Tijdstempels en vertrouwde tijd

Spec: RFC 3161 Spec: RFC 5816 Spec: ISO 32000-2, §12.8.5 Evidence: Standard-backed

In het kort

Een tijdstempel legt niet vast “wanneer dit is ondertekend.” Het bewijst iets beperkters en tegelijk sterkers. Het bewijst dat een bepaald stuk gegevens bestond vóór een bepaald moment, bevestigd door een partij die niet de ondertekenaar zelf is. In dat onderscheid zit de waarde van vertrouwde tijd, en precies dat wordt vaak verkeerd begrepen.

Waarom dit belangrijk is

De ondertekeningstijd in een handtekening is gewoon wat de computer van de ondertekenaar beweerde. Een klok kan per ongeluk of opzettelijk verkeerd staan. Als het enige bewijs voor wanneer iets is ondertekend de eigen bewering van de ondertekenaar is, kan die een document naar believen antedateren of postdateren. Een certificaat dat gisteren is ingetrokken, kan zo worden gepresenteerd alsof er vorig jaar mee is ondertekend. “Wanneer” is geen detail: het bepaalt of een handtekening die is gezet met een inmiddels verlopen of ingetrokken certificaat nog steeds standhoudt. Als vertrouwde tijd onjuist is, stort elk argument voor langdurige geldigheid dat daarop rust in.

De korte versie

De eigen ondertekeningstijd van een ondertekenaar is een bewering, geen bewijs. Die is triviaal te vervalsen.
Een RFC 3161-tijdstempel is een ondertekend token van een Time-Stamp Authority (TSA) dat een hash van uw gegevens bindt aan de tijd van de TSA.
Wat het bewijst, is precies: de gegevens bestonden vóór de door de TSA opgegeven tijd. Niet het exacte aanmaakmoment — een bovengrens.
Het token herhaalt uw nonce en uw message imprint, zodat het geen replay kan zijn en niet over andere gegevens kan gaan.
Een documenttijdstempel past hetzelfde mechanisme toe op de volledige PDF, waardoor alles eronder — de handtekening en het ingebedde validatiebewijs — aan een vertrouwd moment wordt verankerd.

Hoe NextPDF dit aanpakt

NextPDF behandelt een tijdstempel als iets dat moet worden geverifieerd, niet alleen als iets dat wordt opgehaald. Het aanvragen van een token is het kleinere deel van het werk. Het uitgangspunt van de engine is dat een niet-geverifieerd token geen bewijs is.

Wanneer de engine een handtekening van een tijdstempel voorziet, stuurt die de TSA een hash van de gegevens en een verse willekeurige nonce, nooit de gegevens zelf. Het teruggegeven token wordt vervolgens gecontroleerd aan de hand van alle eigenschappen die het betekenisvol maken: de status van de autoriteit was “granted”, de nonce in het token komt overeen met de verzonden nonce, de message imprint in het token komt overeen met de verzonden hash, de eigen cryptografische handtekening van het token verifieert, het inhoudstype van het token is het tijdstempeltype, en de opgegeven tijd valt binnen een aanvaardbare tolerantie. Elke afwijking is een harde fout met een getypeerde reden. Er is geen pad dat “lijkt dichtbij genoeg” accepteert. Een documenttijdstempel volgt dezelfde regel, toegepast op het volledige bestand in plaats van op de waarde van één handtekening.

Hash the data Only a digest of the signature value (or the whole PDF, for a document timestamp) is computed — never the data itself.
Send hash + nonce The digest and a fresh random nonce go to the Time-Stamp Authority.
TSA returns a token A signed token binds the digest to the TSA’s genTime and echoes the nonce.
Verify the token Status granted, nonce matches, message imprint matches, token signature verifies, time within tolerance.
Conclude an upper bound The data provably existed before the TSA’s stated time — attested by a party that is not the signer.

Hoe een vertrouwde tijdstempel wordt verkregen en wat deze bewijst: een hash plus een nonce wordt naar de TSA gestuurd, de TSA geeft een ondertekend token terug dat die hash aan zijn tijd bindt, en de verifieerder bevestigt de binding voordat deze als bewijs wordt beschouwd dat de gegevens vóór die tijd bestonden.

Wat het bewijs zegt

Evidence: Standard-backed De definitie is exact. Spec: ISO/IEC 18014-2, §3 definieert een tijdstempeldienst als een dienst die bewijs levert dat een gegevensitem vóór een bepaald moment in de tijd bestond — een bovengrens, geen aanmaakmoment. Spec: ISO/IEC 18014-2, §7 definieert de inhoud van het TSTInfo: een message imprint (de hash van uw gegevens), een aanmaaktijd, een serienummer en een optionele nonce. Spec: ISO/IEC 18014-2, §6 benoemt de conclusie die een verifieerder bij succes mag trekken: dat het gegevensitem bestond vóór de tijd in het token — niets meer en niets minder.

Voor PDF specificeert Spec: ISO 32000-2, §12.8.5 de documenttijdstempel: de byte range omvat het volledige bestand met uitzondering van de Contents-waarde, die hash wordt naar een tijdstempelautoriteit gestuurd, en het teruggegeven RFC 3161-token — zoals bijgewerkt door Spec: RFC 5816 — wordt geplaatst in Contents. Dat is dezelfde byte range-discipline als bij een handtekening, toegepast op tijd in plaats van op identiteit. En Spec: RFC 6960, §4.4.4 verklaart waarom dit van belang is voor duurzaamheid: vertrouwde tijd stelt een validator in staat te bewijzen dat een handtekening betrouwbaar was op de dag waarop deze werd geproduceerd, zelfs nadat het certificaat is verlopen.

