Länkad tidsstämpling

Länkad tidsstämpling är en typ av betrodd tidsstämpling där utfärdade tidsstämplar är relaterade till varandra.

Beskrivning

Länkad tidsstämpling skapar tidsstämpeltokens som är beroende av varandra, intrasslade i någon autentiserad datastruktur . Senare modifieringar av de utfärdade tidsstämplarna skulle ogiltigförklara denna struktur. Den tidsmässiga ordningen för utfärdade tidsstämplar skyddas också av denna datastruktur, vilket gör det omöjligt att återdatera de utfärdade tidsstämplarna, även av den utfärdande servern själv.

Toppen av den autentiserade datastrukturen publiceras i allmänhet i vissa svårmodifierade och allmänt bevittnade medier, som tryckt tidning eller offentlig blockchain . Det finns inga (långsiktiga) privata nycklar som används, vilket undviker PKI -relaterade risker.

Lämpliga kandidater för den autentiserade datastrukturen inkluderar:

• Linjär hashkedja
• Merkleträd (binärt hashträd)
• Hoppa över listan

Det enklaste linjära hashkedjan-baserade tidsstämplingsschemat illustreras i följande diagram:

Den länkningsbaserade tidsstämplingsmyndigheten (TSA) utför vanligtvis följande distinkta funktioner:

Aggregation

För ökad skalbarhet kan TSA gruppera tidsstämplingsförfrågningar som anländer inom en kort tidsram. Dessa förfrågningar aggregeras tillsammans utan att behålla sin tidsordning och tilldelas sedan samma tidsvärde. Aggregation skapar en kryptografisk koppling mellan alla inblandade förfrågningar; autentiseringsvärdet kommer att användas som indata för länkningsoperationen .

Länkning

Länkning skapar en verifierbar och ordnad kryptografisk länk mellan de aktuella och redan utfärdade tidsstämpelsymbolerna.

Exempel tidningspublicering av hash-länkad tidsstämplingstjänst

Publicering

TSA publicerar med jämna mellanrum några länkar, så att alla tidigare utgivna tidsstämpeltokens beror på den publicerade länken och att det är praktiskt taget omöjligt att förfalska de publicerade värdena. Genom att publicera allmänt bevittnade länkar skapar TSA oförglömliga verifieringspunkter för att validera alla tidigare utfärdade tidsstämplar.

säkerhet

Länkad tidsstämpling är till sin natur säkrare än den vanliga, offentliga nyckelsignaturbaserade tidsstämplingen. Alla följdtidsstämplar "förseglar" tidigare utgivna sådana - hashkedja (eller annan autentiserad ordbok som används) kunde bara byggas på ett sätt; att ändra utfärdade tidsstämplar är nästan lika svårt som att hitta en förbild för den använda kryptografiska hashfunktionen . Kontinuitet i driften kan observeras av användarna; periodiska publiceringar i många bevittnade medier ger extra insyn.

Ändring av absoluta tidsvärden kunde upptäckas av användare, vars tidsstämplar är relativt jämförbara genom systemdesign.

Frånvaro av hemliga nycklar ökar systemets tillförlitlighet. Det finns inga nycklar att läcka och hashalgoritmer anses vara mer framtidssäkra än modulära aritmetikbaserade algoritmer, t.ex. RSA .

Länkad tidsstämpling skalar bra - hashning är mycket snabbare än kryptografi med publik nyckel. Det finns inget behov av specifik kryptografisk hårdvara med dess begränsningar.

Den vanliga tekniken för att garantera långsiktigt attestvärde för de utfärdade tidsstämplarna (och digitalt signerade data) är periodisk övertidsstämpling av tidsstämpeltoken. På grund av saknade nyckelrelaterade risker och på grund av den rimliga säkerhetsmarginalen för den rimligt valda hashfunktionen kan denna övertidsstämplingsperiod för hash-länkade token vara en storleksordning längre än för offentlig nyckel signerad token.

Forskning

Grunder

Stuart Haber och W. Scott Stornetta föreslog 1990 att länka samman utfärdade tidsstämplar till linjär hash-kedja, med hjälp av en kollisionsbeständig hash-funktion. Huvudmotivet var att minska kraven på TSA-förtroende.

