id: Гость   вход   регистрация
текущее время 16:14 13/12/2019
Владелец: Alex_B (создано 20/12/2007 14:47), редакция от 17/09/2009 21:26 (автор: Гость) Печать
Категории: инфобезопасность, политика, разное
создать
просмотр
редакции
ссылки

Формат метки времени

< Все документы:
Оглавление документа:

Введение


Метка времени – это подписанный (ЭЦП) сертификат, содержащий штамп времени, выдаваемый сервисом меток времени. С помощью такого сертификата можно установить факт существования информации в засвидетельствованный момент времени.


«Метки времени» образуют цепочку, в которой каждая последующая метка содержит доказательство, что выдана именно после предыдущей (в метку включается хеш предыдущей). Таким образом, снижается риск фальсификации «метки времени» — если сервис выдаст «метку времени» задним числом, это можно будет обнаружить.


Использования связывания «меток времени» позволяет вам контролировать сервис.


Цепочка меток времени – последовательность «меток времени», где каждая последующая «метка времени» имеет доказательство, что была выдана именно после предыдущей.


Формат метки времени



Примечание: Хеш значение атрибута Ref-Hash считается от следующей части предыдущей метки:


Немного подробнее формат "меток времени" описан в статье Формат «Меток времени»


p.s. Для упрощения в настоящий момент упразднил два формата меток времени.


© 2007-2008 Alex_B, SATtva, serzh
© 2007 ntldr
© 2008 poptalk
© 2009 Анонимные пользователи

Материал распространяется на условиях
CreativeCommons-Attribution-ShareAlike
CreativeCommons-Attribution-ShareAlike

 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии [скрыть комментарии/форму]
— ntldr (20/12/2007 20:32)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Но формат расширяемый, и не требующий переписывания парсера. В качестве доказательства могу написать парсер этого формата на си.
И что вы скажете насчет читабельности без дополнительного софта?

Предложите точный формат того, как будет выглядеть подпись в исходном виде, и как она будет отображаться в броузере.
А также предложите простой метод проверки ее без броузера, с использованием только PGP.


Если взять за основу формат предложеный в топике изначально, то сразу возникает куча лишних вопросов. Например тег signature содержит подпись, но подпись чего? Какая именно часть содержимого подлежит подписи? В даном случае это не понятно, что не есть хорошо. В случае же OpenPGP clear sign понятно что подписан весь текст от BEGIN PGP SIGNED MESSAGE до BEGIN PGP SIGNATURE.
Если же мы будет использовать clear sign в которую внутрь вставлен XML блок, то возникает проблема читаемости этого блока человеком, без применения стороннего софта. Если мы будет отображать этот блок в легко читаемом виде с помощью CSS, то такой текст будучи скопирован из окна броузера не может быть проверен в PGP.
Далее, вы подумали, что не все в мире сайты и форумы поддерживают XML и имеют для этого соответствующие CSS? Допустим я хочу запостить метку времени на форуме. В этом случае она будет отображаться как безобразный XML, а не в простом и понятном виде.
Любителей XML прошу предложить решение всех этих проблем.
— Alex_B (20/12/2007 22:16)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Сервис делает скриншот в формате gif или png и вычисляет SHA512 от картинки. Хеш и урл с которого снят скриншот записываются в поле для пользовательских данных.

В такой реализации мало смысла – какой смысл иметь хеш изображения, если самого изображения нет? В качестве альтернативы можно сохранять весь HTML код страницы...

А может быть клиент не хочет оставлять о себе никакой информации?

Да, действительно.. Это переворачивает всю идею. А как быть если кто-то захочет приписать скажем вам – ложное авторство? Я думал, что определение автора – это одна из основных задач.
— SATtva (20/12/2007 22:49)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Моё возражение против XML — неочевидность семантики подписи. Если мы издаём inline-PGP-подпись, то всё ясно: приведите текст к каноническому формату, хэшируйте и скормите алгоритму ЭЦП (то же самое и для сверки). Для XML тоже нужно сделать нечто подобное (здесь ведь PGP/GPG предполагается в качестве бэк-энда, не так ли?), только как клиенту переписать поля XML перед покрытием их подписью? Обязательное использование для сверки стороннего софта мне видится большой ошибкой, которая убьёт всю схему: ею просто никто не станет пользоваться.
— ntldr (20/12/2007 23:09, исправлен 20/12/2007 23:11)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Само изображение возвращается сервисом вместе с подписью. Сохранять html код страницы не советую, так как в нем может содержаться вредоносный контент, и ваша подпись под ним может навести на вас неприятности. Также следует озаботиться безопасностью процесса получения скриншота, так как эксплоиты не дремлют.

Если я хочу подтвердить свое авторство, то я подписываю файлы своим GPG ключем. Ваш сервис нужен лишь для подтверждения времени подписи.
Например я подписываю свои релизы PGP ключем, и не принимаю претензий относительно содержимого не подписаных им файлов.