De engine van NextPDF stuurt een hash en een nonce, nooit de gegevens, en verifieert het teruggegeven token aan de hand van status, nonce, message imprint, tokenhandtekening, inhoudstype en tijdtolerantie voordat het als bewijs wordt beschouwd.

Praktisch voorbeeld

U stelt een tijdstempeltoken niet met de hand samen. Waar het om gaat, is waar de vertrouwensgrens ligt. Een TSA is iets dat u configureert en beschermt, omdat de tijd ervan uw bewijs wordt.

<?php

declare(strict_types=1);

use NextPDF\Security\Signature\SignatureLevel;

// Asking for any level at or above B-T requires a TSA.
$level = SignatureLevel::PAdES_B_T;
$level->requiresTimestamp(); // true → a Time-Stamp Authority must be supplied

// The TSA endpoint, its transport security, and its trust anchor are
// deployment-supplied. The engine sends a hash plus a fresh nonce — never the
// document — and verifies the returned token before the signature is accepted.
// A token that fails any check (status, nonce, imprint, signature, time)
// is a hard error, not a warning.

De belangrijke grens is dat de engine een hash stuurt, niet het document, zodat de TSA uw inhoud nooit ziet. Vervolgens verifieert de engine het antwoord. Een TSA die u niet kunt authenticeren, is geen vertrouwde tijd. Dan is het gewoon nog een klok.

Veelvoorkomend misverstand

De valkuil is een tijdstempel opvatten als “dit is exact om 14:32 op deze datum ondertekend.” Het is geen stopwatch bij de ondertekening. Het bewijst dat de gegevens niet later dan de tijd van de TSA bestonden: een bovengrens die door een derde partij is vastgesteld. De aanmaak kan op elk willekeurig moment daarvoor hebben plaatsgevonden. Een tweede valkuil is aannemen dat elke tijdstempelserver u vertrouwde tijd geeft. Een token waarvan u de handtekening niet kunt verifiëren of waarvan u de autoriteit niet vertrouwt, bewijst niets. Het is een klok waarvoor u geen vertrouwensgrond hebt. Vertrouwde tijd komt van een TSA die u kunt authenticeren en een token dat u hebt geverifieerd, niet van de handeling om een server om een getal te vragen.

Grenzen en beperkingen

NextPDF bouwt de aanvraag op, stuurt alleen een hash en verifieert het teruggegeven token. Het garandeert de achterliggende autoriteit niet. De nauwkeurigheid van de TSA, de geldigheid van haar eigen certificaat en haar betrouwbaarheid zijn eigenschappen van de dienst en van de configuratie van uw deployment, niet van de engine. Een tijdstempel bindt een hash aan een tijd. Het zegt niets over de betekenis van de gegevens, de identiteit van de ondertekenaar of de vraag of het certificaat van de ondertekenaar geldig was. Dat zijn afzonderlijke controles die worden behandeld in Een handtekening correct valideren. De engine kan een onbetrouwbare TSA niet betrouwbaar maken. Deze pagina kent ook geen specifiek juridisch gewicht toe aan een tijdstempel; dat hangt af van de status van de TSA en van het rechtsgebied. Hoe vertrouwde tijd opnieuw wordt gebruikt om een handtekening decennialang verifieerbaar te houden, wordt behandeld in Langetermijnvalidatie.

Beschikbaarheid van tijdstempeling per niveau:

RFC 3161 timestamping (signature timestamp and document timestamp) — edition availability
Edition	Availability
Core	Not in this edition
Pro	PAdES B-T — een geverifieerde RFC 3161-tijdstempel op de handtekeningwaarde, via een door de deployment geleverde TSA.
Enterprise	Voegt de documenttijdstempel toe die door B-LT en B-LTA wordt gebruikt om ingebed validatiebewijs te verankeren en de archiveringsvernieuwingslus aan te drijven.

Gerelateerde documentatie

Langetermijnvalidatie — hoe de documenttijdstempel ingebed bewijs verzegelt en in de loop van de tijd wordt vernieuwd.
PAdES-baselineprofielen — waar de handtekeningtijdstempel (B-T) en de documenttijdstempel (B-LTA) zich in de niveauprogressie bevinden.
Gekwalificeerde handtekeningen, uitgelegd — waar een gekwalificeerde tijdstempel past in het vertrouwensbeeld van eIDAS.

Verklarende woordenlijst

Tijdstempel (RFC 3161) — een ondertekend token van een TSA dat een hash van gegevens bindt aan de tijd van de TSA en daarmee bewijst dat de gegevens vóór die tijd bestonden.
Time-Stamp Authority (TSA) — de vertrouwde dienst die tijdstempeltokens uitgeeft.
TSTInfo — de inhoudsstructuur van het token: message imprint, aanmaaktijd, serienummer en optionele nonce.
Message imprint — de hash van de gegevens die van een tijdstempel worden voorzien, herhaald in het token.
Nonce — een verse willekeurige waarde die met de aanvraag wordt meegestuurd en in het token wordt herhaald, zodat het antwoord geen replay kan zijn.
Documenttijdstempel — een RFC 3161-tijdstempel over de volledige PDF (zoals bijgewerkt door RFC 5816), die de handtekening en het bijbehorende bewijs aan een vertrouwd moment verankert.