Trädliknande system och som fungerar i omgångar föreslogs av Benaloh och de Mare 1991 och av Bayer, Haber och Stornetta 1992.

Benaloh och de Mare konstruerade en enkelriktad ackumulator 1994 och föreslog att den skulle användas vid tidsstämpling. När den används för aggregering kräver envägsackumulator endast en konstanttidsberäkning för verifiering av omgången medlemskap.

Surety startade den första kommersiella länkade tidsstämplingstjänsten i januari 1995. Länkningsschemat beskrivs och dess säkerhet analyseras i följande artikel av Haber och Sornetta.

Buldas et al. fortsatte med ytterligare optimering och formell analys av binära träd och gängade trädbaserade scheman.

Överhoppningslistbaserat tidsstämplingssystem implementerades 2005; relaterade algoritmer är ganska effektiva.

Bevisbar säkerhet

Säkerhetsbevis för hashfunktionsbaserade tidsstämplingsscheman presenterades av Buldas, Saarepera 2004. Det finns en explicit övre gräns ${\displaystyle N}$ för antalet tidsstämplar som utfärdats under aggregeringsperioden; det antyds att det förmodligen är omöjligt att bevisa säkerheten utan denna uttryckliga begränsning - de så kallade black-box-reduktionerna kommer att misslyckas i denna uppgift. Med tanke på att alla kända praktiskt relevanta och effektiva säkerhetsbevis är black-box, är detta negativa resultat ganska starkt.

Därefter visades det 2005 att avgränsade tidsstämplingsscheman med en betrodd revisionspart (som regelbundet granskar listan över alla tidsstämplar som utfärdats under en aggregeringsperiod) kan göras universellt komponerbara - de förblir säkra i godtyckliga miljöer ( sammansättningar med andra protokoll och andra instanser av själva tidsstämplingsprotokollet).

Buldas, Laur visade 2007 att avgränsade tidsstämplingsscheman är säkra i en mycket stark mening - de uppfyller det så kallade "kunskapsbindande" villkoret. Säkerhetsgarantin som Buldas, Saarepera erbjuder 2004, förbättras genom att minska säkerhetsförlustkoefficienten från ${\displaystyle N}$ till ${\displaystyle {\sqrt {N}}}$ .

Hashfunktionerna som används i de säkra tidsstämplingsschemana behöver inte nödvändigtvis vara kollisionsbeständiga eller ens enkelriktade; säkra tidsstämplingsscheman är förmodligen möjliga även i närvaro av en universell kollisionssökningsalgoritm (dvs universella och attackerande program som kan hitta kollisioner för vilken hashfunktion som helst). Detta tyder på att det är möjligt att hitta ännu starkare bevis baserat på några andra egenskaper hos hashfunktionerna.

Hash-trädbaserat länkschema

I illustrationen ovan fungerar hashträd-baserade tidsstämplingssystem i omgångar ( ${\displaystyle t}$ , ${\displaystyle t+1}$ , ${\displaystyle t+2}$ , ...), med ett aggregeringsträd per omgång. Systemets kapacitet ( ${\displaystyle N}$ ) bestäms av trädstorleken ( ${\displaystyle N=2^{l}}$ , där ${\displaystyle l}$ anger binärt träddjup). Aktuella säkerhetsbevis fungerar på antagandet att det finns en hård gräns för aggregeringsträdets storlek, möjligen upprätthållen av underträdets längdbegränsning.

Standarder

ISO 18014 del 3 täcker "Mekanismer som producerar länkade tokens".

Amerikansk nationell standard för finansiella tjänster, "Trusted Timestamp Management and Security" ( ANSI ASC X9.95 Standard ) från juni 2005 täcker länkningsbaserade och hybrida tidsstämplingsscheman.

  Det finns inget IETF RFC eller standardutkast om länkningsbaserad tidsstämpling. RFC 4998 (Evidence Record Syntax) omfattar hashträd och tidsstämpel som en integritetsgaranti för långsiktig arkivering.

externa länkar

• "Serie miniföreläsningar om kryptografiska hashfunktioner" ; inkluderar tillämpning i tidsstämpling och bevisbar säkerhet; av A. Buldas, 2011.