虹科新品發布——TSA HSM時間戳服務器

世界最快的加密時間戳設備-在任何可能造成財務影響或涉及人民安全的地方，或當工業4.0自動化按法律的規定執行功能時，合格的時間戳的重要性不亞于同步，因為它提供了事件的加密不可否認。

主要參數：

HSM內部

符合RFC3161標準

FIPS 140-2 3級 4級

RSA 4096比特

X509 PKCS#11 PKCS#7

SHA-256, SHA-2 MD5

合格的時間(UTC)參考

Elproma TSA 確保時間戳的防篡改創建和真實性。它是需要證明文檔或數據在特定時間點的存在和狀態的業務應用程序的理想硬件安全模塊(HSM)網絡設備。時間戳服務器(TSA)確保時間戳數據對于這些和類似的應用是真實的。時間戳能夠隨時驗證，帶時間戳的數據是否與時間戳記錄的時間點上的形式完全一樣。除此之外，時間戳(如果存在的時間比TSA長)仍然能夠在沒有TSA驗證數據(文檔文件或數據流)的情況下被驗證：

1) 原創性– 文件，視頻流，圖片等

2) 完整性– 從數據被竊取時說什么也都沒用

3) 年表的不可否認性– 證明存在歷史的瞬間

TSA的應用領域

長期的文件歸檔

電子認證/電子簽名

招投標電子平臺

稅務局***

公證和法律***

彩票、***和游戲

區塊鏈/代幣智能合約

新的加密貨幣系統，有限的花錢時間

醫藥生產標簽

疫苗的全球分銷

食品、化學、水的全球分銷。

合格時間的重要性不亞于TSA使用的RSA算法的力量。目前，來自GNSS的時間非常容易被操縱，在時間戳中提供虛假的日期和時間。

當今時間同步存在問題

合格的時間和GNSS的問題

今天，GPS 衛星信號仍然是最常見的時間來源。自1995年以來，民用工業逐漸采用GPS或其他基于GNSS的解決方案。隨著時間的推移，IT行業擁有越來越多的衛星接收器，它們經常相互干擾(由于有源天線)。管理如此多的衛星接收器也變得很困難。首先出現了基于GPS同步異常的現象，導致IT系統出現故障。在越來越多的情況下，事實證明，由兩個或多個獨立的GPS接收器同步的相關IT系統出現時間差異，因此提供了不同的RFC3161時 間戳。這就造成了非常嚴重的問題。

GNSS的干擾/欺騙性攻擊

除此之外，除了歐洲的GALILEO，其他所有的GNSS系統(GPS, GLONASS,BEIDOU, IRNSS)都是軍事系統，根據地緣政治局勢，不能保證接收到它們的信號。從GNSS收到的數據也可以很容易被操縱，從地球上制造虛假的發射。這就是所謂的欺騙。人們還可以干擾原始的衛星信號，這被稱為干擾，或者故意延遲再重傳(這就是它與干擾或信號反射的不同之處)，即所謂的模擬干擾(meaconing)。今天，行業的GNSS信號非常容易收到這種操縱和故意的網絡攻擊。對整個工業基礎設施和對各國至關重要的基礎設施的攻擊也越來越多。

如今，同步與網絡安全密切相關

因為與入侵內部網絡相比，通過遠程破壞同步過程來破壞整個IT架構的工作更加簡單。如果系統易受其影響，那么剩下的破壞實際上就會隨著而來。時間操縱可能會擾亂任何系統日志中記錄的時間的業務、合同和時間順序。在這種情況下，就會不可挽回地失去分析錯誤和確定故障的原因的機會，這就為黑客提供了理想的條件，轉移了對故障背后真正的攻擊原因的注意力。如今，整個網絡安全模式已經改變，“時間同步攻擊”和“時間延遲攻擊”類的黑客攻擊對于高度自動化、依賴GNSS的行業來說是最有可能和最危險的。

時間戳實現理論

時間戳操作理論

任何數據的合格時間戳RFC3161過程都從客戶端開始，客戶端在其基礎上形成一個[HASH]指紋，這是一個唯一的字節序列，用于“不可否認”的識別原始數據。指紋HASH的計算使用許多可用數學函數中的一個來執行;例如，SHA-256 或SHA-512 等。從現在開始，任何改變，即使是原始數據中的一個比特位的信息，都需要從一開始就開始操作。這就是所謂的“密封”信息，它是公認的數據屬性完整性的功能的一部分。因此，在收到TSA (時間戳機構) 服務器發回的完整的RFC3161時間戳之前，原始客戶端數據應保持不受干擾的原始形式等待。

