Qual è il timestamp più credibile che posso creare per un file digitale?

La scorsa settimana ho sentito parlare di questo servizio Proof of Existence che rende un digest sicuro del tuo file e lo aggiunge al pubblico Bitcoin blockchain.

Quindi d'ora in avanti e per sempre (o fino a quando Bitcoin non sarà crackato o abbandonato), avrai la prova certificata pubblicamente certificabile che quella particolare istanza del tuo file esisteva in quel momento. Anche se il servizio web Proof of Existence sparisce, potresti usare uno strumento blockchain explorer per mostrare la data più antica in cui il tuo digest sicuro appare nella blockchain.

Molto simile alla criografia a chiave pubblica, in cui ci si basa su un'autorità attendibile per l'identità, ci sono le autorità per le date e l'ora. Un'organizzazione può installarne una internamente o affidarsi a una terza parte fidata (oa più terze parti fidate) per firmare un documento.

Se l'autorità timestamp è affidabile, è possibile fornire una ragionevole garanzia del tempo in cui è stata timbrata (non necessariamente creata o modificata). In genere, una mappa temporale si basa su firme logiche di un hash e firma del token per la registrazione cronologica. In questo modo hai un'autorità attendibile che convalida il tempo e il documento. Acrobat e altri programmi PDF ti consentono di puntare a un server di timestamp che puoi usare quando firmi i file (o semplicemente li timestamp). Ci sono anche modi per farlo manualmente contro un file.

Un buon punto di partenza è con RFC 3161 + RFC 3628 e questo articolo su" timestamp attendibili ". Dai un'occhiata a domanda correlata su Stack Overflow e questo su Crypto .

Per qualsiasi specifica sulla legalità e sull'ammissibilità del tribunale, rivolgiti a un consulente legale che abbia familiarità con i requisiti di quella particolare corte.

Alcune leggi e direttive per varie regioni:

• Direttiva 1999/93 / CE / Direttiva europea su un quadro comunitario per le firme elettroniche (Europa)
• The Electronic Signatures in Global and National Commerce Act, 2000 (USA)

Esistono anche molte soluzioni SaaS in cui è possibile fare clic per firmare, ma si fa affidamento sui meccanismi del servizio, che potrebbero non essere conformi a nessuno degli standard. Mi è stato chiesto di firmare documenti usando il servizio DotLoop , ma non ho valutato le loro specifiche tecniche.

Una possibile soluzione è creare un hash crittografico, ad es. SHA256, di qualunque dato si desideri utilizzare il timestamp con e quindi pubblicare tale hash; forse su internet che include il salvataggio da parte della macchina del wayback o della cache di google, ecc., oppure farlo firmare da una parte fidata.

In molti casi, la persona la cui potenziale causa successiva di cui si vuole difendere ha qualche rapporto con te che potrebbe dargli un incentivo a firmare lui stesso. In molti casi, potrebbe persino essere possibile attribuire interamente l'onere a quella persona semplicemente mantenendo un registro pubblico (sito Web?) Di tali hash pubblicati.

Anche se non sono un avvocato, credo che anche solo continuando a eseguire costantemente questo tipo di registrazione aiuterà almeno un po 'il tuo caso. Questa è la soluzione che hai richiesto, fornendo alcune prove del fatto che non hai retrodatato il timestamp nel passato perché non potevi conoscere l'hash (una funzione unidirezionale) senza avere i dati che volevi segnare con il timestamp.

Se non si basa su fonti esterne attendibili per la convalida, non penso sia possibile. Finché i dati (data / ora) sono memorizzati in locale, i dati verranno memorizzati in alcune parti del disco rigido. E qualsiasi parte dei dati del disco rigido può essere facilmente sovrascritta con strumenti speciali come l'editor esadecimale, purché si abbia accesso fisico al disco rigido. E in questo caso credo che l'avvocato o l'esperienza professionale metterà in discussione l'integrità dei dati (reputazione e possibilmente di manomissione, ecc.).

A meno che non si tratti di un'unità di sola lettura, in caso contrario non è possibile impedire che i dati siano "falsi" o sovrascritti in questo caso. Tuttavia una memoria di sola lettura qui è impossibile in quanto è necessario scrivere il timestamp nei dati.

O a meno che non ci sia una nuova tecnologia di memoria speciale che permetta di scrivere dati in modo permanente una sola volta e non possa essere modificata una volta scritta, altrimenti non è possibile farlo.

In sostanza, no.

