Wege des Zeitstempelns
Angeboten werden diese von Vertrauensdienstleistern nach eIDAS-Durchführungsgesetz. Was aber hat es mit den digitalen Zeitstempeln auf sich, wozu benötigt man diese? Zeitstempel kommen in in der digitalen Welt an vielen Stellen vor. Sei es bei einem Blog-Artikel, einem Facebook-Posting oder nach Speichern eines Dokuments im Dateisystem des lokalen Arbeitsrechners oder aber auf dem Server des Vertrauens. Durch diesen digitalen Zeitstempel erhält der Betrachter einen ersten Eindruck davon, wann ein Dokument initial erstellt und wann verändert wurde. Letzteres steht und fällt jedoch mit den Einstellungen des Rechners, auf dem das Dokument gespeichert wurde (vgl. hierzu die verschiedenen Zeitstempel auf einem linuxoiden System: Access Time (atime), Modify Time (mtime) und Change Time (ctime).
Für den unbedarften Betrachter vermitteln elektronische Zeitstempel also einen ersten Anhaltspunkt, wann ein elektronisches Dokument erstellt wurde. Natürlich wirft dies sofort Fragen nach der Gültigkeit der Zeit wie auch des elektronischen Zeitstempels auf. In aller Kürze: Über welchen Zeitpunkt in welcher Zeit redet man hier? Zudem stellt sich natürlich die Frage, wie kann man dem Datum, dem gemessenen Zeitpunkt, überhaupt vertrauen – wohlwissend, dass derartige Zeitstempel nach Belieben verändert werden können. Vielleicht ein praktisches Bespiel zur Bedeutung digitaler Zeitstempel im Geschäftsleben.
Digitale Zeitstempel am Beispiel NDA
Stellen sich sich vor, Sie treffen ein NDA (Non-Disclosure-Agreement). Sie und Ihr Geschäftspartner haben sich darin verabredet, über bestimmte Angelegenheiten ab Zeichnung des NDAs Stillschweigen zu halten. Einige Zeit später stellt sich heraus, dass diese Vereinbarung offensichtlich nicht eingehalten wurde. Das Problem: Der Vertragspartner kann nun ohne Weiteres behaupten, die unter NDA stehenden Inhalte schon vor Unterzeichnung des NDAs preisgegeben zu haben. Vor Gericht besteht ein einfacher elektronischer Zeitstempel der näheren Prüfung nur sehr schwer. Es stellt sich zudem die Frage, über welche Zeit man nun redet (lokale Zeit verschiedener Zeitzonen etc.). Die Tatsache, dass sich ein “normaler” elektronischer Stempel nach Belieben und ohne weiteres im Nachhinein ändern lässt, wirft weitere Fragen nach der Gültigkeit eines derartigen Zeitstempels auf.
Elektronische Zeitstempel nach eIDAS-Verordnung
Offensichtlich benötigt die digitale Welt vertrauenswürdige Zeitstempel. Im Zuge des eIDAS-Verordnungsdurchführungsgesetzes sind die Anforderungen an diese qualifizierten elektronischen Stempel als Vertrauensdienst definiert. Natürlich ist man sich eben beschriebener Probleme schon seit längerer Zeit bewusst; vergleiche dazu das unabängig von der eIDAS-Verordnung entwickelte Time Stamp Protocol (vgl. RFC 3161 aus dem Jahr 2001, der das “Time Stamping” im Kontext einer PKI beschreibt).
Qualifizierte elektronische Zeitstempel näher erläutert
Um die Anforderungen in punkto Eindeutigkeit und Unverfälschheit sicherzustellen, operiert man auch im Kontext des elektronischen Zeitstempels mit Technologien, die aus dem Umkreis der digitalen Signatur stammen.
Qualifizierte Zeitstempel definiert
Unter einem derartigen Stempel versteht man also einen elektronischen Nachweis, der einem Ereignis den eindeutigen Zeitpunkt des Geschehens zuweist. Über Datum und Uhrzeit hinaus wird die Zeitzone zur Koordinierten Weltzeit (Universal Time Coordinated (UTC)) mitangegeben. Den Zeitstempel darüber erhält man beim Vertrauensdiensteanbieter der Wahl, der hier mit einem Vertrauensdienst als Timestamping Authority (TSA) auftritt.
Funktionsweise qualifizierter elektronischer Zeitstempel
- Die dateierzeugende Anwendung geniert einen Hash-Wert des Dokuments und sendet diesen Wert zur Timestamping Authority des Vertrauensdiensteanbieter
- Dort angekommen, verbindet (konkateniert) die TSA den gesendeten Hash-Wert mit der als offiziell geltenden Zeit, die ggf. via Network Time Protokoll (NTP) ermittelt wird, und signiert beides mit dem privaten Schlüssel der TSA.
- Das Ergebnis sendet die TSA zurück an die Anwendung, die das Ergebnis wiederum verarbeiten kann. Da digital signiert, bleibt kein Zweifel an der Uhrheberschaft und Integrietät des digitalen Zeitstempels.
Diese Vorgehensweise ähnelt in technischer Hinsicht einer digitalen Signatur. Der wesentliche Unterschied besteht jedoch darin, dass der digitale Zeitstempel eben nachweist, dass der durch den Hash-Wert repräsentierte Inhalt eines Dokuments zu einem bestimmten Zeitpunkt vorgelegen hat. Der elektronische Zeitstempel stellt natürlich keine Willens- oder Absichtsbekundung wie eine digitale Signatur dar.