id: Гость   вход   регистрация
текущее время 23:07 28/03/2024
Владелец: Alex_B (создано 19/12/2007 17:43), редакция от 03/09/2009 08:30 (автор: Kent) Печать
Категории: инфобезопасность, политика, разное
создать
просмотр
редакции
ссылки

Принцип работы

< Все документы:
Оглавление документа:

Получение метки времени


Для получения метки времени, клиент1:


  1. Посредством web-интерфейса или программы, отправляет сервису данные, подлежащие заверению.
  2. Сервис формирует «метку времени»2, содержащую данные согласно формату.
Ref-Hash-X = Hash-X (предыдущая метка времени)
  1. Сервис публикует созданную «метку времени».
  2. Сервис отправляет клиенту «метку времени» (возможен произвольный формат), подписанную прозрачной подписью.

Получение метки времени по URL


Идея: Клиент передает url страницы сайта, чтобы иметь возможность впоследствии доказать что было размещено на данной странице.
Обсуждение ведется на странице Получение метки времени по URL

Проверка метки времени


Для доказательства факта обладания информацией в определенное время пользователь передает третьей стороне полученную от сервиса метку времени.


Для проверки подлинности представленной метки времени, заинтересованная сторона:

  1. проверяет ЭЦП сервиса
  2. запрашивает от сервиса цепочку меток времени, выданных ранее проверяемой до ближайшей «контрольной» метки.

Каждое заинтересованное лицо может сделать несколько «контрольных» меток времени и запомнить их. Потом достаточно проверить цепочку до такой сохраненной метки, а также совпадение сохраненной метки с меткой представленной сервисом.


Для ускорения проверки отдельной метки времени


В настоящий момент описанная ниже идея не используется


В конце недели стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:

  1. хэши всех меток за неделю
  2. хэш аналогичного файла за предыдущую неделю

Если выданных подписей за неделю больше 100, то дополнительно создаём промежуточный файл (неделя-хх-1.txt, неделя-хх-2.txt, ...).


В конце года стампер должен ставить свою метку (+ получать метки от других аналогичных сервисов) и публиковать файл в котором находятся:

  1. хэши всех недельных файлов за год
  2. хэш аналогичного файла за предыдущий год

Для проверки нужной метки проходим (проверяем хэши) от последней выданной метки до первого "недельника", далее с шагом в неделю идём до первого "годовика" доходим до нужного года и начинаем сбавлять шаг сначала до недели, а потом и до отдельных меток.
идея Serzh



1Клиент — лицо или система, требующие точного заверенного времени для последующего аудита.
2Формат «метки времени» описан в соответствующем разделе.


© 2007-2008 Alex_B, serzh
© 2009 Kent
© 2007 SATtva, ntldr
© 2009 Анонимные пользователи

Материал распространяется на условиях
CreativeCommons-Attribution-ShareAlike
CreativeCommons-Attribution-ShareAlike

 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— ntldr (31/12/2007 15:23)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Гораздо проще и безопаснее будет сохранять все содержимое страницы в .zip архив.
— Гость (01/01/2008 03:36)   <#>
Т.е. я пишу скрипт который заменяет содержимое, скажем блока div с каким-нибудь id, на произвольную информацию. Иду на такой сервис и он все это проделывает и дает мне доказательство...
Только скрипт запроса тоже ведь будет входить в подписанное.
— SATtva (02/01/2008 20:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Т.е. я пишу скрипт который заменяет содержимое, скажем блока div с каким-нибудь id, на произвольную информацию. Иду на такой сервис и он все это проделывает и дает мне доказательство...

Только скрипт запроса тоже ведь будет входить в подписанное.

Добро пожаловать в мир XSS-атак.
— serzh (07/01/2008 10:57)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
http://browsershots.org/

Описание с сайта:
Browsershots делает скриншоты вашего сайта в разных браузерах. Это бесплатный open-source сервис, созданный Johann C. Rocholl. Когда вы отправляете нам адрес свого сайта, он добавляется в очередь. Несколько различных компьютеров откроют ваш сайт в своих браузерах. Затем они сделают скриншоты и загрузят их на центральный сервер.


