Открыть сервис

Штамп времени

Штамп времени — это цифровая метка, фиксирующая факт существования определённого электронного документа, файла или данных на конкретный момент времени. Штамп времени служит для доказательства того, что информация не была изменена после указанной даты, и позволяет установить хронологическую последовательность событий. В криптографии и информационной безопасности штамп времени является ключевым элементом для обеспечения неотказуемости (non-repudiation) и целостности данных.

История

Потребность в фиксации времени для документов существовала задолго до появления компьютеров. В бумажном делопроизводстве роль штампа времени выполняли нотариальные заверения, почтовые штемпели и регистрационные журналы. С развитием электронного документооборота возникла необходимость в аналоге, который был бы защищён от подделки.

Первые теоретические работы по цифровым штампам времени относятся к началу 1990-х годов. В 1991 году Стюарт Хабер и У. Скотт Сторнетта из компании Bell Communications Research (Bellcore) предложили концепцию, основанную на криптографических хеш-функциях и связывании меток в цепочку. Их идея заключалась в том, чтобы публиковать хеш-значения в общедоступных изданиях, например, в газетах, что делало невозможным изменение временной последовательности задним числом. В 1993 году эта технология была запатентована.

Дальнейшее развитие связано с появлением централизованных служб штампов времени (Time Stamping Authority, TSA), работающих по стандарту RFC 3161 (Internet X.509 Public Key Infrastructure Time-Stamp Protocol, 2001 год). Параллельно развивались децентрализованные подходы, наиболее известным из которых стала технология блокчейн, где каждый блок содержит метку времени, связывающую его с предыдущим.

Принцип работы

Основная задача штампа времени — доказать, что данные существовали до определённого момента и не были изменены после него. Для этого используется криптографическая хеш-функция, которая преобразует произвольный набор данных в строку фиксированной длины (хеш-сумму, или дайджест). Изменение хотя бы одного бита исходных данных приводит к полному изменению хеша.

Процесс создания штампа времени обычно включает следующие шаги:

  1. Вычисление хеша от исходного документа.
  2. Отправка хеша в службу штампов времени (TSA).
  3. TSA добавляет к полученному хешу текущее время (с привязкой к эталонному источнику, например, к атомным часам) и подписывает полученную комбинацию своей электронной подписью.
  4. Пользователю возвращается токен штампа времени — сертифицированное подтверждение, содержащее исходный хеш, время и подпись TSA.

Для проверки подлинности штампа времени необходимо:

  1. Вычислить хеш проверяемого документа.
  2. Извлечь хеш из токена штампа времени.
  3. Сравнить их. Если хеши совпадают, это означает, что документ не изменялся с момента создания штампа.
  4. Проверить электронную подпись TSA, чтобы убедиться, что токен не был подделан.

Виды штампов времени

Централизованные (TSA)

Служба штампов времени (Time Stamping Authority) — это доверенная третья сторона, которая выдает сертифицированные метки времени. TSA должна быть надёжной, защищённой от взлома и синхронизированной с государственными эталонами времени. В России функции TSA могут выполнять удостоверяющие центры, аккредитованные Минцифры. Централизованные штампы широко применяются в электронном документообороте, банковской сфере и для защиты программного обеспечения.

Децентрализованные (на основе блокчейн)

В таких системах, как Bitcoin, Ethereum или другие блокчейны, штамп времени создаётся путём включения хеша данных в транзакцию, которая затем записывается в блок. Время блока фиксируется сетью, и изменить его практически невозможно из-за огромных вычислительных затрат. Этот подход не требует доверенной третьей стороны, но может быть медленнее и дороже (из-за комиссий за транзакции). Существуют специализированные сервисы, такие как OpenTimestamps, которые используют блокчейн Bitcoin для создания децентрализованных штампов.

Связанные (Linked)

Этот метод, предложенный Хабером и Сторнеттой, заключается в связывании нескольких штампов времени в единую цепочку. Каждый новый штамп содержит хеш предыдущего. Таким образом, изменение любого штампа в прошлом разрывает всю цепочку. Этот метод повышает устойчивость к подделке, так как для фальсификации одного штампа потребуется пересчитать все последующие.

Применение

Штампы времени используются в различных областях, где требуется доказательство времени создания или существования данных:

  • Электронный документооборот: Заверение электронных подписей, фиксация времени подписания договоров, счетов, актов. В России штамп времени является обязательным элементом для усиленной квалифицированной электронной подписи (УКЭП) согласно Федеральному закону № 63-ФЗ «Об электронной подписи».
  • Интеллектуальная собственность: Доказательство приоритета авторства на научные работы, исходный код, дизайн-проекты, музыкальные произведения. Зарегистрировав хеш файла в блокчейне или у TSA, автор может впоследствии доказать, что файл существовал на эту дату.
  • Судебная экспертиза и аудит: Подтверждение неизменности логов, баз данных, финансовых отчётов и других записей, используемых в качестве доказательств.
  • Защита программного обеспечения: Проверка целостности дистрибутивов и обновлений. Пользователь может убедиться, что скачанный файл не был подменён и выпущен именно разработчиком в указанное время.
  • Блокчейн и криптовалюты: Каждая транзакция в блокчейне содержит штамп времени, который определяет её место в цепочке блоков и предотвращает двойное расходование средств.
  • Интернет вещей (IoT): Фиксация времени показаний датчиков, событий и команд в распределённых системах.

Правовое регулирование в России

В Российской Федерации использование штампов времени регулируется в рамках законодательства об электронной подписи. Федеральный закон № 63-ФЗ устанавливает, что квалифицированная электронная подпись (КЭП) должна содержать информацию о времени её создания. Для этого используются услуги доверенных третьих сторон — аккредитованных удостоверяющих центров, которые обязаны обеспечивать синхронизацию своего времени с Государственной службой времени, частоты и определения параметров вращения Земли (ГСВЧ).

Штамп времени, полученный от аккредитованного удостоверяющего центра, имеет юридическую силу и может быть использован в суде в качестве доказательства. Для децентрализованных штампов времени (например, на основе блокчейна) единая правовая база в России пока не сформирована, и их применение в официальных процедурах ограничено.

Критика и ограничения

Основные проблемы, связанные со штампами времени, включают:

  • Зависимость от доверенной стороны: В централизованных системах TSA может быть скомпрометирована или подвергнута давлению. Если злоумышленник получит доступ к её закрытому ключу, он сможет создавать поддельные штампы с любой датой.
  • Срок действия криптографии: Алгоритмы хеширования и электронной подписи со временем устаревают. Штамп, созданный с использованием устаревшего алгоритма (например, MD5 или SHA-1), может быть подделан. Требуется перештамповка (renewal) данных с использованием более новых алгоритмов до истечения срока безопасности старых.
  • Стоимость и скорость: Децентрализованные системы (блокчейн) могут быть дорогими и медленными при большом количестве запросов. Централизованные TSA обычно быстрее и дешевле, но требуют оплаты услуг.
  • Проблема «человеческого фактора»: Штамп времени доказывает, что хеш существовал в определённый момент, но не доказывает, что документ, соответствующий этому хешу, был создан именно в это время. Злоумышленник мог создать хеш заранее, а сам документ — позже, или наоборот, «подогнать» старый хеш под новый документ (атака с использованием коллизий хеш-функций).

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  2. Haber, S., & Stornetta, W. S. (1991). How to time-stamp a digital document. Journal of Cryptology, 3(2), 99-111.
  3. RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
  4. OpenTimestamps: A Protocol for Public Blockchain Timestamping.
  5. Материалы сайта Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о порядке использования электронной подписи.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →