¿Fecha / hora firmada criptográficamente en línea?

Question

¿Fecha / hora firmada criptográficamente en línea?

#1 de David Schwartz (6 votos)
#2 de Thomas Pornin (3 votos)
#3 de Jeff Ferland (3 votos)

8

Estoy buscando una fuente de fecha / hora firmada criptográficamente en línea. No necesito un servicio de marca de tiempo completo, ya que estoy contento con la información "fecha / hora fue esa", sin un enlace a un desafío / hash que proporcioné. No me importa si un adversario activo alimenta a mi dispositivo de confianza una fecha / hora antigua (incluso muy antigua); Solo me preocupan los intentos de darle una fecha en el futuro. Mi dispositivo de confianza podría ser una tarjeta inteligente que puedo programar, conectada a una PC que no sea de confianza.

Me gustaría algo sin cargo o necesito autenticar para obtener un nuevo certificado. Estoy bien por una tarifa anual a la autoridad que me brinda ese servicio. Anticipo unas diez mil solicitudes en un año. Podría vivir con interrupciones del servicio o con un retraso de fecha / hora que no exceda una hora.

Estoy pensando en comprar un certificado SSL (o similar) regular de una CA comercial, y utilizar los servicios de revocación que proporcionan para ese certificado, que según me dicen que responda a las consultas «¿este certificado sigue siendo válido? »Con un mensaje firmado« por (hora actual explícita) este certificado es válido », que luego puedo verificar usando la clave pública de CA de largo plazo.

¿Eso parece sonido? ¿Qué protocolo adecuado es ampliamente compatible con las CA comerciales? ¿Mi uso está permitido por las prácticas comerciales normales de CA / término de uso?

¿Alguna alternativa?

Adiciones tardías:

Preferiría mucho algo como que el dispositivo confiable pueda verificar una cantidad moderada de datos (por ejemplo, mensaje firmado, certificado), estáticamente enviado por el no confiable PC host.

El trabajo del dispositivo de confianza debe ser simple (debido a los recursos limitados y la necesidad de verificar que la implementación sea segura).

Preferiría que la fecha / hora firmada criptográficamente se pudiera obtener en una sola sesión TCP / IP, y no estoy listo para configurar una dirección de correo electrónico por cada punto donde necesito este servicio.

Mi requisito para solicitudes gratuitas no es tanto sobre la tarifa, sino sobre la necesidad práctica de autenticar para solicitar cualquier cosa obtenida por una tarifa. Una contraseña está fuera de cuestión. Incluso una autenticación débil por IP no se ajusta (cambie a una copia de seguridad de acceso a Internet en caso de emergencia y la disponibilidad va).

No tengo nada en contra de un servicio gratuito, pero estoy dispuesto a pagar para reducir las probabilidades de que se cancele el servicio y hacer que alguien se avergüence si el reloj salta en el futuro.

certificates certificate-authority timestamp

pregunta fgrieu 06.12.2011 - 17:35

fuente

3 respuestas

6

Creo que podría usar cualquier sitio web operado por una empresa confiable que admita el acceso a través de SSL. La única desventaja es que la lista de autoridades de certificación que podrían firmar su certificado podría cambiar.

Por ejemplo, si recuperas enlace obtendrás algo como:

HTTP/1.0 200 OK
Date: Tue, 06 Dec 2011 17:02:40 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
...

¿Nota el encabezado Date justo allí?

Si estás paranoico, es posible que desees mantener una lista de posibles sitios web a los que puedas acceder, en caso de que algo le suceda a uno de ellos.

respondido por el David Schwartz 06.12.2011 - 18:03

fuente

3

Búsqueda de Google

Uno gratuito que ha existido desde siempre: enlace

Aparte de eso, tu primer párrafo es difícil de entender para mí. Su tercer párrafo parece brillante para prevenir la firma en el futuro. Un hash de sus datos + una respuesta de revocación firmada y con marca de tiempo de una CA proporciona una gran confianza en que el mensaje no se puede marcar en el futuro, el hash no se puede generar antes de la respuesta de la CA correspondiente.

respondido por el Jeff Ferland 06.12.2011 - 17:48

fuente

Lea otras preguntas en las etiquetas certificates certificate-authority timestamp

¿Cómo registro todo lo que está haciendo un determinado programa? PHP - ¿Cómo hacer un filtrado de entrada seguro a la luz de las vulnerabilidades de codificación multibyte?

score 3 · Accepted Answer

Si está listo para realizar una solicitud explícita cada vez que desea un token de tiempo firmado, entonces también puede solicitar un sello de tiempo regular. Hay una serie de servicios de sellado de tiempo libre por aquí, operados por CA para su uso con Authenticode. Por ejemplo, en esa URL:

http://timestamp.globalsign.com/scripts/timstamp.dll

parece que hay una TSA que ejecuta el protocolo de sellado de tiempo estándar .

Aunque se proporciona sin ninguna garantía de calidad (usted obtiene lo que paga y es gratis ...), se puede suponer que, en condiciones normales, el operador de la TSA se esforzará por mantener el reloj de la TSA razonablemente preciso; mientras que un servidor OCSP solo necesita ser tan preciso como la latencia natural de cualquier servicio de revocación, es decir, podría estar apagado por varios minutos sin que nadie lo note.