Wie validiert man einen Timestamp und was sagt er aus?

vorhergehende Artikel in: PKI-X.509-CA Security
30.04.2023

Ich wundere mich wirklich, wie oft es vorkomt, dass Leute nur halb verstanden haben, wie das mit der IT-Security funktioniert. Das inzwischen vorletzte Mal hatte ich mich über Github echauffiert. Diesmal möchte ich die Gelegenheit nutzen, hier einmal aufzuschreiben, was beim Erstellen eines kryptographisch abgesicherten Zeitstempels wirklich geschieht und was bei dessen Verifizierung zu beachten ist.

Bereits in einem früheren Artikel wies ich darauf hin, dass in der heutigen schnellebigen Zeit einfache Sachverhalte von einer überraschend großen Anzahl der Menschen missverstanden und nicht hinterfragt werden - besonders von solchen, die eigentlich dem Sachverhalt und Fachgebiet doch recht nahestehen. Mein Aufhänger war dabei die allfällige Kritik an biometrischen Merkmalen im Ausweis und Reisepass.

Es existiert aber in diesem Dunstkreis der IT-Sicherheit ein weiterer Bereich, der oft missverstanden wird: der des kryptographisch abgesicherten Zeitstempels. Prinzipiell dient er dazu, einen Anwendungsfall abzudecken, denm auch ein klassischer Notar anbietet: Die Verbriefung des Sachverhalts, dass eine bestimmte Information in genau dieser Form bereits ab einem bestimmten Zeitpunkt vorlag.

Bildet man diesen Sachverhalt mit einem kryptographisch abgesicherten Zeitstempel ab, geschieht auf technischer Ebene folgendes: Der Sachverhalt, dessen Vorhandensein zu einem bestimmten Zeitpunkt verbrieft werden soll, liegt in elektronischer Form als Sammlung von Bit vor - als ein Dokument. Von diesem Dokument berechnet derjenige, der die Bestätigung für dessen Vorhandensein erlangen möchte einen Hashwert und lässt diesen durch eine Timestamping Authority bestätigen. Ergebnis dieses Prozesses ist eben besagter kryptographisch abgesicherte Zeitstempel.

Die Integrität dieses Zeitstempels kann nun überprüft werden. Mit OpenSSL funktioniert das zum Beispiel mit diesem Kommando:

openssl ts -verify -config tsa.conf -queryfile <request>.tsq -in <reply>.tsr -CAfile chain.pem

Der interessante Teil ist hier .tsq - dieser Request enthält lediglich den Hashwert - nicht das Dokument! Verlässt man sich auf diese Verifikation, die lediglich bestätigt, dass der Timestamping Request zu dem in der Reply angegebenen Zeitpunkt existiert hat, hat man über den eigentlichen Fall, dass das Dokument, aus dem der Hashwert erzeugt wurde, nichts erfahren.

Ich illustriere das mal an einem Beispiel: Man stelle sich vor, es existiert eine bösartige Agentur, die auf Gewinnmaximierung aus ist. Man stelle sich weiter vor, dass alle aktuellen Hashalgorithmen mit einem Male unsicher werden und deshalb durch einen neuen ersetzt werden müssen. Dann könnte besagte Agentur einfach alle möglichen Hashwerte generieren und damit Timestamps erzeugen. Sobald jetzt jemand daherkommt und seine Ansprüche auf eine wichtige Erfindung oder ein erfolgreiches Werk mittels seines Timestamps anmelden, kann die Agentur einfach ihren eigenen mit einem früheren Zeitstempel versehenen Hashwert vorweisen und diese Ansprüche bestreiten.

Daher ist es immens wichtig, dass bei der Verifikation eines Zeitstempels unmittelbar nicht nur der Request zur Verifikation herangezogen wird, sondern nachgewiesen wird, dass das Dokument genau den im Request angegebenen Hashwert erzeugt!

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Ticketsysteme sind lebende Wesen

    29.03.2020

    Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.

    Weiterlesen...

Neueste Artikel

  • Weitere Experimente mit dem Clifford-Attractor

    Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...

    Weiterlesen
  • Neues Feature in meinem Static Site Generator: externe URLs

    Es wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...

    Weiterlesen
  • Eine Bestandsaufnahme

    Es kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.