Формат метки времени
Введение
Метка времени – это подписанный (ЭЦП) сертификат, содержащий штамп времени, выдаваемый сервисом меток времени. С помощью такого сертификата можно установить факт существования информации в засвидетельствованный момент времени.
«Метки времени» образуют цепочку, в которой каждая последующая метка содержит доказательство, что выдана именно после предыдущей (в метку включается хеш предыдущей). Таким образом, снижается риск фальсификации «метки времени» — если сервис выдаст «метку времени» задним числом, это можно будет обнаружить.
Использования связывания «меток времени» позволяет вам контролировать сервис.
Цепочка меток времени – последовательность «меток времени», где каждая последующая «метка времени» имеет доказательство, что была выдана именно после предыдущей.
Формат метки времени
Примечание: Хеш значение атрибута Ref-Hash считается от следующей части предыдущей метки:
Немного подробнее формат "меток времени" описан в статье Формат «Меток времени»
p.s. Для упрощения в настоящий момент упразднил два формата меток времени.
© 2007 ntldr
© 2008 poptalk
© 2009 Анонимные пользователи
Материал распространяется на условиях
CreativeCommons-Attribution-ShareAlike
комментариев: 371 документов: 19 редакций: 20
Но формат расширяемый, и не требующий переписывания парсера. В качестве доказательства могу написать парсер этого формата на си.
И что вы скажете насчет читабельности без дополнительного софта?
Предложите точный формат того, как будет выглядеть подпись в исходном виде, и как она будет отображаться в броузере.
А также предложите простой метод проверки ее без броузера, с использованием только PGP.
Если взять за основу формат предложеный в топике изначально, то сразу возникает куча лишних вопросов. Например тег signature содержит подпись, но подпись чего? Какая именно часть содержимого подлежит подписи? В даном случае это не понятно, что не есть хорошо. В случае же OpenPGP clear sign понятно что подписан весь текст от BEGIN PGP SIGNED MESSAGE до BEGIN PGP SIGNATURE.
Если же мы будет использовать clear sign в которую внутрь вставлен XML блок, то возникает проблема читаемости этого блока человеком, без применения стороннего софта. Если мы будет отображать этот блок в легко читаемом виде с помощью CSS, то такой текст будучи скопирован из окна броузера не может быть проверен в PGP.
Далее, вы подумали, что не все в мире сайты и форумы поддерживают XML и имеют для этого соответствующие CSS? Допустим я хочу запостить метку времени на форуме. В этом случае она будет отображаться как безобразный XML, а не в простом и понятном виде.
Любителей XML прошу предложить решение всех этих проблем.
комментариев: 143 документов: 31 редакций: 143
В такой реализации мало смысла – какой смысл иметь хеш изображения, если самого изображения нет? В качестве альтернативы можно сохранять весь HTML код страницы...
Да, действительно.. Это переворачивает всю идею. А как быть если кто-то захочет приписать скажем вам – ложное авторство? Я думал, что определение автора – это одна из основных задач.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 371 документов: 19 редакций: 20
Само изображение возвращается сервисом вместе с подписью. Сохранять html код страницы не советую, так как в нем может содержаться вредоносный контент, и ваша подпись под ним может навести на вас неприятности. Также следует озаботиться безопасностью процесса получения скриншота, так как эксплоиты не дремлют.
Если я хочу подтвердить свое авторство, то я подписываю файлы своим GPG ключем. Ваш сервис нужен лишь для подтверждения времени подписи.
Например я подписываю свои релизы PGP ключем, и не принимаю претензий относительно содержимого не подписаных им файлов.
В рамках онлайн сервиса это принципиально нереализуемо. Для того чтобы гарантировать авторство вы должны провести экспертизу обьекта авторского права и надежно установить личность заявителя. И даже экспертиза не гарантирует, что кто-то не присваивает себе что-либо принадлежащее другому.
Вы можете только гарантировать, что пользователь вашего сервиса обладал указаным текстом в определенный момент времени.
Лучше подписывать всё и во избежании недопронимания писать предупреждение о возможном нежелательном контенте и снятия с себя ответственности за содержание подписанного.
Только хэш бессмысленен, если страница хоть немного меняется, а такие сейчас не редкость.
комментариев: 143 документов: 31 редакций: 143
Над этим надо еще подумать
Мне кажется пришло время переписать данный кластер. Первым делом нужно сменить название "Формат Сертификата авторства" на "Формат Метки времени" – сделать это без удаления данной страницы нельзя. Значит потеряются все коментарии. Есть ли возражения по этому поводу?
комментариев: 371 документов: 19 редакций: 20
Если изображение делается вашим сервисом, то вы можете гарантировать отсутствие в нем вирусов.
Хотя идея делать скриншоты действительно не очень, так как реализация может быть черезвычайно сложной и нести опасность для самого сервиса. Лучше сохранять все содержимое страницы в один .mht файл и подписывать его.
Можно. Попроси SATva.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 371 документов: 19 редакций: 20
комментариев: 143 документов: 31 редакций: 143
Делать сгриншот — я даже не представляю как. И потом информация может быть на раскрывающихся вкладках на JS.
Копировать весь код страницы проще и лучше, но как быть если нужная информация подгружается c использованием Ajax?
комментариев: 371 документов: 19 редакций: 20
Такой сервис был бы крайне полезен. Типичный случай применения – доказать факт корыстной модерации на форуме. Для этого нужно иметь завереные копии страниц форума до поста, содержимого поста и страниц форума после его удаления.
С помощью обычного timestamp сервиса можно доказать обладание какой-либо информацией в определенное время, но возможности доказать наличие этой информации по определенной ссылке пока не предоставляет никто.
комментариев: 232 документов: 17 редакций: 99
Для ускорения проверки отдельной метки времени:
В конце недели стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:
- хэши всех меток за неделю
- хэш аналогичного файла за предыдущую неделю
Если выданных подписей за неделю больше 100, то дополнительно создаём промежуточный файл (неделя-хх-1.txt, неделя-хх-2.txt, ...).В конце года стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:
Для проверки нужной метки проходим (проверяем хэши) от последней выданной метки до первого "недельника", далее с шагом в неделю идём до первого "годовика" доходим до нужного года и начинаем сбавлять шаг сначала до недели, а потом и до отдельных меток.
P. S. при большом количестве выдаваемых меток можно добавить дневные файлы.
комментариев: 11558 документов: 1036 редакций: 4118
Не надо меня просить по каждому поводу. (Но уже переименовал, раз попросили.)
Советую изучить инструменты управления документом, доступные Вам как владельцу. Полный их список доступен в разделе свойств документа (или через панель управления, или дописав /settings после адреса страницы).
Его поддерживают кто-нибудь, кроме MSIE? (Знаю, что в сущности это просто Multipart MIME, который можно открыть в мэйл-клиенте, но, согласитесь, тупо — открывать веб-документ как почту. Firefox формат не понимает.)