[HASH]指紋被附加信息擴展，并通過網絡發送到TSA 服務器。發送的數據流長度大約為500字節。它是使用HTTPS協議發送。在收到來自TSA客戶端帶有[HASH]指紋的請求后，TSA服務器對收到的數據進行補充，增加有關參考UTC日期和時間的信息[TIME]. 為了保證合格的時間戳，參考UTC應得到國家計量院(NMI) 的支持，使用經過認證的NTP或IEEE1588協議。在一些限制條件下，參考UTC時間也可以從GNSS衛星上獲得。根據US指令EO13905, GPS一直處于干擾和欺騙攻擊的風險中，因此使用它來同步關鍵基礎設施需要再次追蹤到NMI的UTC。下一步TSA添加帶有公鑰[CERT] 和其他額外的[DATA]證書，并計算出準備好的反應的新指紋[HASH”] 。最后，TSA從內部HSM(硬件安全模塊)讀取一個PRIVATE密鑰，并對所有準備好的數據[HASH] + [TIME] + [CERT] + [DATA] + [HASH”]進行電子簽名，創建合格的時間戳。結果通過網絡發回給客戶端。結果大約有1500字節，由客戶端作為一個單獨的文件與原始數據文件一起存儲。

時間戳驗證理論

時間戳驗證過程可以在任何時候執行，甚至在多年之后，而且驗證不需要TSA服務器。為了驗證，需要原始文檔(文件、圖片、視頻)和包含證書及公鑰的時間戳文件。驗證過程包括測試TSA的身份(認證)和時間戳數據的完整性。它是通過使用證書[CERT].中包含的TSA公鑰來完成的。

獨立地，客戶端從存儲的原始時間戳數據中計算(重新計算)[HASH’]指紋。如果它與檢索到(先前發送的) 的[HASH”]相匹配，則TSA認證和時間戳數據的完整性得到保留和可靠。否則，就會返回一個錯誤ERROR DATA INTEGRITY”。

最后，需要檢查驗證的時間戳是否是指原始數據(文件),這基本上是驗證過程的主題。因此，客戶端根據原始數據(文件)的存檔、未更改的副本重新計算新的[HASH’]主要指紋代碼，并將結果與從時間戳中獲取的[HASH] 代碼相比較。只有這種匹配才能確保時間戳和原始文件的相互對應。通過這種方式，基于PKI屬性、TSA認證、時間戳完整性、由時間戳可靠地指定的歷史時刻文檔以給定形式存在的不可否認性，實現了完整的驗證。

時間戳服務器技術規格

性能

每天400萬個加密時間戳(365天24/7小時持續運行)

在負載峰值時，每秒鐘最大100個加密時間戳

1GbE以太網(出廠默認) 2x接口標準

提供10GbE, 25GbE, 40GbE, 100GbE NIC可選項

協議

RFC 3161時間戳協議通過HTTP/HTTPS, TCP IPv4 & IPv6網絡協議

PTP IEEE1588, NTP SNTP, Chrony同步協議，帶MD5認證

算法

RSA, 密鑰長度為2048, 4096,和可選的高達8192* 位

Hash算法SHA-1, SHA-256, SHA-512, MD5

證書

X509 PKCS#11和PKCS#7時間戳服務器證書支持

安全性

集成硬件安全模塊HSM

FIPS 140-2 Level 3

FIPS 140-2 Level 4

符合ETSI規范TS102023

合格時間支持

UTC可追溯到國家計量院

UTC來自ELPROMA NTS-5000銣原子或銫原子鐘

DEMETRA* TSI#2 審計 &驗證設施(可選項)

機械

1U rack’19標準機架

提供冗余電源100-240 VAC (最小功率60W最大功率300W*)

操作溫度 +10℃ to +50℃ (存儲溫度 -10℃ to +60℃)

濕度最高可達95%

MTBF 300,000小時，在25℃時

原文標題：【虹科新品】TSA HSM時間戳服務器——不可否認的合格時間

文章出處：【微信公眾號：廣州虹科電子科技有限公司】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