Tiêu chuẩn TCVN 7818-2:2025 Công nghệ thông tin - Kỹ thuật an toàn - Dịch vụ cấp dấu thời gian - Cơ chế tạo thẻ độc lập

TIÊU CHUẨN QUỐC GIA

TCVN 7818-2:2025

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - DỊCH VỤ CẤP DẤU THỜI GIAN - PHẦN 2: CƠ CHẾ TẠO THẺ ĐỘC LẬP

Information technology - Security techniques - Time-stamping services - Part 2: Mechanisms producing independent tokens

 

Lời nói đầu

TCVN 7818-2:2025 thay thế cho TCVN 7818-2:2007.

TCVN 7818-2:2025 tương đương có sửa đổi đối với ISO/IEC 18014- 2:2021.

TCVN 7818-2:2025 do Tiểu Ban kỹ thuật tiêu chuẩn quốc gia TCVN JTC1/SC 27 “Kỹ thuật an ninh" biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Bộ Khoa học và Công nghệ thẩm định và công bố.

Bộ TCVN 7818 về Công nghệ thông tin - Các kỹ thuật an toàn - Dịch vụ cấp dấu thời gian gồm các phần sau:

- TCVN 7818-1:2024 (ISO/IEC 18014-1:2008), Phần 1: Khung;

- TCVN 7818-2:2025, Phần 2: Cơ chế tạo thẻ độc lập;

- TCVN 7818-3:2025, Phần 3: Cơ chế tạo thẻ liên kết;

- TCVN 7818-4:2024 (ISO/IEC 18014-4:2015), Phần 4: Liên kết chuẩn nguồn thời gian.

 

Lời giới thiệu

Dịch vụ cấp dấu thời gian là một trong các dịch vụ tin cậy trong các giao dịch điện tử; Dịch vụ cấp dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu (dấu thời gian thường được tạo ra dưới dạng chữ ký số) và thời gian được gắn vào thông điệp dữ liệu là thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian; nguồn thời gian của tổ chức cung cấp dịch vụ cấp dấu thời gian phải theo quy định hiện hành về nguồn thời gian chuẩn quốc gia.

Khi bên xác thực dấu thời gian không cần quyền truy cập vào bất kỳ thẻ dấu thời gian nào khác; có nghĩa là, các thẻ dấu thời gian như vậy không được liên kết (thẻ dấu thời gian độc lập). TCVN 7818-2:2025 quy định các cơ chế tạo, gia hạn và xác thực các dấu thời gian độc lập.

Phiên bản TCVN 7818-2:2025 là tương đương có sừa đối với ISO/IEC 18014-2:2021 và có bổ sung điều 4.2 Chữ viết tắt và Phụ lục tham khảo bổ sung thông tin cho dịch vụ cấp dấu thời gian áp dụng tại Việt Nam.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - DỊCH VỤ CẤP DẤU THỜI GIAN - PHẦN 2: CƠ CHẾ TẠO THẺ ĐỘC LẬP

Information technology - Security techniques - Time-stamping services - Part 2: Mechanisms producing independent tokens

1 Phạm vi áp dụng

Tiêu chuẩn này quy định các cơ chế tạo, gia hạn và xác thực các dấu thời gian độc lập. Để xác thực thẻ dấu thời gian độc lập, bên xác thực dấu thời gian không cần quyền truy cập vào bất kỳ thẻ dấu thời gian khác. Có nghĩa là, các thẻ dấu thời gian như vậy không được liên kết.

2 Tài liệu viện dẫn

Các tài liệu viện dẫn dưới đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 7818-1:2024 (ISO/IEC 18014-1:2008), Công nghệ thông tin - Các kỹ thuật an toàn - Dịch vụ cấp dấu thời gian - Phần 1: Khung.

3 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau đây.

3.1

Thẻ dấu thời gian (time-stamp token)

TST

Cấu trúc dữ liệu chứa một liên kết có thể xác thực giữa sự biểu diễn của mục dữ liệu và giá trị thời gian.

[NGUỒN: 3.15, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008)]

3.2

Dịch vụ cấp dấu thời gian (time-stamping service)

TSS

Dịch vụ cung cấp bằng chứng rằng một mục dữ liệu đã tồn tại trước một thời điểm nào đó.

[NGUỒN: 3.18, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008)]

3.3

Chính sách cấp dấu thời gian (time-stamping policy)

Bộ quy tắc cho biết khả năng áp dụng của thẻ dấu thời gian cho một cộng đồng cụ thể và/hoặc lớp ứng dụng cụ thể với các yêu cầu an toàn chung.

[NGUỒN: 3.23, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008) ]

3.4

Bên yêu cầu dấu thời gian (time-stamp requester)

Thực thể sở hữu dữ liệu, muốn được cấp dấu thời gian.

[NGUỒN: 3.14, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008), đã sửa đổi - đã xóa chú thích gốc]

3.5

Bên xác thực dấu thời gian (time-stamp verifier)

Thực thể sở hữu dữ liệu và muốn xác thực rằng có một dấu thời gian hợp lệ gắn liền với thực thể đó.

CHÚ THÍCH: Quá trình xác thực có thể được thực hiện bởi chính bên xác thực hoặc bởi một bên thứ ba tin cậy.

[NGUỒN: 3.16, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008)]

3.6

Tổ chức cấp dấu thời gian (time-stamping authority)

TSA

Bên thứ ba tin cậy được tín nhiệm để cung cấp dịch vụ cấp dấu thời gian.

[NGUỒN: 3.17, TCVN 7818-1:2024 (ISO/IEC 18014-1:2008)]

3.7

Đơn vị cấp dấu thời gian (time-stamping unit)

TSU

Tập phần cứng và phần mềm được quản lý như một đơn vị và tạo các thẻ dấu thời gian.

3.8

Xác thực nguồn gốc dữ liệu (data origin authentication)

Chứng thực rằng nguồn dữ liệu nhận là đúng như tuyên bố.

CHÚ THÍCH 1: Nguồn gốc dữ liệu đôi khi được gọi là nguồn dữ liệu.

[NGUỒN: 3.3.22, TCVN 9696-2:2014 (ISO 7498-2:1989), đã sửa đổi - thêm CHÚ THÍCH 1]

3.9

Toàn vẹn dữ liệu (data integrity)

Tính chất của dữ liệu đã không bị thay đổi hay bị làm hư hại một cách trái phép.

