1. घर
  2. सवाल और जवाब
  3. क्या

क्या

2011-07-17 12 views
20

पर एक निश्चित बिंदु पर मौजूद साबित करने के लिए डिजिटल रूप से हस्ताक्षर करने का कोई तरीका है, यदि मैं डिजिटल रूप से दस्तावेज़ों (तकनीकी रूप से डेटा का कोई भी टुकड़ा), जैसे कि अनुबंध या फोटो, पर हस्ताक्षर करने का तरीका हूं, तो 10 अब से साल, यह सिद्ध किया जा सकता है कि वे इस समय से हैं, अब से 9 साल की नकली नहीं।क्या

उदाहरण के लिए, मैं भविष्य की भविष्यवाणी लिख सकता हूं और यह साबित करने के लिए इसे संवैधानिक माध्यमों के साथ हस्ताक्षर कर सकता हूं कि मैंने इसे लिखा है, फिर टाइमस्टैम्प-साइन इन करें ताकि जब यह सच हो जाए, तो मैं साबित कर सकता हूं कि मैंने इसकी भविष्यवाणी की है।

एक तरीका मैंने सोचा कि एक टाइमस्टैम्पिंग प्राधिकरण हो सकता है। आप उन्हें डेटा भेजते हैं, वे डेटा + टाइमस्टैम्प का हैश बनाते हैं और अपनी निजी कुंजी का उपयोग करके आरएसए के साथ हैश को एन्क्रिप्ट करते हैं। एक हस्ताक्षरित दस्तावेज़ इस प्रकार मौजूद है: डेटा, टाइमस्टैम्प, एन्क्रिप्टेड हैश।

अब से 10 साल, मैंने डेटा + माना टाइमस्टैम्प है, और यह जांचें कि क्या यह एन्क्रिप्टेड हैश से मेल खाता है कि मैं प्राधिकरण की सार्वजनिक आरएसए कुंजी (जिसे मैं भरोसा करता हूं) का उपयोग करके डिक्रिप्ट करता हूं। अगर ऐसा होता है, तो मुझे पता है कि टाइमस्टैम्प मान्य है।

मुझे लगता है कि यद्यपि के साथ 2 समस्याओं देख सकते हैं:

  • एक बाहरी अधिकार
  • की जरूरत है प्राधिकरण की निजी कुंजी है क्योंकि अगर यह पता चला है, सभी दस्तावेजों के साथ हस्ताक्षर किए, अत्यंत गुप्त रखा जाना करने की आवश्यकता होगी बारी अवैध।

क्या आप इन समस्याओं में से किसी एक के समाधान के बारे में सोच सकते हैं?

स्रोत

2011-07-17 Bart van Heukelom

+0

किसी भी हस्ताक्षर किए खिड़कियों DLL पर एक नजर डालें। उनमें से अधिकतर विक्रेता द्वारा हस्ताक्षरित होते हैं और टाइमस्टैम्पिंग प्राधिकरण द्वारा काउंटरसाइंड किए जाते हैं। इस तरह जब विक्रेता का प्रमाणपत्र समाप्त हो जाता है तब भी आप जांच सकते हैं कि प्रमाणपत्र वैध था * जब डीएलएल पर हस्ताक्षर किए गए थे *। –

+0

यहां एक विकेन्द्रीकृत अनाम टाइमस्टैम्प सेवा है जो बिटकॉइन ब्लॉकचेन का उपयोग करती है: http://proofofexistence.com/ - अस्वीकरण: मैंने सेवा –

उत्तर

9

इसे टाइमस्टैम्पिंग कहा जाता है। टीएसपी विनिर्देश (RFC 3161) और कुछ अन्य में सबसे व्यापक रूप से उपयोग किया जाने वाला तंत्र परिभाषित किया गया है। वैकल्पिक विधि का उपयोग एमएस प्रमाणीकरण में किया जाता है, लेकिन यह दस्तावेज नहीं है और टीएसपी के साथ संगत नहीं है।

टीएसपी का उपयोग कई एन्क्रिप्शन और डिजिटल हस्ताक्षर मानकों जैसे पीडीएफ, एक्सएडीईएस, सीएडीईएस, पीएडीईएस (एडीईएस "उन्नत एन्क्रिप्शन मानक" के लिए है) में एक पूरक समारोह के रूप में किया जाता है। पीडीएफ, एक्सएडीईएस और पीएडीईएस मानकों को डेटा के कुछ प्रकार (ओं) पर लागू किया जाता है। सीएडीईएस यूनिवर्सल प्रारूप है (क्योंकि इसे किसी भी सामान्य डेटा के लिए लागू किया जा सकता है)।