Caveat H@x0r: I.A.N.A.L. *

I timestamp sono essenzialmente numeri. Un numero che rappresenta quanti secondi dopo una data e ora arbitraria l'evento (a cui si riferisce il timestamp). Questo tempo "arbitrario" è noto come epoca : link

Un timestamp è semplicemente un numero. Dati. Un valore. E i valori possono cambiare o essere modificati. Quindi no, creare un "time stamp" che è indiscutibile in un tribunale non è realmente possibile.

Un tribunale (civile o criminale) non si occupa in realtà di la verità assoluta , ma di quello che possono ottenere le regole, il sistema, i precedenti e gli argomenti e le posizioni degli avvocati.

Come per un timestamp che non richiede la validazione esterna o fonti ma è considerato affidabile da tutti? Non umanamente possibile. Dovresti ottenere tutte le parti esterne (ad esempio TUTTI e TUTTO) per concordare il tuo sistema e la tua metodologia. Scusate. Stai facendo domande filosofiche borderline nei reami Legale e Sicurezza qui; non ci sono risposte facili.

* I Am Not A Lawyer

* MODIFICA la mia risposta dopo le modifiche alla domanda *

Il meglio che probabilmente sarai in grado di fare richiederà risorse esterne. Dovrai fare un po 'di hashing, del file e degli attributi così come un messaggio da una fonte esterna. Quel messaggio esterno sarà la "chiave" su cui non hai alcun controllo e utilizzalo per convalidare l'integrità del tuo attributo file e timestamp.

Il messaggio chiave / esterno deve provenire da una fonte su cui non si ha alcuna influenza e può fare affidamento su di fornire nuovamente quella chiave, inclusi i suoi metadati di origine (quando è stata utilizzata, ecc.) in futuro, se citati in causa.

Sto pensando qualcosa come la sincronizzazione dell'ora NTP sicura da una fonte ufficiale (cioè il governo). Non ne so abbastanza sull'NTP o sull'erarchia, ma credo che tu possa ottenere aggiornamenti firmati / protetti digitalmente da alcune fonti; se è così, probabilmente è il percorso che devi esplorare.

Il prossimo problema è mettere quell'hash da qualche parte che può essere convalidato e visualizzato da altri, quindi non puoi cambiare le cose nel tempo senza essere notato. Stai praticamente dipingendo te stesso in un angolo ...

Nota: QUESTA NON E 'UNA RISPOSTA COMPLETA. Ho una buona base di concetti cripto, ma non sono un tipo matematico né un cripto-geek. Questi sono concetti base, per professionisti. Hai un sacco di ricerche da fare.

Ci sono due modi in cui mi piace attualmente di più:

• Invia online in: link non solo si sottomettono alla blockchain di Bitcoin (puoi pagare $ 1 per rendere la pubblicazione più veloce, o sarà presentato ai server mezzanotte alla blockchain), ma pubblica anche l'hash SHA256 del file su Twitter aggiungendo ulteriori prove che il file esiste almeno in quel momento.

• Utilizza un programma gratuito chiamato XolidoSign Desktop disponibile all'indirizzo: link dove puoi firmare con il tuo chiave privata con o senza timeStamp sicuro (in modo che tu possa provare che è tuo, usa TimeStamping se è importante provare l'ora dell'esistenza), o semplicemente firmalo con un TimeStamp da una terza parte fidata (se non lo fai hai una chiave privata da firmare o non vuoi usarla, ma devi solo provare che il file esiste già ad un certo punto nel tempo ... a meno che il file stesso contenga le tue informazioni personali, potrebbe essere difficile dimostrare che era il tuo, ma potresti non voler provare che fosse tuo ma solo che esisteva ad un certo punto nel tempo).

Per questo programma XolidoSign Desktop ho impostato alcune terze parti attendibili ... ricorda che un tribunale potrebbe non accettare l'autorità di certificazione come valida se la legge locale specifica quali sono i servizi della compagnia / governo che possono essere utilizzati a tale scopo , consulta la legge locale o un avvocato per assicurarti di farlo correttamente. Ho impostato tutto per utilizzare SHA256 (vai al segno o al timestamp e da lì vai alle opzioni > configurazione). Alcuni server di timestamp sono disponibili ma non posso postare qui a causa del limite per i nuovi utenti come me. Nulla vieta di usarne di più, ma avrete bisogno di dedicare del tempo a manualmente (o con qualche programma aggiuntivo) o ad inviare a una cartella diversa per separare i file delle firme.