iT邦幫忙

2025 iThome 鐵人賽

DAY 11
0
自我挑戰組

簽章戰略!從需求到上線,PM 也懂的電子簽章技術與專案實戰系列 第 11

Timestamp 是什麼?為什麼電子簽章需要時間戳?

  • 分享至 

  • xImage
  •  

昨天講到稽核軌跡的時候,有多次提到「時間」也是其中很重要的一環。但你有沒有想過,電腦上的時間不是都可以自己調整的嗎?假如今天有一個居心不良的簽署者,在簽署一份重要文件前,故意把自己電腦的系統時間手動調回上星期,那麼稽核軌跡紀錄的簽署時間不就失準了嗎?

為了解決這個信任問題,我們不能只依靠每個人自己手上的系統時間,而是需要一個公正、權威的第三方,來為我們的文件蓋上一個官方時間戳 (Official Timestamp)。

  • 電腦的系統時間:就像是我們戴的手錶或手機時鐘,你可以隨時將它往前、往後調整。它的可動性很高,在法律上不具備公信力。
  • 時間戳 (Timestamp):就像我們到郵局寄掛號時,郵局人員會在信件上蓋上郵戳,郵戳上的日期和時間,都是由郵局這個中立機構的標準時鐘為準,具有絕對公信力。你不能跟郵局人員說:「不好意思,我這個信是要報名考試的,但報名到昨天截止,你可以幫我把時間蓋成昨天的嗎?」

這個時間從哪來?時間戳授權中心 (Timestamp Authority, TSA)

提供時間戳具有公信力的時間的第三方機構叫做「時間戳授權中心」(Timestamp Authority, TSA)。

它的運作流程大致上是這樣:

  1. 當簽署完成後,電子簽名系統會將文件的雜湊值 (Hash) 傳給 TSA 請求時間戳記。
  2. TSA 收到後,會去讀取像是 UTC 等等的標準時間,並將時間和雜湊值打包在一起。
  3. 接著 TSA 用它的私鑰,將這份資料包進行數位簽章,並產出時戳標記 (Time-Stamp Token, TST)。
  4. TSA 將 TST 回傳,讓電子簽名系統將它附加在文件上。

簡單來說,就是 TSA 這個公正的第三方單位,它以雜湊值為證,向大家宣告「這份文件在這個時間點」就已經存在,並且內容是長這個樣子。

時間戳在商業利益及風險規避上的實質作用

一個小小的時間戳,看似不太重要,在實務上,它到底有什麼價值?

  • 確保時序性:在需要多人依序簽署的合約中,時間戳能清楚證明 A 是在 B 之前簽署的,避免了流程與權責的爭議。
  • 防止合約作廢:我們在 Day 5 時有談到數位憑證是有效期的。當有了時間戳,就能證明簽署動作是發生在簽署人憑證的有效期間內,來確保簽署本身的效力。
  • 延長法律效力:延續上一點,有了時間戳,我們就能在未來做到「長期驗證」(Long Term Validation, LTV);即使簽署者的憑證在未來過期了,我們依然能驗證這個簽章在當時的有效性。關於 LTV 的部份,我在之後的文章中會再跟各位聊。

總結來說,假如稽核軌跡是黑盒子,那時間戳就像是為這個黑盒子聘請了一位絕不說謊的公證人,來為時間這個證據作證。

我們已經知道簽名如何產生、如何紀錄以及如何標記時間。但這所有的數位證據,要被裝在哪裡才會最安全呢?明天,我們就來聊聊這一切的標準載體「PDF 檔案」。


上一篇
數位證據的基礎--稽核軌跡 (Audit Trail)
下一篇
為什麼是 PDF?淺談 PAdES
系列文
簽章戰略!從需求到上線,PM 也懂的電子簽章技術與專案實戰30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言