RFC 5544 इस डेटा पर हस्ताक्षर किये बिना किसी भी सामान्य डेटा पर टीएसपी लागू करने का एक तरीका प्रदान करता है।

टीएसपी विनिर्देश पीकेआई और एक्स.50 9 प्रमाणपत्रों का भारी उपयोग करता है।

टाइम्सस्टैम्पिंग सेवाएं प्रमाणपत्र प्राधिकरणों द्वारा पूरक सेवा के रूप में प्रदान की जाती हैं। स्वतंत्र टाइमस्टैम्पिंग सेवाएं भी मौजूद हैं।

आप अपनी खुद की टाइमस्टैम्पिंग सेवा चला सकते हैं, हालांकि टाइमस्टैम्पिंग के लिए विशेष प्रमाणपत्र का उपयोग करना आवश्यक है (इसके मुख्य उपयोग एक्सटेंशन को एक विशिष्ट तरीके से सेट किया जाना चाहिए), इसलिए नियमित एसएसएल या कोड हस्ताक्षर प्रमाणपत्र काम नहीं करेंगे।

"टाइमस्टैम्पिंग अथॉरिटीज" के बारे में बात करते हुए - आप उन्हें एक हैश (हस्ताक्षर के दौरान गणना) भेजते हैं और वे अपने प्रमाणपत्र का उपयोग करके इस हैश पर हस्ताक्षर करते हैं। निजी कुंजी को सुरक्षित रखने के लिए यह उनका व्यवसाय है, और वे आमतौर पर इसके लिए चार्ज करते हैं।

तीसरे पक्ष के अधिकार के बारे में विचार यह है कि यह समय प्रमाणित करता है। यदि आप डेटा पर हस्ताक्षर करते हैं, तो आप हस्ताक्षर पर किसी भी समय डाल सकते हैं, और यह जांचने का कोई तरीका नहीं है कि यह सही है या आपने इसे बना लिया है। केवल भरोसेमंद तृतीय-पक्ष प्राधिकरण टाइमस्टैम्प की शुद्धता का सबूत हो सकता है।

स्रोत

2011-07-17 21:32:58

+0

क्या कोई कारण है कि वे एक सतत निजी कुंजी का उपयोग करते हैं जिसे गुप्त रखा जाना चाहिए? ऐसा लगता है कि हर घंटे (या हर मिनट) एक नई निजी कुंजी का उपयोग करना आदर्श होगा, इसे केवल अस्थिर स्मृति में रखें, और सार्वजनिक कुंजी की पूरी सूची प्रकाशित करें लेकिन निजी कुंजी को सुरक्षित रूप से हटाएं। इस तरह निजी कुंजी का गैर-भंडारण हस्ताक्षर होने पर बहुत मजबूत प्रमाण प्रदान करेगा। –

+0

@ आर .. टीएसए के प्रमाणपत्र समाप्त हो जाते हैं, लेकिन समस्या यह है कि प्रमाण पत्र समाप्त होने के बाद, टाइमस्टैम्प भी "समाप्त हो गया" बन जाता है। निजी कुंजी को नष्ट करने और नए प्रमाणपत्र बनाने के लिए - शायद कुछ टीएसए वास्तव में ऐसा करते हैं, जो जानता है। मुझे मानकों में कोई बयान याद नहीं है जो इस तरह के दृष्टिकोण को रोक देगा। –

+0

मैं प्रमाण पत्र समाप्त करने के बारे में बात नहीं कर रहा था। मैं एक ऐसे प्रमाणपत्र का उपयोग करने के बारे में बात कर रहा था जो समाप्त नहीं होता है, जिसके लिए निजी कुंजी कभी भी संग्रहीत नहीं होती है और उस अवधि के बाद अस्तित्व में रहती है जिसके लिए इसका उपयोग किया जाता है। –

0

मुझे लगता है कि यह आपके नियंत्रण पर निर्भर करता है। एक बाहरी प्राधिकारी काम करेगा, लेकिन यह वही बात है जो इसे आंतरिक रूप से प्रमाणित करता है, तकनीकी रूप से बोल रहा है। यह सिर्फ इस पर निर्भर करता है कि आप किस पर भरोसा करते हैं। क्या आप उपयोगकर्ताओं को झूठी प्रमाण पत्र दस्तावेज, या अपने डेवलपर्स से रोकने की सोच रहे हैं?