[NGUỒN: 3.4, TCVN 11495-1:2016 (ISO/IEC 9797-1:2011)]

3.10

Cặp khóa phi đối xứng (asymmetric key pair)

Cặp khóa liên quan với nhau cho kỹ thuật mật mã phi đối xứng, ở đó khóa riêng xác định phép biến đổi riêng và khóa công khai xác định phép biến đổi công khai.

[NGUỒN: 3.3, TCVN 11817-1:2017 (ISO/IEC 9798-1:2010)]

3.11

Khóa riêng (private key)

Khóa thuộc cặp khóa phi đối xứng của một thực thể được giữ bí mật.

CHÚ THÍCH 1: An toàn của hệ thống chữ ký phi đối xứng phụ thuộc vào sự riêng tư của khóa này.

[NGUỒN: 2.35, ISO/IEC 11770-1:2010[1], đã sửa đổi - Định nghĩa này được giới hạn cho hệ thống chữ ký phi đối xứng]

3.12

Khóa công khai (public key)

Khóa thuộc cặp khóa phi đối xứng (3.10) của một thực thể có thể công khai mà không ảnh hưởng đến an toàn.

[NGUỒN: 2.36, ISO/IEC 11770-1:2010]

3.13

Chứng thư khóa công khai (public key certificate)

Thông tin khóa công khai của một thực thể được ký bởi tổ chức chứng thực.

[NGUỒN: 2.37, ISO/IEC 11770-1:2010]

3.14

Hạ tầng khóa công khai (public-key infrastructure)

PKI

Hạ tầng có khả năng quản lý các khóa công khai có thể hỗ trợ các dịch vụ về xác thực, mã hóa, tính toàn vẹn hoặc chống chối bỏ.

[NGUỒN: 3.5.60, ISO/IEC 9594-8:2020]

3.15

Hệ thống chữ ký phi đối xứng (asymmetric signature system)

Hệ thống dựa trên kỹ thuật mật mã phi đối xứng mà phép biến đổi riêng được sử dụng để ký và phép biến đổi công khai được sử dụng để xác thực.

[NGUỒN: 3.4, TCVN 11817-1:2017 (ISO/IEC 9798-1:2010)]

3.16

Chữ ký số (digital signature)

Dữ liệu được nối vào, hoặc một biến đổi mật mã của một đơn vị dữ liệu cho phép bên nhận đơn vị dữ liệu chứng minh nguồn gốc và tính toàn vẹn của đơn vị dữ liệu và bảo vệ chống lại sự giả mạo (ví dụ: bởi bên nhận).

[NGUỒN: 3.11, TCVN 11817-1:2017 (ISO/IEC 9798-1:2010)]

3.17

Hàm băm kháng va chạm (collision-resistant hash-function)

Hàm băm thỏa mãn tính chất sau: không thể tìm được 2 đầu vào khác nhau với cùng một giá trị đầu ra.

[NGUỒN: 3.1, TCVN 11816-1:2017 (ISO/IEC 10118-1:2016), đã sửa đổi - xóa chú thích gốc]

3.18

Mã Băm (hash-code)

Xâu bit là đầu ra của hàm băm kháng va chạm.

CHÚ THÍCH 1: định nghĩa trong TCVN 11816-1:2017 (ISO/IEC 10118-1:2016) không yêu cầu khả năng kháng va chạm. Trong tiêu chuẩn này, tất cả hàm băm các hàm là các hàm băm kháng va chạm.

[NGUỒN: 3.3, TCVN 11816-1:2017 (ISO/IEC 10118-1:2016), đã sửa đổi - đã xóa chú thích ban đầu và định nghĩa đã bị hạn chế đối với các hàm băm kháng va chạm như được chỉ ra bởi chú thích mới]

3.19

Thuật toán mã xác thực thông điệp (message authentication code algorithm)

MAC algorithm

Thuật toán để tính ra một hàm ánh xạ các xâu bit và một khóa thuật toán MAC thành các xâu bit có chiều dài cố định, thỏa mãn hai tính chất sau:

- đối với khóa thuật toán MAC bất kỳ và xâu đầu vào bất kỳ, hàm có thể tính được một cách hiệu quả;

- đối với khóa thuật toán MAC cố định bất kỳ, khi không cho biết trước thông tin về khóa thuật toán MAC về mặt tính toán là không thể tính ra giá trị của hàm trên bất kỳ chuỗi đầu vào mới nào, thậm chí khỉ đã biết thông tin về tập chuỗi đầu vào và các giá trị hàm tương ứng, trong đó giá trị của chuỗi đầu vào thứ i có thể được chọn sau khi quan sát i-1 giá trị hàm đầu tiên (đối với số nguyên i > 1).

[NGUỒN: 3.10, TCVN 11495-1:2016 (ISO/IEC 9797-1:2011), đã sửa đổi - - Trong định nghĩa, "khóa bí mật" đã được thay thế bằng "thuật toán MAC" và "khóa" đã được thay thế bằng "khóa thuật toán MAC". Cuối cùng, các dấu ngoặc đơn đã được gỡ bỏ.]

3.20

Khóa thuật toán MAC (MAC algorithm key)

Khóa dùng để điều khiển hoạt động của một thuật toán MAC.

[NGUỒN: 3.8, TCVN 11495-1:2016 (ISO/IEC 9797-1:2011)1

3.21

Mã xác thực thông điệp (message authentication code)

MAC

Xâu các bit là đầu ra của thuật toán MAC.

[NGUỒN: 3.9, TCVN 11495-1:2016 (ISO/IEC 9797-1:2011), đã sửa đổi - đã xóa chú thích gốc]

3.22

Quy tắc chuyển mã phân biệt (distinguished encoding rules)

DER

Các quy tắc chuyển mã có thể được áp dụng cho các giá trị của kiểu được định nghĩa bằng ký pháp ASN.1.

CHÚ THÍCH 1: Việc áp dụng các quy tắc chuyển mã này tạo ra cú pháp chuyển đổi cho các giá trị đó. Rõ ràng là các quy tắc tương tự cũng được sử dụng để giải mã. DER phù hợp hơn nếu giá trị được mã hóa đủ nhỏ để vừa với bộ nhớ khả dụng và cần nhanh chóng bỏ qua một số giá trị lồng nhau.

