Zeitstempeldienst der DFN-PKI

Mit einem Zeitstempeldienst lassen sich elektronische Daten von einer vertrauenswürdigen Stelle zu einem bestimmten Zeitpunkt bescheinigen. Dies bedeutet, dass spätere Modifikationen der Daten zweifelsfrei nachgewiesen werden können.

Der DFN-Verein betreibt im Rahmen der DFN-PKI einen Zeitstempeldienst. Dieser Dienst kann im Rahmen der DFN Satzung mit einer geeigneten Anwendung genutzt werden. Eine Anmeldung oder das Ausfüllen von Formularen ist nicht notwendig.

Datei mit Zeitstempel signieren

Im Folgenden wird ein Beispiel mit opentsa vorgestellt. Dieses Modul ist in openssl ab Version 1.0.0 enthalten.

Erstellen einer Zeitstempelanfrage

openssl ts -query -data "Dateipfad" -cert -sha512 -no_nonce -out request.tsq

Empfangen einer Antwort vom Zeitstempelserver

cat request.tsq | curl -s -S -H 'Content-Type: application/timestamp-query' --data-binary @- http://zeitstempel.dfn.de -o response.tsr

Es werden die Dateien request.tsq und response.tsr erstellt. Diese können einen beliebigen Namen besitzen. Jedoch sind die Dateiendungen .tsq bzw. .tsr vorgeschrieben.

  • request.tsq beinhaltet unter anderem den HASH Wert der zu signierenden Datei und den Zeitstempel
  • response.tsr ist die Antwort des Zeitstempelservers und wird für die Verifizierung benötigt

Damit die Datei mittels Zeitstempeldienst auf eine Veränderung hin geprüft werden kann, wird die folgende Zertifkatskette des DFN-Vereins (chain.txt) benötigt:

Zertifikatskette des DFN-Vereins

Zeitstempelsignierung überprüfen

Zusammengehörigkeit von Anfrage und Zeitstempelserverantwort überprüfen

openssl ts -verify -queryfile request.tsq -in response.tsr -CAfile chain.txt

Verifizierung von elektronischer Datei und Zeitstempelserverantwort

openssl ts -verify -data "Dateipfad" -in response.tsr -CAfile chain.txt

Hinweis:

Aktuell kann openssl keine SHA-2-Zeitstempel verifizieren. Weitere Informationen und eine Alternative Möglichkeit zur Zeitstempel-Überprüfung finden Sie auf dieser Infoseite der DFN-PKI.