今天接到一個業務電話,先是諮詢了一下我們單位的時間戳服務,接着談到國家電子證照共享服務系統,他被業務部門要求爲電子證照提供時間戳服務。因爲政務CA支撐了全國大部分單位的電子印章數字證書,但我還沒聽說過在電子印章簽章時需要時間戳服務。
原來,業務單位要求生成電子證照時要加入時間,假如證照發布時間取系統時間,擔心繫統時間出現偏差,這纔有時間戳服務的需求。
當時我的回覆如下:
1. 電子證照中的時間不應該取系統時間,時間應作爲證照基礎信息數據項,按流程人工審覈填寫。即紙質證照的時間如何確定的,電子證照就按相同方法確定。
2.如果取系統時間,可以配置時間同步服務器,保證時間不偏差,不用時間戳服務。
這樣回答,我心裏還是有點沒底......
時間戳服務
時間戳是使用數字簽名技術產生的數據,簽名的對象包括了原始文件信息、簽名參數、簽名時間等信息。時間戳系統用來產生和管理時間戳,對簽名對象進行數字簽名產生時間戳,以證明原始文件在簽名時間之前已經存在。
在使用時間戳服務時,所涉及到的角色一般有以下幾種:提供時間戳服務的機構(Time-Stamping Authoritor),申請時間戳服務的用戶(Subscriber)和時間戳證書的驗證者(Relying Party)。時間戳機構的主要職責是爲一段數據申請時間戳證書,證明這段數據在申請時間戳證書的時間點之前真實存在,在這個時間點之後對數據的更改都是可以追查的,這樣就可以防止僞造數據來進行欺騙。證書持有者把需要申請時間戳證書的數據發送給時間戳機構,時間戳機構將生成時間戳證書發送給證書持有者。在需要證明該數據未被篡改時,證書持有者展示數據所對應的時間戳證書,時間戳證書的驗證者來驗證它的真實性,而從確認該數據是否經過篡改。
最基本的時間戳協議的工作流程如下;申請時間戳服務的用戶將需要認證的數據傳輸給時間戳服務的提供者;時間戳服務的提供者將經過認證後的時間戳證書返還給用戶。
簡單時間戳協議的工作流程:用戶將需要認證的數據傳輸給時間戳機構,數據經過 Hash運算得到 m=Hash(M),時間戳機構將 m 和收到數據的時間 t 一起進行數字簽名,然後將生成的時間戳證書 Sign(m,t)返還給用戶。在需要驗證時間戳證書時,首先驗證時間戳證書 Sign(m,t)是否爲時間戳機構簽發的,其次驗證 m 是否爲用戶數據經過Hash 運算得到的結果。如果兩項驗證中有任何一項不通過,就證明用戶的數據經過了篡改;如果都通過,說明用戶的數據在時間 t 之後沒有進行過任何修改。
可信時間戳服務
可信時間戳服務2個條件:
1. 具有數字認證服務資質的CA機構,通過可信根驗證時間戳。
2. 可信時間源。
電子證照標準
1. GB/T 36903-2018 電子證照 元數據規範
2.GB/T 36905-2018 電子證照 文件技術要求
查看了這2個標準,確實沒有時間戳作爲電子證照的元數據。如果認知有錯,希望指正!