В результате работы получаем zip архив.
— ntldr (07/01/2008 11:16)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Интересно, если ему дать ссылку на 0day эксплоит для IE....
— SATtva (07/01/2008 11:22)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Впечатляет. Здесь системные требования к машине (машинам), делающих сами скриншоты, а здесь — инструкция по запуску такого скрипта без центрального сервера.
— poptalk (20/01/2008 14:09)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
https://www.pgpru.com/comment20736
Покажите пример правильной спецификации, я постараюсь сделать так как надо.

Правильная — это та, которая противостоит всем атакам. Сначала надо определиться с возможными атаками.
— poptalk (20/01/2008 19:42)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Для проверки нужной метки проходим (проверяем хэши) от последней выданной метки до первого "недельника", далее с шагом в неделю идём до первого "годовика" доходим до нужного года и начинаем сбавлять шаг сначала до недели, а потом и до отдельных меток.

Возможна такая вариация алгоритма:

Каждая метка времени с порядковым номером Number, кратным 10, хранит дополнительное поле Ref-Hash-10, содержащее хэш метки, которая находится на 10 шагов назад. Если порядковый номер кратен 100, то дополнительное поле Ref-Hash-100 хранит хэш метки, которая находится на 100 шагов назад. И так далее.

Так можно организовать короткие пути между метками.
— Alex_B (16/07/2008 22:12, исправлен 16/07/2008 22:13)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Serzh:
Это требуется для долговременных меток (на несколько лет). Спустя несколько лет мы получим такую ситуацию: SHA512 – взломан, RIPEMD-160 – нет (или наоборот). Если мы использовали только адну хэш-функцию (взломаную), то доказать авторство на основе данной метки уже невозможно. Если одна функция ещё держится – то возможно. Поэтому необходимо добавлять все возможные принятые криптографическим сообществом хэш-функции.


Таким образом получается что связывание "меток времени" как бы подкреплено несколькими алгоритмами хеширования.
Причем было отдельно оговорено что хеш предыдущей метки считается от метаданных, а не от ЭЦП. Так как если считать хоть пять разных хешей (используя разные алгоритмы) только от ЭЦП, то фактически надежность связывание все равно будет зависеть от одного алгоритма хеширования, того который используется при формировании ЭЦП.

Внимание вопрос:
Немного поразмыслив пришел к выводу что служба «меток времени» может осуществлять свою деятельность вообще не используя ЭЦП. Достаточно только сохранять хеши и порядковые номера, в общем все метаданные – без ЭЦП.
Вроде что-то подобное уже обсуждалось.

Так ли это? Зачем вообще было использовать ЭЦП, только для удобства пользователя – что бы выдавать ему сертификаты которые моно проверить не получая цепочку от сервиса?
— SATtva (16/07/2008 22:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Зачем вообще было использовать ЭЦП, только для удобства пользователя – что бы выдавать ему сертификаты которые моно проверить не получая цепочку от сервиса?

Именно за этим.
— poptalk (17/07/2008 16:23)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4

Не хочу показаться назойливым, :) но я как раз и предлагал разделить на два сервиса: вычисление хэшей одно, подписывание времени (показания часов) другое. Просто так сложнее.
— Alex_BBB (24/07/2008 17:54)   <#>
На странице описания работы Stampera, а вернее в ее переводе есть вот такие строки:
Кроме того, система ведёт ежедневный электронно подписываемый отчёт проставленных меток. Все эти данные открыто публикуются на отчётной странице системы и могут быть свободно проверены. В публикацию идут только порядковый (серийный) номер метки, её дата/время и цифровая подпись этих данных. Ни ЭЦП заверяемых системой данных, ни информация о пользователях не подлежат разглашению.


"В публикацию идут только порядковый (серийный) номер метки, её дата/время и цифровая подпись этих данных" – как тогда проверить, на какую именно информацию выдана данная метка времени?
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3