4 Ký hiệu và chữ viết tắt

4.1  Ký hiệu

ASN.1	Ký pháp cú pháp trừu tượng ASN.1; là một tiêu chuẩn cho ngôn ngữ định nghĩa vào năm 1984 cho các cấu trúc dữ liệu đại diện, mã hóa, giải mã và truyền dữ liệu. Phụ lục A đưa ra các định nghĩa ASN.1 được mô tả trong phần nội dung của tiêu chuẩn này.
Hi	Hàm băm kháng va chạm
Hi(X)	Mã băm được tính trên dữ liệu X
isValid(TST(t), tv)	Vị từ (tức là Đúng hoặc Sai) cho biết tại thời điểm tv liệu thẻ TST(t) có hợp lệ hay không
TST(t)	Thẻ dấu thời gian được tạo tại thời điểm t
t, tv	Các thời điểm
t1 < t2	Bên xác thực dấu thời gian coi ti là một thời điểm trước t2. Thời gian chính xác sớm hơn không phải lúc nào cũng bắt buộc và bên xác thực dấu thời gian có thể quy định biên độ lỗi có thể chấp nhận hoặc dung sai theo đơn vị thời gian. Khi cho phép dung sai như vậy, giá trị cho phép ε phải là một số dương và phải được nêu trong khai báo thực tiễn của bên xác thực dấu thời gian. Trong trường hợp như vậy, bên xác thực dấu thời gian phải chấp nhận t1 trước t2 miễn là không quá ε đơn vị thời gian trôi qua từ t2 đến t1.
<a, b, c>	Bộ ba, đó là một chuỗi các giá trị được gọi là các cấu phần của bộ ba đó
Λ	Liên kết logic, tức là toán tử ‘and’ của đại số Boolean

4.2 Chữ viết tắt

DER	Distinguished encoding rules	Quy tắc chuyển mã phân biệt
MAC	Message authentication code	Mã xác thực thông điệp
OID	Object identifier	Định danh đối tượng
PKI	Public-key infrastructure	Hạ tầng khóa công khai
TSA	Time-stamping authority	Tổ chức cấp dấu thời gian
TSS	Time-stamping service	Dịch vụ cấp dấu thời gian
TST	Time-stamp token	Thẻ cấp dấu thời gian
TSU	Time-stamp unit	Đơn vị cấp dấu thời gian

5 Thẻ dấu thời gian

5.1 Nội dung

Thẻ dấu thời gian là một cấu trúc dữ liệu chứa ràng buộc có thể xác thực giữa biểu diễn của mục dữ liệu và một thời điểm. Thẻ dấu thời gian cũng có thể ràng buộc các mục bổ sung với biểu diễn của mục dữ liệu và thời điểm.

Thẻ dấu thời gian phải chứa:

- Một hoặc nhiều mã băm của dữ liệu được cấp dấu thời gian;

- Một thời điểm;

- Tham chiếu đến chính sách cấp dấu thời gian để tạo thẻ dấu thời gian;

cùng với bất kỳ thông tin bổ sung nào có thể được coi là hữu ích cho việc cung cấp thực tế dịch vụ cấp dấu thời gian, như:

- định danh tổ chức cấp dấu thời gian (để giúp bên xác thực dấu thời gian tìm kiếm thêm bằng chứng);

- chỉ báo về độ chính xác của thời điểm (nghĩa là sai số lớn nhất trong biểu diễn thời điểm);

- chỉ báo về thứ tự (nghĩa là liệu tổ chức cấp dấu thời gian có đảm bảo thứ tự tương đối của các thẻ được tạo hay không);

- định danh phiên bản của định dạng (biết trước những thay đổi về cú pháp trong tương lai);

- số sê-ri (để cho phép tạo tham chiếu đến thẻ);

- tham chiếu đến yêu cầu của người dùng[2], để giúp người dùng so khớp các yêu cầu và đáp ứng.

5.2 Quá trình tạo

Gọi H_i(D) là mã băm được tính trên dữ liệu D bằng cách sử dụng hàm băm kháng va chạm H_i.

Thẻ dấu thời gian TST(t) bao gồm bộ ba:

TST(t) := < { H_i(D) }, t, P >

trong đó (Hi(D)} là tập của một hoặc nhiều mã băm trên dữ liệu D. P cho biết chính sách cấp dấu thời gian mà theo đó thẻ dấu thời gian được tạo. Mỗi mã băm H_i(D) phải mô tả cả mã băm và hàm băm kháng va chạm được sử dụng để sinh ra mã băm đó, cùng với bất kỳ thông tin bổ sung nào có thể cần thiết để tạo lại mã băm trong tương lai (ví dụ: tham số hàm băm kháng va chạm).

CHÚ THÍCH: Các hàm băm kháng va chạm được tiêu chuẩn hóa trong bộ TCVN 11816 (ISO/IEC 10118).

5.3 Quá trình xác thực

Đặt t_v là thời điểm khi thẻ dấu thời gian được xác thực, trong đó t_v được đo bởi bên xác thực dấu thời gian. Tính hợp lệ của thẻ dấu thời gian được xác thực bằng cách kiểm tra rằng:

- thẻ dấu thời gian t được định dạng tốt về mặt cú pháp;

- t < tv;

- giá trị của mọi cấu phần trong {H_i(D)} của thẻ dấu thời gian khớp với mã băm của D được đánh giá tại t_v qua dữ liệu cần giám sát, sử dụng hoàn toàn cùng một hàm băm kháng va chạm H_i với bất kỳ phần bổ sung nào thông tin đã được sử dụng để tạo mã băm;

- ban hành chính sách cấp dấu thời gian P được chấp nhận cho mục đích của bên xác thực dấu thời gian.

Nếu tất cả các điều kiện này được giữ nguyên, điều đó được cho là thẻ dấu thời gian hợp lệ tại t_v, ngược lại, nếu bất kỳ mã nào trong số chúng không được giữ, thẻ dấu thời gian được cho là không hợp lệ. Ký hiệu sau được sử dụng cho vị từ đánh giá xem thẻ dấu thời gian TST(t) có hợp lệ ở t_v hay không:

isValid (TST(t), t_v) = True (Đúng) nếu thẻ dấu thời gian hợp lệ;

isValid (TST(t), t_v) = False (Sai) nếu không hợp lệ.

