga acceso físico al disco duro. Y en este caso, creo que el abogado o la experiencia profesional cuestionarán la integridad de los datos (reputación y posiblemente de manipulación y etc.).

A menos que sea una unidad de solo lectura, si no, no hay forma de evitar que los datos sean "falsos" o sobrescritos en este caso. Sin embargo, una memoria de solo lectura aquí es imposible ya que necesita escribir la marca de tiempo en los datos.

O a menos que haya alguna nueva tecnología de memoria especial que permita escribir datos de forma permanente solo una vez y no pueda modificarse después de escribir una vez, si no, no hay forma de hacerlo.

Esencialmente, no.

  

Advertencia H @ x0r: I.A.N.A.L. *

Las marcas de tiempo son esencialmente números. Un número que representa cuántos segundos después de una hora arbitraria y fecha en que ocurrió el evento (al que se refiere la marca de tiempo). Este tiempo "arbitrario" se conoce como una época : enlace

Una marca de tiempo es simplemente un número. Datos. Un valor. Y los valores pueden cambiar, o ser cambiados. Así que no, realmente no es posible crear una "marca de tiempo" que sea indiscutible en un tribunal de justicia.

Un tribunal de justicia (civil o penal) no se trata realmente de la verdad absoluta , sino de lo que pueden lograr las reglas, el sistema, los precedentes y los argumentos y posiciones de los abogados.

¿En cuanto a una marca de tiempo que no requiere validación externa o fuentes pero que todos confían? No es humanamente posible. Tendría que conseguir que todas las partes externas (es decir, TODOS y TODO lo demás) acuerden su sistema y metodología. Lo siento. Usted está haciendo preguntas filosóficas en los límites legales y de seguridad aquí; No hay respuestas fáciles.

* No soy un abogado

* EDITA a mi respuesta después de editar la pregunta *

Lo mejor que probablemente pueda hacer es requerir fuentes externas. Usted querrá hacer un hash, del archivo y los atributos, así como un mensaje de una fuente externa. Ese mensaje externo será la "clave" sobre la que no tiene control, y la usará para validar la integridad de su archivo y el atributo de marca de tiempo.

El mensaje clave / externo debe provenir de una fuente sobre la que no tenga influencia, y puede confiar para proporcionar esa clave nuevamente, incluidos sus metadatos de origen (cuando se usó, etc.) en el futuro si se lo solicita.

Estoy pensando en algo como la sincronización segura de la hora NTP de una fuente oficial (es decir, del gobierno). No sé lo suficiente sobre NTP o la jerarquía, pero creo que puede obtener actualizaciones firmadas / protegidas digitalmente de algunas fuentes; Si es así, ese es probablemente el camino que necesitas explorar.

El siguiente problema es poner ese hash en un lugar que pueda ser validado y visto por otros, por lo que no puedes cambiar las cosas con el tiempo sin ser notado. Básicamente te estás pintando a ti mismo en un rincón ...

Nota: ESTA NO ES UNA RESPUESTA COMPLETA. Tengo una buena base en conceptos criptográficos, pero no soy un tipo matemático ni un crypto-geek. Estos son conceptos básicos, oficiales. Tienes mucha investigación que hacer.

Hay dos formas que más me gustan en la actualidad:

• Presente en línea en: enlace no solo se envían a la cadena de bloques de Bitcoin (puede pagar $ 1 para que la publicación sea más rápida, o se enviará a los servidores a medianoche de la cadena de bloques), pero también publica el hash SHA256 del archivo en Twitter, agregando pruebas adicionales de que el archivo existía al menos en ese momento.

• Use un programa gratuito llamado XolidoSign Desktop disponible en: enlace donde puede firmar con su clave privada con o sin el timeStamp seguro (para que pueda probar que es suyo, use TimeStamping si es importante para probar el tiempo de existencia), o simplemente firme con TimeStamp de un tercero de confianza (si no lo hace) tenga una clave privada para firmar o no quiere usarla, pero solo necesita probar que el archivo existió en algún momento ... a menos que el archivo en sí contenga su información personal, puede ser difícil probar que fue tuyo, pero es posible que no quieras probar que fue tuyo, solo que existió en algún momento).

Para este programa XolidoSign Desktop, he establecido algunos terceros de confianza ... recuerde que un tribunal puede no aceptar la autoridad de certificación como válida si la ley local especifica cuáles son los servicios de la compañía / gobierno que se pueden usar para ese propósito , consulte la ley local o un abogado para asegurarse de que lo haga correctamente. He configurado todo para usar SHA256 (vaya al signo o la marca de tiempo y desde allí vaya a la configuración de opciones >). Algunos servidores de fecha y hora están disponibles, pero no puedo publicar aquí debido al límite para nuevos usuarios como yo. Nada le prohíbe usar más de uno, pero tendrá que dedicar tiempo al manual (o con algún programa adicional) o enviarlo a alguna carpeta diferente para separar los archivos de firmas.