昨天講到稽核軌跡的時候，有多次提到「時間」也是其中很重要的一環。但你有沒有想過，電腦上的時間不是都可以自己調整的嗎？假如今天有一個居心不良的簽署者，在簽署一份重要文件前，故意把自己電腦的系統時間手動調回上星期，那麼稽核軌跡紀錄的簽署時間不就失準了嗎？

為了解決這個信任問題，我們不能只依靠每個人自己手上的系統時間，而是需要一個公正、權威的第三方，來為我們的文件蓋上一個官方時間戳 (Official Timestamp)。

• 電腦的系統時間：就像是我們戴的手錶或手機時鐘，你可以隨時將它往前、往後調整。它的可動性很高，在法律上不具備公信力。
• 時間戳 (Timestamp)：就像我們到郵局寄掛號時，郵局人員會在信件上蓋上郵戳，郵戳上的日期和時間，都是由郵局這個中立機構的標準時鐘為準，具有絕對公信力。你不能跟郵局人員說：「不好意思，我這個信是要報名考試的，但報名到昨天截止，你可以幫我把時間蓋成昨天的嗎？」

這個時間從哪來？時間戳授權中心 (Timestamp Authority, TSA)

提供時間戳具有公信力的時間的第三方機構叫做「時間戳授權中心」(Timestamp Authority, TSA)。

它的運作流程大致上是這樣：

1. 當簽署完成後，電子簽名系統會將文件的雜湊值 (Hash) 傳給 TSA 請求時間戳記。
2. TSA 收到後，會去讀取像是 UTC 等等的標準時間，並將時間和雜湊值打包在一起。
3. 接著 TSA 用它的私鑰，將這份資料包進行數位簽章，並產出時戳標記 (Time-Stamp Token, TST）。
4. TSA 將 TST 回傳，讓電子簽名系統將它附加在文件上。

簡單來說，就是 TSA 這個公正的第三方單位，它以雜湊值為證，向大家宣告「這份文件在這個時間點」就已經存在，並且內容是長這個樣子。

時間戳在商業利益及風險規避上的實質作用

一個小小的時間戳，看似不太重要，在實務上，它到底有什麼價值？

• 確保時序性：在需要多人依序簽署的合約中，時間戳能清楚證明 A 是在 B 之前簽署的，避免了流程與權責的爭議。
• 防止合約作廢：我們在 Day 5 時有談到數位憑證是有效期的。當有了時間戳，就能證明簽署動作是發生在簽署人憑證的有效期間內，來確保簽署本身的效力。
• 延長法律效力：延續上一點，有了時間戳，我們就能在未來做到「長期驗證」(Long Term Validation, LTV)；即使簽署者的憑證在未來過期了，我們依然能驗證這個簽章在當時的有效性。關於 LTV 的部份，我在之後的文章中會再跟各位聊。

總結來說，假如稽核軌跡是黑盒子，那時間戳就像是為這個黑盒子聘請了一位絕不說謊的公證人，來為時間這個證據作證。

我們已經知道簽名如何產生、如何紀錄以及如何標記時間。但這所有的數位證據，要被裝在哪裡才會最安全呢？明天，我們就來聊聊這一切的標準載體「PDF 檔案」。