Wenn das Datum und die Zeit einer Aktion aufgezeichnet werden, bezeichnen wir dies als Zeitstempel (Timestamping). Eine Digitalkamera nimmt die Zeit und das Datum auf, zu der ein Foto aufgenommen wurde, ein Computer speichert Zeit und Datum, wenn ein Dokument gespeichert oder abgeändert wird. Sogar Social Media Posts geben oft Zeit und Datum an. All dies sind Beispiele von Zeitstempeln.
Zeitstempel sind wichtig, um zu beweisen, wann Informationen ausgetauscht, erstellt oder online gelöscht wurden. In vielen Fällen ist es einfach nur gut zu wissen, dass Zeitstempel hinzugefügt werden. Aber in manchen Fällen ist ein Zeitstempel von größerer Bedeutung.
Stellen Sie sich folgende Situation vor: Ihr Unternehmen unterschreibt ein Vertrag oder Geheimhaltungsabkommen mit einem anderen Unternehmen oder Lieferant elektronisch. Später wird bekannt, dass der Lieferant Informationen preisgegeben hat, die im Geheimhaltungsabkommen genannt waren. Der Lieferant ficht das Abkommen an, und behauptet, dass die Informationen schon vor Unterschreiben geteilt wurden. Hier ist es wichtig die exakte Zeit des Unterschreibens zu kennen.
Um vor Gericht zu bestehen, ist ein einfacher Zeitstempel nicht genug. Um zu beweisen, wann ein Dokument signiert wurde müssen Sie beweisen können, dass der Zeitstempel der Signatur gültig war, und dass es die tatsächliche Zeit der Unterschrift anzeigt. Zeitstempel, die sich nach Systemuhren richten reichen nicht aus. Es ist nicht schwer Datum und Zeit auf einem Computer zu ändern. Und es gibt eine Anzahl an Tools mit denen Sie die Zeiten, die für ein Dokument oder PDF beim Ändern, Erstellen und Aufrufen gespeichert werden abändert. Woher wissen wir also welchen Zeitstempeln wir Vertrauen schenken können?
Was ist ein vertrauenswürdiger Zeitstempel?
Hier kommen „vertrauenswürdige“ Zeitstempel ins Spiel. Diese Art von Zeitstempel werden von einem vertrauenswürdigen Drittanbieter mit sicherer, FIPS-konformer Hardware generiert, und können so nicht von lokalen Benutzern abgeändert werden. Vertrauenswürdige Zeitstempel geben Ihnen die Sicherheit, dass das Datum des Zeitstempels mit sehr hoher Wahrscheinlichkeit korrekt ist, und nicht geändert wurde.
In der Richtlinie RFC 3161 werden die Anforderungen an den Drittanbieter ausgelegt, die erfüllt werden müssen, um als Timestamping Authority (TSA) fungieren zu dürfen.
Wie funktionieren Zeitstempel?
TSAs nutzen die Technologie einer Public Key Infrastructure (PKI) um Zeitstempel hinzuzufügen.
- Die Client-Anwendung erstellt einen gehashten Wert (ein einmaliges Identifizierungsmerkmal der Daten oder der Datei, die einen Zeitstempel benötigen) und schickt diesen zur TSA.
- Ab jetzt wird bei jeder Änderung (auch wenn es nur eine kleine Änderung ist) mit dem TSA Server kommuniziert.
- Die TSA kombiniert den Hash und andere Informationen, einschließlich der offiziellen Zeit. Das Ergebnis wird mit dem privaten Schlüssel der TSA digital signiert. Dieser Zeitstempel-Token wird zurück zum Client gesendet. Der Zeitstempel-Token beinhaltet alle Informationen, die die Client-Anwendung später zur Verifizierung des Zeitstempels benötigt.
- Der Zeitstempel-Token geht bei der Client-Anwendung ein und wird im Dokument oder der Code Signatur aufgenommen.
Sobald die daraus resultierenden Daten oder Dateien mit Zeitstempel in Zukunft geöffnet werden, nutzt die Client-Anwendung den öffentlichen Schlüssel der TSA, um die TSA zu authentifizieren (d.h. validieren, dass der Zeitstempel tatsächlich von der vertrauenswürdigen TSA stammt) und berechnet den Hash der Originaldatei erneut. Der neue Hash wird mit dem ursprünglich erstellten Hash (Schritt 1 oben) verglichen. Falls zwischenzeitlich irgendwelche Änderungen an den Daten vorgenommen wurden, erscheint eine Fehlermeldung beim Hash Check, die warnen, dass die Daten geändert wurden und nicht vertrauenswürdig sind.
Für welche Transaktionen werden Zeitstempel am häufigsten genutzt?
Vertrauenswürdige Zeitstempel bieten zusätzliche Sicherheit für elektronische Signaturen, digitale Signaturen und Code.
