Estándar ANSI ASC X9.95
El estándar ANSI X9.95 para marcas de tiempo confiableses una expansión del ampliamente utilizado RFC 3161- Protocolo de marca de tiempo de infraestructura de clave pública X.509 de Internet. Este nuevo estándar agrega requisitos de seguridad a nivel de datos para garantizar la integridad de los datosfrente a una fuente de tiempo confiable, lo que puede demostrarse a cualquier tercero. Este estándar es aplicable tanto a datos sin firmar como a datos firmados digitalmente, y se utiliza en instituciones financieras y organismos reguladores para crear marcas de tiempo confiables que no se pueden alterar sin ser detectadas. Las marcas de tiempo basadas en X9.95 se pueden utilizar para proporcionar:
- autenticidad: tiempo confiable e irrefutable cuando los datos se firman digitalmente
- integridad: protección de la marca de tiempo contra la manipulación sin detección
- puntualidad: prueba de que la hora de la firma digital sea la hora real
- un rastro probatorio de autenticidad para la suficiencia legal
El estándar X9.95 es un superconjunto del protocolo RFC 3161 de IETF que incluye definiciones para objetos de datos específicos, protocolos de mensajes y métodos de marca de tiempo confiables, como firma digital, MAC, token vinculado, métodos de clave transitoria y vinculación y firma. Además, X9.95 ofrece diferentes enfoques tecnológicos para lograr el cumplimiento, como la criptografía de clave transitoria. En el marco de X9.95, se definen cinco entidades: la entidad de origen de tiempo, la autoridad de marca de tiempo, el solicitante, el verificador y una parte de confianza. Además, hay varios proveedores que comercializan sistemas compatibles con X9.95.[1]
Definiciones[editar]
En el esquema de marca de tiempo confiable X9.95, se identifican cinco entidades distintas que juegan un papel clave en el proceso: la entidad de origen de tiempo, la autoridad de marca de tiempo, el solicitante, el verificador y una parte de confianza.
- Entidad de fuente de tiempo: la mayoría de los países tienen una fuente oficial de tiempo y esto se ha codificado durante los últimos cien años a través de cualquier número de acuerdos de reconocimiento mutuo y acuerdos de metrología legal (consulte http://www.oiml.org para obtener más información sobre metrología legal). ). La razón por la que esto es importante es que ahora que Internet ha hecho posible llegar directamente al laboratorio que opera la fuente oficial de tiempo para esa jurisdicción, las muchas capas de "intermediarios" que se interponían entre el usuario final y la fuente de tiempo, ahora, han desparecido como tal. El tiempo que se puede mostrar como trazable al instituto de medición nacional específico o al reloj maestro de esa jurisdicción es la única fuente que proporciona la "Fuente de calibración de tiempo" aprobada para X9.95. Los ejemplos incluyen NIST en los EE. UU. y Bureau International des Poids et Mesures (BIPM) . Otros marcos regulatorios también requieren que el tiempo que se mueve a través del Network Time Protocol ntp esté debidamente certificado y autenticado, lo que significa que el uso no autenticado de tiempo de cualquier proveedor no cumplirá con los requisitos X9.95 para obtener tiempo de manera comprobable.
- Autoridad de sellos de tiempo (TSA): el emisor de marcas de tiempo, que puede ser interno de una organización o de un tercero o externo (como en un servicio basado en Internet). La TSA recibe su "tiempo confiable" comprobable de una o más fuentes de tiempo confiables y genera las marcas de tiempo que se le solicitan de acuerdo con el esquema X9.95.
- solicitante: la entidad que solicita una marca de tiempo.
- verificador: la entidad que verifica una marca de tiempo. Un verificador puede ser una parte que confía, un organismo regulador o una entidad que emplea un servicio de verificación de terceros.
- parte que confía: la entidad que recibe la marca de tiempo. La parte que confía usa el token de marca de tiempo en las operaciones.