В рамках онлайн сервиса это принципиально нереализуемо. Для того чтобы гарантировать авторство вы должны провести экспертизу обьекта авторского права и надежно установить личность заявителя. И даже экспертиза не гарантирует, что кто-то не присваивает себе что-либо принадлежащее другому.
Вы можете только гарантировать, что пользователь вашего сервиса обладал указаным текстом в определенный момент времени.
— Гость (21/12/2007 14:45)   <#>
Само изображение возвращается сервисом вместе с подписью. Сохранять html код страницы не советую, так как в нем может содержаться вредоносный контент, и ваша подпись под ним может навести на вас неприятности. Также следует озаботиться безопасностью процесса получения скриншота, так как эксплоиты не дремлют
Изображение тоже может быть носителем вируса – некоторые пользователи не устанавливают обновления.

Лучше подписывать всё и во избежании недопронимания писать предупреждение о возможном нежелательном контенте и снятия с себя ответственности за содержание подписанного.

Только хэш бессмысленен, если страница хоть немного меняется, а такие сейчас не редкость.
— Гость (21/12/2007 14:59)   <#>
Само изображение возвращается сервисом вместе с подписью.
Если под изображением понимать сгенерированное браузером изображение страницы на экране монитора, то это интересная идея, но только большинство страниц не умещаются на экране и нужна прокрутка :(
— Alex_B (21/12/2007 15:24)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143

Над этим надо еще подумать


Мне кажется пришло время переписать данный кластер. Первым делом нужно сменить название "Формат Сертификата авторства" на "Формат Метки времени" – сделать это без удаления данной страницы нельзя. Значит потеряются все коментарии. Есть ли возражения по этому поводу?
— ntldr (21/12/2007 15:54)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Если изображение делается вашим сервисом, то вы можете гарантировать отсутствие в нем вирусов.
Хотя идея делать скриншоты действительно не очень, так как реализация может быть черезвычайно сложной и нести опасность для самого сервиса. Лучше сохранять все содержимое страницы в один .mht файл и подписывать его.


Можно. Попроси SATva.
— Гость (21/12/2007 16:21)   <#>
Имея сервис удостоверения присутствия в текущий момент времени страницы по указанному интернет адресу, можно получить и подтверждение владения информацией, просто указав на свою интернет-страницу с хэшем. Одна задача сводится к другой. :)
— unknown (21/12/2007 22:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А потом Google разовьёт свои выч. мощности до такой степени, что сделает это для всего Интернета бесплатно...
— ntldr (21/12/2007 23:00)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
И гуглу кто-то будет верить? Очень сомневаюсь что они будут реализовывать след меток времени и прочие защиты от подделки, ведь зачем ограничивать себя в возможностях?
— Alex_B (22/12/2007 13:19)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Насчет информации на сайтах, очень расплывчато все.
Делать сгриншот — я даже не представляю как. И потом информация может быть на раскрывающихся вкладках на JS.

Копировать весь код страницы проще и лучше, но как быть если нужная информация подгружается c использованием Ajax?
— ntldr (22/12/2007 13:48)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Имхо достаточно сохранять все содержимое страницы в один .mht файл. Лучше иметь такую возможность, чем вобще никакой.
Такой сервис был бы крайне полезен. Типичный случай применения – доказать факт корыстной модерации на форуме. Для этого нужно иметь завереные копии страниц форума до поста, содержимого поста и страниц форума после его удаления.
С помощью обычного timestamp сервиса можно доказать обладание какой-либо информацией в определенное время, но возможности доказать наличие этой информации по определенной ссылке пока не предоставляет никто.
— serzh (22/12/2007 13:56)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Ref-Hash: (SHA512 хеш от предыдущей подписи)
Лучше хэш-значение предыдущей метки.

Для ускорения проверки отдельной метки времени:

В конце недели стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:
  1. хэши всех меток за неделю
  2. хэш аналогичного файла за предыдущую неделю
Если выданных подписей за неделю больше 100, то дополнительно создаём промежуточный файл (неделя-хх-1.txt, неделя-хх-2.txt, ...).

В конце года стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:
  1. хэши всех недельных файлов за год
  2. хэш аналогичного файла за предыдущий год

Для проверки нужной метки проходим (проверяем хэши) от последней выданной метки до первого "недельника", далее с шагом в неделю идём до первого "годовика" доходим до нужного года и начинаем сбавлять шаг сначала до недели, а потом и до отдельных меток.
P. S. при большом количестве выдаваемых меток можно добавить дневные файлы.
— SATtva (22/12/2007 15:27)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Первым делом нужно сменить название "Формат Сертификата авторства" на "Формат Метки времени" – сделать это без удаления данной страницы нельзя.

Можно. Попроси SATva.

Не надо меня просить по каждому поводу. (Но уже переименовал, раз попросили.)

Советую изучить инструменты управления документом, доступные Вам как владельцу. Полный их список доступен в разделе свойств документа (или через панель управления, или дописав /settings после адреса страницы).

Имхо достаточно сохранять все содержимое страницы в один .mht файл.

Его поддерживают кто-нибудь, кроме MSIE? (Знаю, что в сущности это просто Multipart MIME, который можно открыть в мэйл-клиенте, но, согласитесь, тупо — открывать веб-документ как почту. Firefox формат не понимает.)
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3