स्रोत

2011-07-17 19:59:20

+0

बनाया है, मैं सिर्फ उत्सुक हूं, मेरे पास वास्तविक उपयोग केस नहीं है। –

0

दिन में, लोगों ने प्रमाणित मेल के माध्यम से भेजे गए खुले भेजे गए दस्तावेज़ों को रखा और इसे "गरीब व्यक्ति का कॉपीराइट" कहा। मुझे कल्पना है कि आप किसी भी प्रमुख, सम्मानित ईमेल साइट के साथ ऐसा ही कर सकते हैं। खुद को जीमेल या हॉटमेल या जो कुछ भी के माध्यम से दस्तावेज़ की एक प्रति भेजें, और प्रतिलिपि को अपने खाते में रखें - ईमेल पर दिनांक/टाइमस्टैम्प सेवा प्रदाता (आपके कंप्यूटर से नहीं) से आना चाहिए, ताकि यह ठोस ठोस सबूत हो मैं कल्पना करता हूँ।

स्रोत

2011-07-17 20:03:36

+0

"इसे अपने आप मेल करें" चाल मुझे इस सवाल को सोचने के लिए तैयार करती है :) –

+0

यह मेरे लिए होता है कि यदि उदाहरण के लिए, आप पूर्वानुमान बनाकर जेआरईएफ मिलियन डॉलर चुनौती जीतने की कोशिश कर रहे थे, तो वे बताएंगे कि आप सिर्फ दस लाख भविष्यवाणियों की तरह बना सकते थे और केवल उन्हें दिखाए गए थे जो सही हो गए थे। यकीन नहीं है कि उसके आसपास कोई रास्ता है या नहीं। –

+0

इतना गरीब आदमी का कानूनी अभी तक अधिक सुरक्षित संस्करण नोटरी का उपयोग करना है ... – cbeleites

3

हां, वाणिज्यिक सेवाएं हैं जो सुरक्षित रूप से समय-समय पर दस्तावेजों या सॉफ्टवेयर को सुरक्षित रखती हैं।

Wikipedia में यह एक लेख है जो इसे समझाता है। Google ने तुरंत one such service (मैं संबद्ध नहीं हूं) से पता चला, मुझे यकीन है कि बहुत कुछ हैं। वहां एक मुक्त भी होता था, लेकिन यह सब विश्वास का सवाल है (यानी अदालतें "इंटरनेट पर किसी व्यक्ति" बनाम वेरीसाइन पर भरोसा करती हैं)।

स्रोत

2011-07-17 20:08:20

1

पिछले समय में, मैंने 'लुकअप PublicTimeStamp.org' कहा होगा, लेकिन इसमें कुछ हद तक जांच की गई है। यह अभी भी चल रहा प्रतीत होता है - लेकिन वेबसाइट केवल मुश्किल से काम कर रही है। यदि आपको http://PublicTimeStamp.org/ptb मिल गया है तो आपको हालिया मान (आज) मिलेगा। लेकिन सिस्टम के अन्य हिस्सों को दिखाई नहीं दे रहा है।

स्रोत

2011-07-17 20:56:03

1

आरएफसी 3161 सुरक्षित टाइमस्टैम्पिंग का एकमात्र तरीका नहीं है।

अनुसंधान का एक वर्तमान क्षेत्र उन योजनाओं को विकसित करना है जहां आपको समय-समय पर जारी करने वाले तीसरे पक्ष के प्राधिकरण में कम विश्वास करना है। आरएफसी 3161-आधारित टाइमस्टैम्प के साथ आप पूरी तरह से प्राधिकरण पर भरोसा करने के लिए कम या ज्यादा आवश्यक हैं। यह प्रस्तुति विकल्प का एक अवलोकन देता है, जो linking schemes पर आधारित है। विचार काफी आकर्षक है क्योंकि टाइमस्टैम्प सार्वजनिक जांच के अधीन होंगे और इसमें कोई गुप्त कुंजी शामिल नहीं है जिसे संभवतः लीक किया जा सकता है, इस प्रकार आज के मानक आरएफसी 3161 टाइमस्टैम्प की तुलना में स्वाभाविक रूप से बेहतर सुरक्षा प्रदान करता है।

स्रोत

2011-07-18 07:36:02 emboss

1

easytimestamping.com देखें। टाइमस्टैम्प (आरएफसी 3161 के आधार पर) यूरोपीय संघ में मान्यता प्राप्त एक योग्य प्रमाणन प्राधिकरण द्वारा जारी किए जाते हैं, ताकि अधिकांश ईयू देशों में टाइमस्टैम्प में कानूनी वैधता की गारंटी हो।

प्राधिकरण की निजी कुंजी को बेहद गुप्त रखा जाना चाहिए, क्योंकि यदि यह पता चला है, तो इसके साथ हस्ताक्षरित सभी दस्तावेज अमान्य हो जाते हैं।

योग्य सीए के मानक ETSI TS 102 023 कि निजी कुंजी की सुरक्षा की गारंटी के लिए शारीरिक और सॉफ्टवेयर सुरक्षा उपायों की एक किस्म लगाता का पालन करने में (कम से कम) प्रमाणित कर रहे हैं।