Creación de una marca de tiempo[editar]
Antes de iniciar sus operaciones, un servicio de marca de tiempo debe ser calibrado por la Autoridad de Marca de Tiempo utilizando una entidad fuente de tiempo previa, como un reloj maestro legalmente definido para la jurisdicción en la que la TSA está marcando el tiempo. Una vez adquirido el tiempo de confianza, la TSA puede otorgar marcas de tiempo para datos, tanto firmados digitalmente como no firmados, en todas las jurisdicciones donde mantiene soluciones de tiempo.
Cuando se utilizan marcas de tiempo en datos sin firmar, las aplicaciones pueden ofrecer pruebas a un verificador de que los datos digitales en cuestión han existido desde el momento en que se generó la marca de tiempo.
Cuando se da el caso que un solicitante necesita una marca de tiempo confiable para un dato, primero crea un hash de los datos mediante una función de hash criptográfico y lo envía a la TSA a través de la conexión de red. La TSA, a su vez, firma el hash y la hora de la firma para generar la marca de tiempo confiable. Finalmente, esta marca de tiempo confiable es devuelta al solicitante, quien la puede almacenar junto con los datos correspondientes.
Cuando se utilizan datos firmados digitalmente en las aplicaciones, el solicitante firma el hash digital con su clave privada y envía la firma digital a la TSA. Luego, la TSA lleva a cabo las mismas operaciones que en el ejemplo anterior: vincular los datos enviados con una marca de tiempo mediante su enlace criptográfico y devolver los resultados al solicitante.
Una vez que el solicitante recibe el token de marca de tiempo de la TSA, también puede firmarlo opcionalmente con su clave privada. De esta forma, el solicitante tendrá pruebas de que los datos existían en el momento en que se emitió la marca de tiempo. Si un verificador o una entidad de confianza verifica la marca de tiempo, este token también proporciona evidencia de que la firma digital ha existido desde que se emitió el marca de tiempo, siempre y cuando no haya desafíos a la autenticidad de la firma digital que rechacen esa afirmación.
En los modelos abiertos de marca de tiempo, los tokens de marca de tiempo se pueden obtener de diferentes TSA con los mismos datos, y cualquier tercero puede verificarlos en cualquier momento.
Verificación de una marca de tiempo[editar]
Para la verificación, el verificador utiliza la clave pública RSA correspondiente al intervalo en cuestión para descifrar el token de marca de tiempo. Si el hash digital original dentro del token coincide con el hash generado en ese momento, entonces el verificador ha verificado:
- El hash en el token de marca de tiempo coincide con los datos
- El enlace criptográfico de las TSA
- La firma digital del solicitante
Las verificaciones mencionadas anteriormente son esenciales ya que proporcionan una prueba fehaciente de la identidad del firmante de los datos (autenticación), la hora en que se firmó (oportunidad) y los datos que se firmaron (integridad). La utilización de claves públicas para descifrar los tokens significa que esta evidencia puede ser compartida con cualquier tercero. El American National Standard X9.95-2005 Trusted Time Stamps fue creado basándose en el protocolo RFC 3161 [TSP] y los estándares ISO/IEC 18014 [ISO], pero va más allá al ampliar su análisis y posibilidades. Este estándar se aplica para autenticar datos firmados digitalmente en transacciones financieras, cumplimiento de normativas y evidencia legal.
Referencias[editar]
- ↑ «ANSI X9.95» (en inglés). Consultado el 4 de julio de 2023.
Enlaces externos[editar]
- Estándar X9.95 para marcas de tiempo confiables[1]
- RSA Laboratories - ¿Qué es el marcado de tiempo digital?
- Stuart Haber y W. Scott Stornetta “ Cómo aplicar una marca de tiempo a un documento digital ” 1991.
- El problema con las marcas de tiempo
- Surety AbsoluteProof: servicio de marcado de tiempo basado en enlaces, compatible con ISO/IEC 18014-3 y ANSI X9.95