Bên xác thực dấu thời gian có thể yêu cầu các đảm bảo bổ sung nằm ngoài phạm vi của tiêu chuẩn này.

5.4 Quá trình gia hạn

Dấu thời gian được tạo tại t₀ về mặt lý thuyết có giá trị vĩnh viễn. Tuy nhiên, trên thực tế, một giới hạn thời gian (tức là một thời điểm mà sau đó t₀ không còn giá trị) nên được áp dụng, ví dụ như vì một trong những lý do sau:

- độ mạnh của bất kỳ nguyên bản mật mã cơ bản nào đang bị nghi ngờ và không còn tin cậy;

- khóa bí mật của TSA sắp hết hạn;

- TSA sắp ngừng cung cấp dịch vụ cấp dấu thời gian;

- chính sách cấp dấu thời gian chỉ định một thời điểm mà sau đó dấu thời gian hết hạn.

Trong trường hợp như vậy, cần có thẻ dấu thời gian mới để mở rộng hiệu lực vượt ngoài giới hạn thực tế của thẻ ban đầu. Thẻ mới này, được tạo tại t₁, có thể mở rộng giới hạn t₀ trước đó nếu được tạo bằng cách sử dụng kiến trúc gia hạn được mô tả bên dưới; nghĩa là, thẻ dấu thời gian mới liên kết thời điểm t₀ với dữ liệu và có giá trị sau t₁. Nói chung, một số thẻ dấu thời gian có thể là một phần của chuỗi gia hạn kéo dài hiệu lực của ràng buộc tới t₀ trong số lần không giới hạn:

[TST (t₀), TST (t₁), TST (t₂) TST (t_i),...]

trong đó to < t₁ < t₂ <... < t_i <...

Để đạt được mục tiêu này:

- thẻ dấu thời gian mới tại t_i phải được tạo trước khi thẻ dấu thời gian trước đó hết hạn;

- yêu cầu dấu thời gian phải làm rõ thẻ dấu thời gian trước đó để có thể được kết hợp vào đáp ứng;

- thẻ dấu thời gian TST (t_i) kết hợp thẻ dấu thời gian TST (t_i-1) như một phần của thông tin được bảo vệ.

5.5 Quá trình xác thực gia hạn

Đặt [TST (t₀), TST (t₁),..., TST (t_n)] là một chuỗi gia hạn, tức là một danh sách có thứ tự các thẻ dấu thời gian:

- tất cả đều tham chiếu đến cùng một mục dữ liệu D;

- thời gian tạo được sắp xếp theo thứ tự; nghĩa là, t₀ < t₁ < ... < t_n. Hãy coi t_v là thời điểm khi chuỗi dấu thời gian được xác thực.

Tính chất gia hạn hiệu lực tuyên bố rằng:

isValid ([TST (t₀), TST (t₁)), t_v) = isValid (TST (t₀), t₁) Λ isValid (TST (t₁), t_v)

Nghĩa là, thẻ dấu thời gian đầu tiên phải có hiệu lực khi mã thứ hai được tạo và mã thứ hai phải hợp lệ khi quá sự xác thực được tiến hành.

Tính hợp lệ của chuỗi dấu thời gian phải được xác thực bằng cách lặp lại thủ tục trước đó, tức là:

isValid ([TST (t₀),..., TST (t_n)], t_v) = isValid (TST (t₀), t₁) Λ... Λ isValid (TST (t_n), t_v)

Nếu xác thực thành công, thì bên xác thực dấu thời gian có thể kết luận rằng mục dữ liệu D đã tồn tại trước t₀.

Bên xác thực dấu thời gian cũng phải kiểm tra xem chính sách cấp dấu thời gian ban hành (hoặc chính sách cấp dấu thời gian) có được chấp nhận cho các mục đích của nó hay không.

Bên xác thực dấu thời gian có thể yêu cầu các đảm bảo bổ sung nằm ngoài phạm vi của tiêu chuẩn này.

6 Cơ chế bảo vệ

Thẻ dấu thời gian có thể được bảo vệ bởi nhiều cơ chế có thể được lựa chọn bởi bên yêu cầu dấu thời gian và/hoặc áp đặt bởi tổ chức cấp dấu thời gian.

Các TSA phù hợp với tiêu chuẩn này phải sử dụng ít nhất một trong bốn cơ chế bảo vệ có thể được trình bày trong 7.3. Cơ chế thứ nhất và thứ tư sử dụng hệ thống chữ ký phi đối xứng để ký thẻ dấu thời gian. Cơ chế thứ hai sử dụng thuật toán MAC để xác thực ràng buộc trong thẻ dấu thời gian và cơ chế thứ ba dựa trên lưu trữ thông tin TSA.

- Cơ chế thứ nhất và thứ tư liên quan đến việc yêu cầu tổ chức cấp dấu thời gian ký số để ràng buộc thời điểm vào tài liệu để việc xác thực chữ ký số tiếp tục kiểm tra hợp lệ bằng chứng.

- Cơ chế thứ hai liên quan đến việc yêu cầu tổ chức cấp dấu thời gian sử dụng thuật toán MAC để bảo vệ ràng buộc. Bí mật tương tự cũng cần thiết cho việc tạo MAC và xác thực MAC, và bí mật này được TSA giữ. Do đó, TSA được yêu cầu xác thực.

- Cơ chế thứ ba liên quan đến việc yêu cầu tổ chức cấp dấu thời gian lưu trữ thẻ và chỉ xuất bản tham chiếu đến kho lưu trữ. Do đó, TSA được yêu cầu lưu trữ và xác thực.

Người dùng dịch vụ cấp dấu thời gian có thể chọn cơ chế được sử dụng bằng mở rộng ExtMethod. Nếu không có phần mở rộng này, TSA sẽ sử dụng cơ chế cấp dấu thời gian mặc định. Người dùng yêu cầu cơ chế thứ nhất nên bỏ qua mở rộng ExtMethod nếu cần phải tương thích với các TSA tuân thủ IETF RFC 5816 (xem RFC 5816).

TSA có thể quản lý nhiều TSU nhằm mục đích phát hành thẻ dấu thời gian dưới các mức dịch vụ khác nhau hoặc cho mục đích cân bằng tải. Ví dụ: các TSU khác nhau được quản lý bởi một TSA-duy nhất có thể có các khóa bí mật riêng biệt, nguồn thời gian riêng biệt hoặc các chính sách cấp dấu thời gian riêng biệt.

