「电子时戳 Time Stamp」网路世界的唯一时间证明、数位邮戳
继续阅读
时间的重要性
使用标准与可信任的时间是现今商业系统与流程正确性的基本,,
网路上的时间问题
各个方面台电脑设备的时间或许都不同, 知乎问答以谁的时间为准? 虽然有NTP (Network Time Protocol)可做网路校时, 可以在骇客席卷的网路上是怎样的保证时间来源安全性高无疑,又是怎样的避免出现电脑时间被无数个变更?时戳的重要性
越来越多的法律与规范要求电子资料与文件必须有时间证明,稽核的要求也凸显了验证资料完整性的重要。时戳已成为公钥基础建设(PKI)里重要的一环,它提供不可否认性与确保未来一段长时间里的资料正确性的验证。「时戳」可以连结时间与数位签章,可以用来监识资料的完整性、验证签章,即使其签章凭证已失效,仍可长期确保文件正效性的验证。以上都须依靠建立下述的信任时间基础上:
?准确的时间:时钟须维持精确的时间值
?标准时间源:能与国际认可的「中原标准时间」同步/对时
?时间的完整性:时间不能被窜改或操纵
?时间的验证:可追溯至信任的时间源
时戳服务机构(TSA)
时戳服务机构(Time Stamp Authority, TSA)扮演一个可信任的第三者来提供资料在某一特定时间前即已存在的证据,TSA通常需要建置一个安全的,可被信任的时戳服务器(Time Stamp Server), TSA面临的问题:
?如何安全地取得标准时间源
?如何确保时间不被篡改
?如何保证「押时戳」的过程是安全的
?如何提供高效能与可稽核的时戳服务
最佳方案
用软体来实现时戳服务是充满了安全的漏洞,例如人为的更改系统时间、金钥保护与运算过程都暴露在风险中,这样的TSA是无法俱备公信力与法律基础的。最佳方案应该是:
?增强NTP的安全性,消除时间传递过程中的风险,并增加时间的稽核与追踪功能
?公正机构为其传递的时间「挂保证」,以够正确与安全的设备做为TSA的时间源
?时戳服务器以FIPS认证过的HSM来实现
?时间都放在HSM里,无法任意修改
TSMC(TimeSourceMaster Clock)保证时间的准确性与完整性
由於电脑时间容易窜改,且时间在网路传输上的易被破坏与伪装,标准的NTP协定不够安全。所以在实务运作上需要一个安全与可验明正身的管道来传递正确的标准时间。TSMC 使用下列机制来确保时间值的完整性:
?内含精密的铷原子钟,可确保时间的精确度。
?使用安全的传递管道–DS/NTP,整合互相认证与资料加密,与DSE及外部标准时间单位建立安全的连线,认证与加密金钥是被安全地储存在FIPS-2 Level 3 认证过的硬体加密器(HSM)里,确保时间值传递过程安全无虞。
?使用自动校时与稽核的机制。TSMC处理校时需求後会传送一个签署过的时间凭证到需求端, 以证明时间来源。此过程使用之金钥也被保护在HSM里。
?阶层式连接多个TMC及DSE,透过DS/NTP稽核下一层TMC或DSE的时间
DSE (Document Sealing Engine)专为数位签章与电子时戳而设计的设备
DSE是一个能够为文件签证与押时戳的网路设备,能够为代表某一人、部门、组织、甚至代表整个公司的文件做电子签证与稽核。透过DSE 的整合telegram中文,你的组织可以很容易的将DSE 与您的既有应用系统整合,完成整个组织层面的电子文件的签证、封印与押时戳。DSE 提供需要高安全性与不可否认性的文件追踪、储存、传递功能的企业一个快速导入的解决方案。
[gads]
DSE系统功能
电子签章与时戳设备
自动校时
实行IETF所定之PKIX时戳标准规格
每秒可执行125个时戳需求
签章与时戳执行在FIPS认证过的HSM里
1U, Rack-mounted网路设备
相容VeriSign时戳凭证
安全的浏览器与Web服务器连线管理介面
开发telegram中文支援ANSI C, MS VC++, Java
自动错误通知
,※以上新闻稿内容由该厂商所提供,厂商供稿与说明请看「这里」。
TSA…………对TSA有恐惧
因为TSA也指「全港性系统评估」(别乱想)