manipulacija datuma digitalnega podpisa

Je še kdo drug ugotovil, da če spremeniš datum in čas na računalniku, potem digitalno potrdilo (npr. sigenca) vzame spremenjeni datum in čas? Tako da je popolnoma zlahka izvedljivo kak .pdf podpisati za nazaj - digitalno potrdilo izkazuje, da je .pdf veljavno in pravilno podpisan recimo pred dvema letoma, čeprav sem ga podpisal danes.

Tako bi se lahko lepo koga okrog prineslo.

Res pa je, da tudi pri ročnem podpisu lahko napišem karkoli hočem pri "Datum" in "Podpis". In se tudi ne da dokazati, da je bil "1.1.2016" z roko napisan danes, ne takrat.

Zato se pa, kadar je čas podpisa pomemben, uporabljajo "trusted timestamping" rešitve.

V praksi sicer to ni preveč razširjeno, saj je čas podpisa le zelo redko pomemben. V poslovnem prometu je praviloma ključen trenutek, ko naslovnik prejme sporočilo. V obeh primerih, ko je trenutek podpisa oz. oddaje sporočila, ali pa trenutek prejema sporočila, res pomemben, se uporablja kar pošta (oz. vročanje z detektivi, ali pa vročanje proti potrditvi prejema). V primerih, ko pa trenutek podpisa lahko vpliva tudi na pravice tretjih oseb (npr. v izvršbi :)), pa se praviloma zahteva overitev pri notarju.

Skratka - s tehničnega vidika problem, ki ga omenjaš, obstaja. S praktičnega vidika (potreb gospodarstva) pa ne gre za kak hud problem :).

Vanquish: "Kaj je točno tvoja poanta?"
Ziga Dolhar: "S tehničnega vidika problem obstaja."

No, poanta je, da bi morali izdajatelji potrdil preprečiti kaj takega? To, da lahko jaz samo s spremembo datuma v Win na nek .pdf namestim veljaven digitalni podpis, za katerega sigen-ca popolnoma brez zadržkov jamči, da je bil podpisan pred par leti, dejansko pa danes, je vseeno malo nenavadno.

Ne, tudi datum jamči:

jamči, da si to ti podpisal in/ali da se vsebina ni vmes spremenila. Kaj si ti za en datum notri vpisal in ali je ta čas res pravi ob podpisu, pa ne jamči.

+1 @ Vanquish in Wrop. Z digitalnim podpisom se potrjuje identiteta podpisnika.

Ampak še enkrat: v pravnem prometu je trenutek podpisa zelo zelo redko pomemben. Praviloma je pomembno, kdaj ti določeno izjavo (npr. na podpisani listini) "podaš" svoji nasprotni stranki. Šele takrat namreč učinkuje, ne pa s trenutkom, ko si jo podpisal.

Res je, tudi ročno se lahko datum seveda potvori. Mislim samo, da bi lahko elektronski podpis manipulacijo datuma preprečil, pa je (še) ne.

Ziga Dolhar je 4. avg 2020 ob 10:56 izjavil:

+1 @ Vanquish in Wrop. Z digitalnim podpisom se potrjuje identiteta podpisnika.

Ampak še enkrat: v pravnem prometu je trenutek podpisa zelo zelo redko pomemben. Praviloma je pomembno, kdaj ti določeno izjavo (npr. na podpisani listini) "podaš" svoji nasprotni stranki. Šele takrat namreč učinkuje, ne pa s trenutkom, ko si jo podpisal.

Trenutek podpisa ni pomemben, ker ni tehnologije, kjer bi lahko z gotovostjo dolocili trenutek podpisa. Ne pa, ker to ni potencialno koristna informacija.

Nič drugače ni kot pri vseh dokumentih. Če je datum pomemben moraš prek notarja(CA servisa). Sicer lahko podpisuješ sam, ampak temu noben ne zaupa.

solatko je 4. avg 2020 ob 19:47 izjavil:

Malcolm_Y - Zakaj sprašuješ na forumu, kaj ne znaš narediti preizkusa - spremeni datum in poizkusi podpisat, potem pa poročaj.

Sem poskusil in deluje, to me bega. Da je tako simpl.

The time stamp acts as a locking mechanism for both the signer's identity and the document itself. Identity can be established in a number of ways (certificate, logon, id card ...) but the time stamp has to be provided by a trusted and authorized time stamping authority (TSA). TSAs are for profit companies that provide their services to clients like Adobe through PKI infrastructure. Adobe configures time stamps at the application level, at the shard level and at the account level.

Stvari so dobro definirane.in tudi piše da je dokument lokalno poštempljan ne pa prek ca-tsa.