Mọi trao đổi thông tin giữa các tác nhân (bên yêu cầu dấu thời gian, bên xác thực dấu thời gian và TSA) đều yêu cầu tính toàn vẹn của dữ liệu và bảo vệ xác thực nguồn gốc dữ liệu. Sự bảo vệ này có thể được cung cấp bằng bất kỳ phương tiện thích hợp nào, ví dụ như bằng cách truyền qua một kênh an toàn hoặc bằng cách ký dữ liệu đã trao đổi bằng cặp khóa phi đối xứng không cần kéo dài hơn vòng đời của giao dịch.

7 Thẻ dấu thời gian độc lập

7.1 Cấu trúc lõi

Phải áp dụng các cấu trúc ASN.1 sau đây, như quy định trong TCVN 7818-1 (ISO/IEC 18014-1):

Trường content được xây dựng theo cơ chế bảo vệ. Các giá trị có thể có cho trường contentType và content cũng như các kiểu dữ liệu liên quan cho trường content được trình bày trong 7.3.

7.2 Các mở rộng

Các mở rộng là thông tin bổ sung có thể được đính kèm với yêu cầu cấp dấu thời gian hoặc thẻ dấu thời gian. Các mở rộng được mã hóa thành cấu trúc ASN.1 và yêu cầu xác định các OID.

Phải áp dụng các mở rộng sau, như được quy định trong TCVN 7818-1 (ISO/IEC 18014-1):

- ExtHash được xác định bởi

- ExtMethod được xác định bằng

- Gia hạn được xác định bởi

Tiêu chuẩn này không xác định các mở rộng mới.

7.3 Cơ chế bảo vệ

7.3.1  Chữ ký số sử dụng SignedData

Bên yêu cầu dấu thời gian có thể chỉ định cơ chế này bằng cách sử dụng phần mở rộng ExtMethod được quy định trong trường extensions của thông báo yêu cầu dấu thời gian, sử dụng định danh đối tượng sau:

Bên yêu cầu dấu thời gian có thể bỏ qua phần mở rộng ExtMethod nếu cơ chế cấp dấu thời gian mặc định của TSAxxxxx được biết là hệ thống chữ ký phi đối xứng sử dụng SignedData. Bên yêu cầu dấu thời gian nên bỏ qua phần mở rộng phương pháp nếu cần phải tương thích với các TSA tuân thủ IETF RFC 5816 (xem RFC 5816).

Trong cơ chế này, TSA có một cặp khóa phi đối xứng và sử dụng khóa riêng để ký số thẻ dấu thời gian. Việc xác thực phải sử dụng khóa công khai tương ứng.

TSA phải ký tất cả các thẻ dấu thời gian bằng một khóa riêng được dành riêng cho mục đích đó. Nếu một PKI đang được sử dụng sử dụng chứng thư khóa công khai X.509 v3 (xem [4]), thì chứng thư khóa công khai tương ứng cho TSA phải chỉ chứa một phiên bản của phần mở rộng trường sử dụng khóa mở rộng với KeyPurposelD có giá trị id-kp- timestamping[3]). Phần mở rộng này rất quan trọng.

Trường TimeStampToken đóng gói một thể hiện của cấu trúc kiểu SignedData như được mô tả trong TCVN 7818-1 (ISO/IEC 18014-1).

Đầu vào cho thao tác ký là giá trị của xâu octet encapContentInfo chứa giá trị được mã hóa DER của cấu trúc TSTInfo (Xem B.2 để biết thêm thông tin).

7.3.2  Mã xác thực thông điệp bằng AuthenticatedData

7.3.2.1  Quy định chung

Bên yêu cầu dấu thời gian có thể chỉ định cơ chế này bằng cách sử dụng phần mở rộng ExtMethod được quy định trong trường extensions của thông báo yêu cầu dấu thời gian, sử dụng định danh đối tượng sau:

Trong cơ chế này, TSA sử dụng khóa thuật toán MAC để liên kết kỹ thuật số thời điểm với dữ liệu được cấp dấu thời gian. Thẻ dấu thời gian được xác thực bằng thuật toán MAC. Xem Phụ lục B về các định dạng để bảo vệ dữ liệu bằng cách sử dụng cơ chế này.

Khi sử dụng cơ chế này, TSA là bắt buộc để thực hiện xác thực và TSA phải được tin cậy bởi tất cả các bên muốn dựa vào mã thời gian mà nó tạo ra, vì không có bằng chứng bên ngoài nào có thể được sử dụng để phát hiện gian lận. Khỏa thuật toán MAC được giữ bí mật bởi TSA. Khóa thuật toán MAC được sử dụng cho mỗi thẻ phải có sẵn để xác thực sau này. Khóa thuật toán MAC được sử dụng để xác thực thẻ dấu thời gian nhất định có thể dành riêng cho thẻ đó hoặc chung cho một loạt thẻ.

TimeStampToken đóng gói cấu trúc AuthenticatedData như được mô tả bên dưới.

Cấu phần receiverInfos hiện diện trong một giá trị kiểu AuthenticatedData, nhưng nó chứa một bộ giá trị trống kiểu RecipientInfo:

7.3.2.2 Tạo MAC

Thuật toán MAC liên quan đến việc tính toán mã xác thực thông điệp (MAC) trên nội dung được xác thực. Đầu vào cho quá trình tính toán MAC là giá trị của xâu octet encapContentInfo eContent, chứa giá trị được mã hóa DER của cấu trúc TSTInfo. Chỉ các bộ tám bao gồm giá trị của eContent mới được đưa vào thuật toán MAC; thẻ và độ dài bị bỏ qua.

CHÚ THÍCH: Các thuật toán MAC được tiêu chuẩn hóa trong bộ TCVN 11495 (ISO/IEC 9797)^[5].

