una programa para online insertar hacer gratis firmar firma electronica crear como security encryption timestamp signing trusted-timestamp

security - programa - insertar firma digital en pdf



¿Hay alguna forma de firmar digitalmente los documentos para demostrar que existieron en un momento determinado? (11)

Aquí hay un servicio de sellado de tiempo que ha estado en operación continua desde 1995.

http://www.itconsult.co.uk/stamper/stampinf.htm

Envíe sus datos (o un hash de sus datos) por correo electrónico y obtenga una firma de sus datos más una marca de tiempo con un número de serie. Las firmas separadas (pero no los datos) se publican públicamente, y cualquiera puede archivarlas por sí mismo, de modo que si los operadores del sitio alguna vez intentaran alterar el registro de la marca de tiempo, la gente lo sabría. Por lo tanto, en principio, no tiene que depositar mucha confianza en el servicio en sí.

Tengo curiosidad por saber si hay forma de firmar digitalmente documentos (técnicamente cualquier dato), como contratos o fotos, de modo que dentro de 10 años, se pueda probar que son de esta época, no forjados dentro de 9 años. .

Por ejemplo, podría escribir una predicción del futuro y firmarla con medios convencionales para probar que la escribí, y luego marcarla con una marca de tiempo para que, cuando se vuelva cierta, pueda probar que lo predije.

Una forma en que pensé es que podría haber una autoridad de sellado de tiempo. Usted les envía los datos, hacen un hash de los datos + marca de tiempo y encriptan el hash con RSA usando su clave privada. Por lo tanto, existe un documento firmado de: datos, marca de tiempo, hash cifrado.

Dentro de 10 años, cifraré los datos + supuesta marca de tiempo y verificará si coincide con el hash cifrado que descifré utilizando la clave RSA pública de la autoridad (que confío). Si lo hace, sé que la marca de tiempo es válida.

Sin embargo, puedo ver 2 problemas con eso:

  • Se necesita una autoridad externa
  • La clave privada de la autoridad debería mantenerse en secreto, ya que si se revela, todos los documentos firmados con ella dejan de ser válidos.

¿Puedes pensar en una solución sin (uno de) estos problemas?

Echa un vistazo a easytimestamping.com . Las marcas de tiempo (basadas en RFC3161) son emitidas por una Autoridad de Certificación Calificada acreditada en la Unión Europea, por lo que, en la mayoría de los países de la UE, la marca de tiempo tiene una validez legal garantizada .

La clave privada de la autoridad debería mantenerse en secreto, ya que si se revela, todos los documentos firmados con ella dejan de ser válidos.

Las CA calificadas están certificadas para cumplir (al menos) con la norma ETSI TS 102 023 que impone una variedad de medidas físicas y de seguridad de software para garantizar la protección de la clave privada.

PD: estoy afiliado a easytimestamping.com

En el pasado, hubiera dicho ''buscar PublicTimeStamp.org '', pero ha tenido un pasado algo accidentado. Todavía parece estar ejecutándose, pero el sitio web apenas funciona. Si llegó a http://PublicTimeStamp.org/ptb encontrará valores recientes (hoy). Pero otras partes del sistema no son visibles.

En el pasado, la gente guardaba documentos enviados sin abrir enviados a través de correo certificado y los llamaba "derechos de autor de un hombre pobre". Me imagino que podría hacer lo mismo con cualquier sitio de correo electrónico importante y respetado. Envíense una copia del documento a través de Gmail o Hotmail o lo que sea, y guarde la copia en su cuenta: la fecha / hora del correo electrónico debe provenir del proveedor del servicio (no de su computadora), de modo que sería una evidencia bastante sólida. Imagino.

Esto se llama sellado de tiempo . El mecanismo más utilizado se define en la especificación TSP ( RFC 3161 ) y algunos otros. El método alternativo se usa en MS Authenticode, pero no está documentado y no es compatible con TSP.

TSP se utiliza como una función complementaria en varios estándares de cifrado y firma digital, como PDF, XAdES, CAdES, PAdES (AdES significa "Estándar de cifrado avanzado"). Los estándares PDF, XAdES y PAdES se aplican a cierto (s) tipo (s) de datos. CAdES es un formato univeral (ya que se puede aplicar a cualquier dato genérico).

RFC 5544 ofrece una forma de aplicar TSP a cualquier dato genérico sin firmar estos datos.

La especificación TSP hace uso intensivo de los certificados PKI y X.509.

Los servicios de sellado de tiempo son provistos por las autoridades certificadoras como un servicio suplementario. También existen servicios independientes de sellado de tiempo.

Puede ejecutar su propio servicio de sellado de tiempo, sin embargo, la marca de tiempo requiere el uso de un certificado especial (sus extensiones de uso de clave se deben establecer de una manera específica), por lo que los certificados SSL o de firma de código regulares no funcionarán.

Hablando de "autoridades de sellado de tiempo": les envía un hash (calculado durante la firma) y firman este hash con su certificado. Es su responsabilidad mantener la clave privada protegida, y generalmente cobran por ella.

La idea de la autoridad de terceros es que certifica el tiempo. Si firma los datos, puede poner la firma en cualquier momento, y no hay forma de verificar si es correcta o si la ha falsificado. Solo la autoridad de terceros de confianza puede ser una prueba de la corrección de la marca de tiempo.

RFC3161 no es la única forma de sellado de tiempo seguro.

Un área de investigación actual es desarrollar esquemas en los que deba confiar menos en la autoridad de terceros que expide las marcas de tiempo. Con las marcas de tiempo basadas en RFC3161, se le requiere más o menos confiar completamente en la autoridad. Esta presentación ofrece una visión general de las alternativas, la mayoría basadas en esquemas de vinculación . La idea es bastante atractiva porque las marcas de tiempo estarían bajo el escrutinio público y no hay ninguna clave secreta involucrada que pueda posiblemente filtrarse, proporcionando así inherentemente mejor seguridad que las actuales marcas de tiempo RFC 3161 de hoy.

Sí, hay servicios comerciales que protegerían los registros de tiempo de los documentos o el software.

Hay un artículo en Wikipedia explica esto. Google reveló rápidamente uno de esos servicios (no estoy afiliado), estoy seguro de que hay muchos más. Solía ​​haber uno gratis también, pero se trata de una cuestión de confianza (es decir, si los tribunales confiarían en "alguien en Internet" vs. VeriSign).

Se puede utilizar el servicio de marca de tiempo que cumpla con RFC 3161, es un estándar y debe proporcionar suficiente evidencia de que un documento en particular existió en un momento determinado. Una mejor idea sería cambiar un documento a PDF y luego firmarlo digitalmente e imprimirle una marca de tiempo, en un PDF cualquier persona puede ver claramente la marca de tiempo y otras propiedades de una firma o sello de tiempo. Compruebe tecxoft tsa , también puede probar las firmas digitales en pdf here .

Siempre y cuando no estés buscando algo que dure mucho tiempo:

Encripte el documento y publíquelo en uno de los grupos binarios de Usenet. Cualquiera puede verificar los encabezados y ver cuándo se recibió, puede descifrar el archivo (o proporcionar la clave según sea el caso) y demostrar que realmente se trata de los datos en cuestión.

Como no controlas el archivo una vez que se publican juegos como solo revelar la predicción que funcionó, no es posible.

Supongo que eso depende de tus controles. Una autoridad externa funcionaría, pero es lo mismo que certificarla internamente, técnicamente hablando. Depende de en quién confíes. ¿Está buscando evitar que los usuarios certifiquen falsamente documentos o sus desarrolladores?