Der Zeitpunkt (Datum, Stunde, Minute, ggf. Sekunde und Zeitzone)
wird durch einen Funkempfänger (DCF77, 77kHz) festgestellt und automatisch
zusammen mit den zu stempelnden Daten signiert. Die Form der Daten ist
für den Zeitstempeldienst irrelevant. Es kann sich um Signaturen,
Hashwerte oder vollständige Dateien handeln. Parallel wird durch eine
lokale IT-gestützte Referenzuhr die Korrektheit der empfangenen Zeit
überprüft. Alternativ kann zur Bestimmung der Referenzzeit auch
ein GPS-Empfänger o.ä. benutzt werden. Wenn zwischen der Funkuhr
und der Referenzuhr eine Abweichung festgestellt wird, wird der Zeitstempeldienst
abgeschaltet und eine Warnmeldung erzeugt.
Die Verwendung eines sekundengenauen Zeitstempels ist nur möglich,
wenn die technisch bedingten Abweichungen zwischen dem Funkempfänger
und der Referenzuhr im Bereich von Millisekunden liegen. Generell darf
die zulässige Abweichung zwischen den Uhren maximal die Hälfte
der vom Zeitstempeldienst-Betreiber garantierten Antwortzeit liegen. Diese
Antwortzeit sollte nicht mehr als eine Minute betragen.
Der Zeitstempeldienst ist eigener Teilnehmer der zugeordneten ZS.
Hierdurch wird der Schaden, der bei einer Kompromittierung des Zeitstempel-Signaturschlüssels
entsteht, auf eine ZS begrenzt. Das Zertifikat des Zeitstempeldienstes
wird im Verzeichnisdienst abrufbar gehalten. Auch im Falle, daß er
nur organisatorisch zur ZS gehört (im Rahmen der Pflichtdienstleistung),
wird ein eigener Signaturschlüssel verwendet, der von der zugehörigen
ZS zertifiziert wird.
Um einen Zeitstempel zu bekommen, verschickt der Benutzer seine
Daten über eine öffentlich zugängliche Telekommunikationseinrichtung
an einen Kommunikations-Rechner beim Zeitstempel-Anbieter. Hierbei kann
es sich z.B. um einen HTTP-Proxy mit stark eingeschränkter Funktionalität
handeln. Der Telekommunikations-Zugang muß so abgesichert sein, daß
keine Angriffe auf den Kommunikations-Rechner möglich sind. Der benutzte
Protokoll-Stack muß dann mit entsprechenden Packet-Filter Eigenschaften
versehen werden, die keine zusätzliche Nutzung ermöglichen.
Der Kommunikations-Rechner ist zusätzlich über ein gesichertes
Protokoll mit einer speziellen Sicherheitsbox verbunden. Hierbei kann es
sich z.B. um ein Store-and-Forward Verfahren handeln, bei dem der Kommunikations-Rechner
die empfangenen Daten auf einer Festplatte ablegt, von wo aus sie in regelmäßigen
Abständen von der Zeitstempel-Sicherheitsbox abgeholt werden. An diese
Sicherheitsbox sind die im Kapitel 6.7 (des zitierten Maßnahmekataloges)
beschriebenen Anforderungen zu stellen. Darüber hinaus kann die Sicherheitsbox
den aktuellen Zeitpunkt feststellen und diesen mit der Referenzzeit vergleichen.
Änderungen am Funkempfänger oder der Referenzuhr werden als Manipulationen
der Sicherheitsbox betrachtet. Dieser Zeitpunkt zusammen mit den übertragenden
Daten und einer laufenden Nummer werden in der Box signiert. Anschließend
wird das Ergebnis über den Kommunikations-Rechner an den Benutzer
zurückgegeben. Dieser muß überprüfen, ob die mit einem
Zeitstempel versehenen Daten mit den verschickten übereinstimmen,
ob der Zeitstempel korrekt ist und ob die vom Zeitstempeldienst verwendete
Zeit plausibel ist.
Um im Verdachts- oder Manipulationsfall die Überprüfung
eines Zeitstempels zu ermöglichen, wird jede Nutzung des Zeitstempeldienstes
auf einem einmal beschreibbarem Medium protokolliert, und es können
zusätzlich verkettete Listen der erzeugten Zeitstempel verwendet werden.
Der Zeitstempel-Signaturschlüssel muß mindestens einmal jährlich
gewechselt werden.
Der Zugang zu dem Zeitstempel-Rechner ist nur für vertrauenswürdiges
Personal nach entsprechender Identifizierung und Authentisierung möglich.
Bei der Prüfung eines Zeitstempels muß geprüft werden,
ob der verwendete Zeitstempel-Signaturschlüssel zum Zeitpunkt der
Prüfung nicht gesperrt ist.
Siehe auch [Tsct WWW98].
weiter | Inhaltsverzeichnis |