Đầu vào cho quá trình tính toán MAC bao gồm dữ liệu đầu vào MAC được xác định ở trên và khóa thuật toán MAC. Các chi tiết của phép tính MAC phụ thuộc vào thuật toán MAC được TSA sử dụng. Định danh đối tượng, cùng với bất kỳ tham số nào, chỉ định thuật toán MAC được sử dụng được mang trong trường macAlgorithm:

7.3.2.3  Xác thực MAC

Đầu vào cho quá trình xác thực MAC bao gồm dữ liệu đầu vào như trong 7.3.2.2 và khóa thuật toán MAC được TSA sử dụng để xác thực thẻ dấu thời gian. Các chi tiết của quá trình xác thực MAC phụ thuộc vào thuật toán MAC được sử dụng. Bên xác thực dấu thời gian phải thực hiện trao đổi giao thức xác thực với TSA cấp bằng cách sử dụng kênh bảo vệ tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu.

TSA phải có sẵn để các bên thứ ba kiểm tra, theo thỏa thuận trước, để xác thực rằng các biện pháp an toàn thích hợp được áp dụng để bảo vệ nhật ký hoạt động và khóa thuật toán MAC.

7.3.3  Lưu trữ

Bên yêu cầu dấu thời gian có thể chỉ định cơ chế này bằng cách sử dụng phần mở rộng ExtMethod được quy định trong trường extensions của thông báo yêu cầu dấu thời gian, sử dụng định danh đối tượng sau:

Trong cơ chế này, TSA trả về thẻ dấu thời gian tham chiếu thông tin để liên kết dấu thời gian với dữ liệu trong thẻ dấu thời gian. TSA lưu trữ đủ thông tin cục bộ để xác thực rằng dấu thời gian là chính xác.

Các kho lưu trữ TSA có thể bao gồm các thẻ dấu thời gian sử dụng bất kỳ cơ chế nào, ví dụ: nhật ký hoạt động, nhật ký truyền tải, v.v.

Khi sử dụng cơ chế này, TSA là bắt buộc để thực hiện xác thực và TSA phải được tin cậy kỹ lưỡng vì không có bằng chứng bên ngoài nào có thể được sử dụng để phát hiện gian lận.

CHÚ THÍCH: Trong trường hợp này, TSA đang đóng vai trò của một Công chứng điện tử. Hướng dẫn về việc sử dụng và quản lý loại bên thứ ba tin cậy này trong [9].

7.3.4 Chữ ký số sử dụng SignerInfo

Bên yêu cầu dấu thời gian có thể chỉ định cơ chế này bằng cách sử dụng phần mở rộng ExtMethod được quy định trong trường extensions của thông báo yêu cầu dấu thời gian, sử dụng định danh đối tượng sau:

Trong cơ chế này, thẻ dấu thời gian là kết quả của hệ thống chữ ký phi đối xứng, như được mô tả thêm bên dưới. TSA có một cặp khóa phi đối xứng và sử dụng khóa riêng để ký số thẻ dấu thời gian. Xác thực chữ ký số phải sử dụng khóa công khai tương ứng.

TSA phải ký tất cả các thẻ dấu thời gian bằng một khóa riêng được dành riêng cho mục đích đó. Nếu một PKI đang được sử dụng sử dụng chứng thư X.509 v3 (xem [4]), chứng thư khóa công khai tương ứng cho TSA phải chỉ chứa một phiên bản của phần mở rộng trường sử dụng khóa mở rộng với KeyPurposelD có giá trị id-kp-timeStamping). Phần mở rộng này rất quan trọng.

TimeStampToken đóng gói một thể hiện của cấu trúc kiểu SignerInfo như được định nghĩa bên dưới.

Định dạng này được xây dựng như một chữ ký số theo:

a) trường content của thẻ dấu thời gian có thể được phụ thêm vào một gói dữ liệu đã ký của đối tượng được cấp dấu thời gian, cùng với các chữ ký số khác trên cùng một đối tượng,

b) chữ ký số có thể được phân tích cú pháp như vậy, và

c) bên ký là TSA.

Mục đích là cung cấp một chữ ký số bổ sung cho một mục dữ liệu, trong đó chữ ký số bổ sung này có liên quan đặc biệt đối với thời điểm tạo ra.

CHÚ THÍCH: Một số chữ ký số cấp dấu thời gian có thể được tích lũy để cung cấp mức đảm bảo cao hơn.

SignerInfo được định nghĩa[4][5]:

Phải có hai thuộc tính đã ký, ít nhất:

- thuộc tính time-stamp

- thuộc tính signing-time

Kiểu thuộc tính của thuộc tính time-stamp phải là tss-attribute:

Giá trị thuộc tính là mã hóa DER của cấu trúc TSTInto được mô tả trong 7.1.

Kiểu thuộc tính của thuộc tính signing-time phải là:

Giá trị thuộc tính signing-time có kiểu ASN.1 GeneralizedTime.

Cùng thời điểm t phải được sử dụng cho giá trị thuộc tính signing-time trong 7.3.4 và cho trường genTime trong TSTInfo.

7.4 Giao thức

Phải áp dụng các giao thức sau như quy định trong TCVN 7818-1 (ISO/IEC 18014-1):

- yêu cầu dấu thời gian;

- đáp ứng dấu thời gian;

- yêu cầu xác thực;

- đáp ứng xác thực;

Tiêu chuẩn này không xác định các giao thức mới.

 

Phụ lục A

(quy định)

Mô-đun ASN.1 để cấp dấu thời gian

Phụ lục này đưa ra các định nghĩa ASN.1 được mô tả trong phần nội dung. Cú pháp theo ISO/IEC 8824-1. Bảng A.1 trình bày ý nghĩa của các mã định danh OID và ASN.1.

Bảng A.1 - Tóm tắt các nhánh định danh đối tượng được giới thiệu hoặc mở rộng bằng mô-đun

OID	Định danh ASN.1	Ý nghĩa
1	Iso
1.0	Standard
1.0.18014	Tss	Các dịch vụ cấp dấu thời gian
1.0.18014.0	Modules	Các phần trong bộ tiêu chuẩn TCVN 7818 (ISO/IEC 18014)
1.0.18014.0.2	TimeStampingServices-2	Phần 2: Các thẻ độc lập
1.0.18014.1	tss-ext	Các mở rộng
1.0.18014.1.1	tss-ext-hash	Phần mở rộng băm
1.0.18014.1.2	tss-ext-method	Phần mở rộng cơ chế
1.0.18014.1.3	tss-ext-renewal	Gia hạn dấu thời gian
1.0.18014.2	tss-itm	Các cơ thể bảo vệ thẻ độc lập
1.0.18014.2.1	tss-itm-ds	Dữ liệu được ký
1.0.18014.2.2	tss-itm-mac	Dữ liệu được xác thực
1.0.18014.2.3	tss-itm-archive	Lưu trữ
1.0.18014.2.4	tss-itm-SignerInfo	Thông tin bên ký
1.0.18014.2.4.1	id-SignerInfo	Nội dung SignerInfo
1.0.18014.2.4.2	tss-attribute	Thông tin dấu thời gian như một thuộc tính