पुनश्च: मैं यहाँ एक timestamping सेवा है जो सतत संचालन में 1995 के बाद से किया गया है है easytimestamping.com

स्रोत

2011-08-30 16:39:47 mrucci

+0

मैं यह नहीं कह रहा हूं कि आपकी साइट छायादार है, लेकिन वहां और * securo.it दोनों पर * यह पता लगाना मुश्किल है कि "यूरोपीय संघ में मान्यता प्राप्त योग्य प्रमाणन प्राधिकरण" का उपयोग आप करते हैं। क्यूं कर? –

+0

हम इसे इसलिए नहीं कहते हैं क्योंकि इससे कोई फर्क नहीं पड़ता। कम से कम इटली में, जब तक सीए मान्यता प्राप्त सीए [विश्वसनीय सीए की भरोसेमंद सूची] में है (http://ec.europa.eu/information_society/policy/esignature/eu_legislation/trusted_lists/index_en.htm) जारी किए गए टाइमस्टैम्प में है वही कानूनी वैधता। डिजिटल हस्ताक्षर (1 999/9 3/ईसी) पर ईयू निर्देश द्वारा आवश्यक इंटरऑपरेबिलिटी के पक्ष में अन्य ईयू देशों में यह होना चाहिए। वैसे भी, हम कुछ छुपा नहीं रहे हैं, बस एक टाइमस्टैम्प लागू करें और इसे ढूंढें! – mrucci

+0

ठीक है, अगर आप उत्सुक थे, तो अन्य भी होंगे। इसलिए मैंने अपने वर्तमान योग्यता सीए प्रदाता का नाम जोड़ा [यहां] (http://easytimestamping.com/en/#features)। प्रतिक्रिया के लिए धन्यवाद :) – mrucci

2

के साथ संबद्ध कर रहा हूँ।

http://www.itconsult.co.uk/stamper/stampinf.htm

आप ईमेल द्वारा अपने डेटा (या अपने डेटा की एक हैश) भेजने के लिए, और वापस अपने डेटा की एक हस्ताक्षर के साथ साथ एक सीरियल नंबर के साथ एक टाइमस्टैम्प मिलता है। पृथक हस्ताक्षर (लेकिन डेटा स्वयं नहीं) सार्वजनिक रूप से पोस्ट किए जाते हैं, और कोई भी उन्हें अपने लिए संग्रहीत कर सकता है, ताकि यदि साइट ऑपरेटर ने कभी भी टाइमस्टैम्प रिकॉर्ड के साथ छेड़छाड़ करने की कोशिश की, तो लोगों को पता चलेगा। तो सिद्धांत रूप में, आपको सेवा में बहुत अधिक विश्वास नहीं करना है।

एन्क्रिप्ट दस्तावेज़ और यूज़नेट बाइनरी समूहों में से एक पर पोस्ट:

स्रोत

2014-05-02 05:13:47

0
जब तक आप कुछ है जो एक बहुत लंबे समय तक रहता है के लिए नहीं देख रहे हैं के रूप में

। कोई भी हेडर की जांच कर सकता है और उसे प्राप्त होने पर देख सकता है, आप फ़ाइल को डिक्रिप्ट कर सकते हैं (या मामले के रूप में कुंजी प्रदान कर सकते हैं) और साबित करें कि यह वास्तव में प्रश्न में डेटा है।

चूंकि आप फ़ाइल पोस्ट करने के बाद फ़ाइल को नियंत्रित नहीं करते हैं, जैसे कि केवल भविष्यवाणी की भविष्यवाणी को प्रकट करना संभव नहीं है।

स्रोत

2014-06-14 18:17:04

0

आरएफसी 3161 अनुपालन टाइमस्टैम्प सेवा का उपयोग किया जा सकता है, यह एक मानक है और पर्याप्त प्रमाण देना चाहिए कि एक निश्चित दस्तावेज़ एक निश्चित समय पर मौजूद था। बेहतर विचार पीडीएफ में एक दस्तावेज़ को बदलना होगा और फिर पीडीएफ में डिजिटली हस्ताक्षर और टाइमस्टैम्प होगा, कोई भी हस्ताक्षर या टाइमस्टैम्प के टाइमस्टैम्प और अन्य गुणों को स्पष्ट रूप से देख सकता है। tecxoft tsa देखें, आप पीडीएफ डिजिटल हस्ताक्षर here का परीक्षण भी कर सकते हैं।

स्रोत

2016-01-31 07:31:20 Swen

संबंधित मुद्दे

 संबंधित मुद्दे