Elektronisch signierte Dokumente
Elektronische Signaturen können einfach weltweit und in verschiedenen Branchen eingeführt werden. Aber damit eine elektronische Signatur die gleiche rechtliche Verbindlichkeit wie eine handschriftliche Unterschrift hat, müssen die gesetzlichen Anforderungen, wie Konformität und Prüffähigkeit erfüllt werden.
Empfänger von Dokumenten können verifizieren wann ein Dokument elektronisch signiert wurde, sowie bestätigen, dass das Dokument nicht nach dem Zeitpunkt des Anbringens des Zeitstempels abgeändert wurde. Mit Zeitstempel können Unternehmen ihr geistiges Eigentum schützen und den Zeitstempel als starken, rechtlichen und prüfbaren Beweis verwenden.
Dokumente digital signieren
Es gibt zwei Hauptgründe warum man vertrauenswürdige Zeitstempel beim digitalen Signieren von Dokumenten nutzen sollte – es bietet langfristige Validierung (Long-Term Validation, LTV) der Signatur und bietet Nachweisbarkeit oder Vertrauen, wenn es um den tatsächlichen Zeitpunkt des Unterschreibens geht.
Bitte beachten Sie: Teile des Verifizierungsprozesses der digitalen Signatur bestehen aus einem Check der Integrität des Inhalts. Zeitstempel bieten diesen Vorteil (zu wissen, dass das Dokument nach dem Signieren nicht mehr geändert wurde), aber es ist nicht der ausschlaggebende Faktor, wie es bei elektronischen Signaturen der Fall ist.
Langfristige Validierung (LTV)
Mit LTV kann bestätigt werden, dass die Signatur zum Zeitpunkt des Anbringens gültig war, unabhängig vom Status des Zertifikats zum jetzigen Zeitpunkt (d.h. falls es mittlerweile abgelaufen oder zurückgerufen wurde). Falls ich zum Beispiel heute ein Zertifikat mit einem gültigen Zertifikat und einem vertrauenswürdigen Zeitstempel signiere, mein Zertifikat dann aber zwei Monate später zurückgerufen wird oder abläuft, ist mein signiertes Dokument auch immer noch danach gültig.
Je nachdem welches Programm Sie zum Signieren nutzen müssen Sie eventuell einen vertrauenswürdigen Zeitstempel zusätzlich zu Ihrer Signatur einfügen, um eine langfristige Validierung zu erhalten. In diesen Fällen wird der Zeitstempel genutzt um die Gültigkeit der Signatur nachzuweisen. Falls das Programm feststellt, dass das aktuelle Zertifikat zurückgezogen wurde oder abgelaufen ist, die Signatur aber davor erstellt wurde, ist die Signatur nach wie vor gültig. Die meisten Programme akzeptieren dabei nur vertrauenswürdigen Drittanbieter für Zeitstempel. Die Systemuhrzeit Ihres Computers ist nicht verlässlich genug, da sie abgeändert werden kann.
Microsoft Office Programme und Adobe Versionen 6, 7 und 8 verlangen Zeitstempel für LTV. Adobe 9+ baut Widerruf-Informationen (CRL oder OCSP) zum Zeitpunkt der Signatur ein, was zum gleichen Ergebnis führt: die Gültigkeit des Zertifikats wird verifiziert, wenn die Signatur angebracht wird, ein Zeitstempel wird in dem Fall also nicht benötigt.
Vertrauen in Datum und Zeit der Dokumentenunterschrift
Um das Beispiel von vorhin noch einmal aufzugreifen, manchmal müssen Sie mit hoher Sicherheit wissen, wann ein Dokument wirklich signiert wurde. Besonders wichtig ist dies bei zeitkritischen Transaktionen und Audit-Trails.
Vertrauenswürdige Zeitstempel sind in diesen Szenarien hilfreich, weil sie mit einem unabhängig verifizierten und prüfbaren Datum und koordinierter Weltzeit hinzugefügt wurden. Daher hilft es nicht die lokale Systemuhr zu ändern, und man weiß mit Sicherheit wann genau die Unterschrift angebracht wurde.
Code digital Signieren
Wie bereits oben erwähnt brauchen digitale Signaturen LTV, um auch bei zukünftigen Änderungen (z.B. Ablauf oder Widerruf) weiterhin gültig zu bleiben. Bei signiertem Code wird dies ebenfalls mit einem vertrauenswürdigen Zeitstempel erreicht.
Ohne Zeitstempel laufen Signaturen ab oder sind ungültig, wenn das Zertifikat abläuft oder wiederrufen wird, und Endbenutzer erhalten abschreckende Warnhinweise, dass dem Code nicht zu trauen ist. Mit einem Zeitstempel (und LTV) wird der Signatur vertraut, solange das Zertifikat zum Zeitpunkt der Unterschrift gültig war.
Und jetzt?
Wenn Sie vertrauenswürdige Zeitstempel in Ihrem Unternehmen nutzen wollen, besuchen Sie unsere Website für weitere Informationen.