 

Phụ lục B

(tham khảo)

Cú pháp mật mã

B.1 Quy định chung

Cú pháp mật mã ASN.1 được tiêu chuẩn hóa trong [13] cung cấp:

- một định dạng để ký dữ liệu, bao gồm sản xuất và xác thực chữ ký số; định dạng này phù hợp với cơ chế bảo vệ được mô tả trong 7.3.1 của tiêu chuẩn này;

- một định dạng để bảo vệ dữ liệu bằng cách sử dụng mã xác thực thông điệp, bao gồm cả quá trình sản xuất và xác nhận; định dạng này phù hợp với cơ chế bảo vệ được mô tả trong 7.3.2 của tiêu chuẩn này;

- một định dạng để vận chuyển thông tin không rõ ràng; định dạng này là đủ để làm cơ chế bảo vệ được mô tả trong 7.3.3 của tiêu chuẩn này;

- một định dạng để vận chuyển thông tin của bên ký; định dạng này là đủ cho cơ chế bảo vệ được mô tả trong 7.3.4 của tiêu chuẩn này.

Định dạng cho thẻ dấu thời gian được quy định trong Phụ lục A. Chi tiết thêm được cung cấp trong B.2- B.5 dưới đây.

TCVN 7818-1 (ISO/IEC 18014-1) mô tả các định dạng ASN.1 là một tập hợp con của các định dạng được mô tả trong tiêu chuẩn này. Nó chỉ xác định định dạng được đề cập trong 7.3.1 của tiêu chuẩn này.

RFC 3161 [11] mô tả các định dạng ASN.1 tương thích với các định dạng được mô tả trong tiêu chuẩn này:

RFC 3161 chỉ xác định một phần của các định dạng được đề cập trong Điều 7.

- Tiêu chuẩn này sử dụng rộng rãi các mở rộng, được phép nhưng không được nêu chi tiết trong RFC 3161. Định dạng tương thích ngược; nghĩa là, các giá trị mặc định cho tiêu chuẩn này là các giá trị trong RFC 3161.

- Tổ chức cấp dấu thời gian tuân thủ RFC 3161 có thể không hiểu các mở rộng được trình bày trong 7.2 của tiêu chuẩn này; do đó, họ dự kiến phải áp dụng giá trị mặc định.

- Tiêu chuẩn này mở rộng các mã trạng thái liên quan đến các mã được định nghĩa trong RFC 3161.

B.2  Dữ liệu đã ký

Cấu trúc được xây dựng dưới dạng cấu trúc SignedData, như được mô tả trong TCVN 7818-1 (ISO/IEC 18014-1) và trong [13].

contentType là:

content là:

Trong đó eContentType là

B.3 Dữ liệu được xác thực

Cấu trúc được xây dựng dưới dạng cấu trúc AuthenticatedData, như được mô tả trong RFC 5652 [13].

contentType là

content là

Trong đó eContentType là

B.4 Lưu trữ

Cấu trúc được xây dựng dưới dạng cấu trúc Dữ liệu, như được mô tả trong RFC 5652 [13].

contentType là:

và content là mã hóa DER của cấu trúc dữ liệu TSTInfo.

B.5  SignerInfo

Cấu trúc được xây dựng dưới dạng cấu trúc SignerInfo, như được-mô tả trong RFC 5652 [13].

contentType là

Thẻ dấu thời gian khớp với cú pháp sau[6][7]:

Phải có hai thuộc tính đã ký, ít nhất là:

- thuộc tính time-stamp

- thuộc tính signing-time

Kiểu thuộc tính của thuộc tính time-stamp phải là tss-attribute:

Giá trị thuộc tính là mã hóa DER của TSTInfo.

Kiểu thuộc tính của thuộc tính signing-time phải là:

Giá trị thuộc tính signing-time có kiểu ASN.1 GeneralizedTime.

Cùng một thời điểm t phải được sử dụng cho giá trị thuộc tính signing-time trong điều khoản này và cho trường genTime trong TSTInfo.

 

Phụ lục C

(tham khảo)

Một số yêu cầu đối với dịch vụ cấp dấu thời gian

C1. Tài liệu cần thiết sử dụng cấp dấu thời gian Timestamp

Sử dụng chữ ký số là phương thức tin cậy giúp định danh, xác thực chính xác người ký, đảm bảo tính toàn vẹn và chống chối bỏ tài liệu điện tử.

Tuy nhiên, đối với những tài liệu nhạy cảm về thời gian và tính hiệu lực của chữ ký số tại thời điểm ký, chỉ sử dụng ký số thông thường vẫn tồn tại nhiều rủi ro. Bởi khi ký số thông thường, thời gian ký số là thời gian hiển thị của thiết bị hoặc server ký số, có thể thay đổi dễ dàng, dẫn đến việc chứng minh mốc thời gian tài liệu có hiệu lực rất khó khăn. Các tổ chức, cá nhân có thể lợi dụng việc chỉnh sửa thời gian này để tạo ra những phiên bản tài liệu khác nhau nhằm mục đích gian lận, giả mạo.

Đặc biệt là khi chứng thư số hết hạn thì chúng ta sẽ mất căn cứ để xác minh thời gian ký, không thể kiểm tra hiệu lực của chứng thư số tại thời điểm ký cũng như tính toàn vẹn dữ liệu, khiến tài liệu trờ nên mất giá trị pháp lý và khả năng trở thành bằng chứng.

Vì thế, ký số đóng dấu thời gian Timestamp ra đời để thực hiện việc gắn thông tin về ngày, tháng, năm và thời gian tin cậy (cung cấp bởi các tổ chức cung cấp dịch vụ chữ ký số công cộng được cấp phép) vào thông điệp dữ liệu, nhằm xác thực sự tồn tại của dữ liệu tại một mốc thời gian nhất định và đảm bảo sự toàn vẹn dữ liệu trong quá trình vận chuyển, lưu trữ.

