今天接到一个业务电话,先是咨询了一下我们单位的时间戳服务,接着谈到国家电子证照共享服务系统,他被业务部门要求为电子证照提供时间戳服务。因为政务CA支撑了全国大部分单位的电子印章数字证书,但我还没听说过在电子印章签章时需要时间戳服务。
原来,业务单位要求生成电子证照时要加入时间,假如证照发布时间取系统时间,担心系统时间出现偏差,这才有时间戳服务的需求。
当时我的回复如下:
1. 电子证照中的时间不应该取系统时间,时间应作为证照基础信息数据项,按流程人工审核填写。即纸质证照的时间如何确定的,电子证照就按相同方法确定。
2.如果取系统时间,可以配置时间同步服务器,保证时间不偏差,不用时间戳服务。
这样回答,我心里还是有点没底......
时间戳服务
时间戳是使用数字签名技术产生的数据,签名的对象包括了原始文件信息、签名参数、签名时间等信息。时间戳系统用来产生和管理时间戳,对签名对象进行数字签名产生时间戳,以证明原始文件在签名时间之前已经存在。
在使用时间戳服务时,所涉及到的角色一般有以下几种:提供时间戳服务的机构(Time-Stamping Authoritor),申请时间戳服务的用户(Subscriber)和时间戳证书的验证者(Relying Party)。时间戳机构的主要职责是为一段数据申请时间戳证书,证明这段数据在申请时间戳证书的时间点之前真实存在,在这个时间点之后对数据的更改都是可以追查的,这样就可以防止伪造数据来进行欺骗。证书持有者把需要申请时间戳证书的数据发送给时间戳机构,时间戳机构将生成时间戳证书发送给证书持有者。在需要证明该数据未被篡改时,证书持有者展示数据所对应的时间戳证书,时间戳证书的验证者来验证它的真实性,而从确认该数据是否经过篡改。
最基本的时间戳协议的工作流程如下;申请时间戳服务的用户将需要认证的数据传输给时间戳服务的提供者;时间戳服务的提供者将经过认证后的时间戳证书返还给用户。
简单时间戳协议的工作流程:用户将需要认证的数据传输给时间戳机构,数据经过 Hash运算得到 m=Hash(M),时间戳机构将 m 和收到数据的时间 t 一起进行数字签名,然后将生成的时间戳证书 Sign(m,t)返还给用户。在需要验证时间戳证书时,首先验证时间戳证书 Sign(m,t)是否为时间戳机构签发的,其次验证 m 是否为用户数据经过Hash 运算得到的结果。如果两项验证中有任何一项不通过,就证明用户的数据经过了篡改;如果都通过,说明用户的数据在时间 t 之后没有进行过任何修改。
可信时间戳服务
可信时间戳服务2个条件:
1. 具有数字认证服务资质的CA机构,通过可信根验证时间戳。
2. 可信时间源。
电子证照标准
1. GB/T 36903-2018 电子证照 元数据规范
2.GB/T 36905-2018 电子证照 文件技术要求
查看了这2个标准,确实没有时间戳作为电子证照的元数据。如果认知有错,希望指正!