Hệ thống đóng dấu thời gian timestamp xây dựng dựa trên nền tảng PKI tiên tiến nhất hiện nay, bất cứ thay đổi, sửa xóa đối với dữ liệu được đóng dấu thời gian đều bị phát hiện, đổng thời được kết nối trực tiếp với đồng hồ Nguyên tử Quốc gia của Viện đo lường: chống chối bỏ, phủ nhận giá trị thời gian.

Những tài liệu đặc biệt nhạy cảm về tính hợp pháp của chữ ký số tại thời điểm ký và các tài liệu nhạy cảm về thời gian: các tài liệu sở hữu trí tuệ, chứng nhận bản quyền; tất cả các tài liệu cần lưu trữ điện tử lâu dài theo quy định hiện hành có thời hạn lưu trữ trên 3 năm đều cần được ký cấp dấu thời gian Timestamp.

Trong hoạt động tài chính, ký số cấp dấu thời gian được khuyến khích sử dụng đối với hầu hết các tài liệu điện tử, đặc biệt là các loại chứng từ mà thời gian khởi tạo hoặc xử lý chứng từ bj ràng buộc bởi các văn bản quy phạm pháp luật chuyên ngành hoặc có thể gây tranh chấp về lợi ích, pháp lý giữa các bên tham gia giao dịch.

Những tài liệu cơ bản cần ký số cấp dấu thời gian trong các lĩnh vực bao gồm:

1. Tài chính - Ngân hàng

- Giao dịch ngân hàng;

- Sao kê tài khoản;

- Chứng từ điện tử;

- Hợp đồng điện tử;

- Giao dịch tài chính;

- Nhật ký giao dịch;

- Báo cáo tài chính năm;

- Hợp đồng điện tử.

2. Bảo hiểm

- Hóa đơn điện tử;

- Chứng chỉ điện tử;

- Hợp đồng điện tử.

3. Y tế

- Hồ sơ bệnh án điện tử;

- Giấy đăng ký cấp phép hành nghề;

- Chứng từ điện tử;

- Phiếu thu điện tử;

- Tờ khai điện tử;

- Hợp đồng điện tử.

4. Truyền hình - Viễn thông

- Giấy chứng nhận bản quyền tác giả;

- Giấy chứng nhận sở hữu trí tuệ;

- Hợp đồng điện tử.

5. Các tài liệu khác

- Các tài liệu nhạy cảm về thời gian: các tài liệu sở hữu trí tuệ, chứng nhận bản quyền,...

- Tất cả các tài liệu cần lưu trữ điện tử lâu dài theo quy định hiện hành.

C2. Dịch vụ cấp dấu thời gian trong các giao dịch điện tử

C.2.1 Dịch vụ tin cậy bao gồm:

a) Dịch vụ cấp dấu thời gian;

b) Dịch vụ chứng thực thông điệp dữ liệu;

c) Dịch vụ chứng thực chữ ký số công cộng.

C.2.2  Dịch vụ cấp dấu thời gian:

- Dịch vụ cấp dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu.

- Dấu thời gian được tạo ra dưới dạng chữ ký số.

- Thời gian được gắn vào thông điệp dữ liệu là thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian.

- Nguồn thời gian của tổ chức cung cấp dịch vụ cấp dấu thời gian phải theo quy định hiện hành về nguồn thời gian chuẩn quốc gia.

 

Thư mục tài liệu tham khảo

[1] TCVN 9696-2:2013 (ISO 7498-2:1989), Công nghệ thông tin - Liên kết hệ thống mở - Mô hình tham chiếu cơ sở - Phần 2: Kiến trúc an ninh;

[2] ISO/IEC 8824 (all parts), Information technology - Abstract Syntax Notation One (ASN.1): Information object specification;

[3] ISO/IEC 8825-1, Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER);

[4] ISO/IEC 9594-8, Information technology - Open Systems Interconnection - The Directory - Part 8: Public-key and attribute certificate frameworks;

[5] TCVN 11495 (ISO/IEC 9797) (tất cả các phần), Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác thực thông điệp (MAC);

[6] TCVN 11817-1:2017 (ISO/IEC 9798-1:2010), Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực thực thể - Phần 1: Tổng quan;

[7] TCVN 11816 (ISO/IEC 10118) (tất cả các phần), Công nghệ thông tin - Các kỹ thuật an toàn- Hàm băm;

[8] ISO/IEC 11770-1:2010[8], Information technology - Security techniques - Key management -Part 1: Framework;

[9] ISO/IEC/TR 14516:2002, Information technology - Security techniques - Guidelines for the use and management of Trusted Third Party services;

[10] TCVN 7818-3 (ISO/IEC 18014-3), Công nghệ thông tin - Các kỹ thuật an toàn - Dịch vụ cấp dấu thời gian - Phần 3: Cơ chế tạo thẻ được liên kết;

[11] RFC 3161, Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP), August 2001;

[12] RFC 5280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, May 2008;

[13] RFC 5652, Cryptographic Message Syntax (CMS), September 2009;

[14] RFC 5816, ESSCertIDv2 update for RFC 3161, March 2010;

 

Mục lục

Lời nói đầu

Lời giới thiệu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4 Ký hiệu và chữ viết tắt

5 Thẻ dấu thời gian

5.1 Nội dung

5.2 Quá trình tạo

5.3 Quá trình xác thực

5.4 Quá trình gia hạn

5.5 Quá trình xác thực gia hạn

6 Cơ chế bảo vệ

7 Thẻ dấu thời gian độc lập

7.1 Cấu trúc lõi

7.2 Các mở rộng

7.3 Cơ chế bảo vệ

7.4 Giao thức

Phụ lục A (quy định) Mô-đun ASN.1 để cấp dấu thời gian

Phụ lục B (tham khảo) Cú pháp mật mã

B.1 Quy định chung

B.2 Dữ liệu đã ký

B.3 Dữ liệu được xác thực

B.4 Lưu trữ

B.5 SignerInfo

Phụ lục C (tham khảo) Một số yêu cầu đối với dịch vụ cấp dấu thời gian

C1. Tài liệu cần thiết sử dụng cấp dấu thời gian Timestamp

C2. Dịch vụ cấp dấu thời gian trong các giao dịch điện tử

Thư mục tài liệu tham khảo