Scenario 8.3: Timestamp
Categoria: Firme digitali
Complessità: Media
Prerequisiti: Firma presente, accesso TSA
Tempo stimato: 10-15 minuti
Descrizione
Questo scenario descrive l'aggiunta di timestamp alle firme digitali (RFC 3161). I timestamp dimostrano che una firma esisteva in un determinato momento e consentono:
- Validazione a lungo termine - La firma rimane valida dopo la scadenza del certificato
- Dimostrabilità - Momento esatto della firma documentato
- Conformità - Richiesto per firme qualificate eIDAS
Concetto:
- L'hash della firma viene inviato alla Timestamp Authority (TSA)
- La TSA firma l'hash con indicazione temporale
- Il Timestamp-Token viene allegato alla firma
Workflow
flowchart LR
SIG[Firma] --> HASH[Hash della firma]
HASH --> REQ[Richiesta TSA]
REQ -->|HTTP POST| TSA[Timestamp Authority]
TSA --> TOKEN[Timestamp Token]
TOKEN --> ATTACH[Allegare alla firma]
ATTACH --> OUTPUT[Firma con timestamp]
style TSA fill:#e8f5e9
style OUTPUT fill:#e3f2fd
Esempio codice: Richiesta Timestamp RFC 3161
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ; using System.Security.Cryptography; using System.Security.Cryptography.Pkcs; using var ctx = PqCryptoContext.Initialize(); // Caricare firma var signature = File.ReadAllBytes("document.sig"); // Calcolare hash della firma var signatureHash = SHA256.HashData(signature); // Creare richiesta Timestamp (RFC 3161) var tsRequest = new Rfc3161TimestampRequest( messageHash: signatureHash, hashAlgorithm: HashAlgorithmName.SHA256, requestedPolicyId: null, // Policy predefinita nonce: GenerateNonce(), requestSignerCertificates: true ); // Inviare richiesta alla TSA using var http = new HttpClient(); var content = new ByteArrayContent(tsRequest.Encode()); content.Headers.ContentType = new MediaTypeHeaderValue("application/timestamp-query"); var response = await http.PostAsync("http://timestamp.digicert.com", content); var tsResponseBytes = await response.Content.ReadAsByteArrayAsync(); // Analizzare risposta var tsResponse = Rfc3161TimestampToken.Decode(tsResponseBytes, out int bytesConsumed); // Validare if (!tsResponse.VerifySignatureForHash(signatureHash, HashAlgorithmName.SHA256, out var signerCert, null)) { throw new CryptographicException("Firma timestamp non valida"); } // Salvare token File.WriteAllBytes("document.sig.tst", tsResponse.AsSignedCms().Encode()); Console.WriteLine("Timestamp ricevuto:"); Console.WriteLine($" Ora: {tsResponse.TokenInfo.Timestamp}"); Console.WriteLine($" TSA: {signerCert.Subject}"); Console.WriteLine($" Policy: {tsResponse.TokenInfo.PolicyId}");
Esempio codice: Aggiungere timestamp a firma CMS
public class TimestampService { private readonly string _tsaUrl; private readonly HttpClient _http; public TimestampService(string tsaUrl) { _tsaUrl = tsaUrl; _http = new HttpClient { Timeout = TimeSpan.FromSeconds(30) }; } public async Task<SignedCms> AddTimestamp(SignedCms signedCms) { foreach (var signerInfo in signedCms.SignerInfos) { // Hash firma per timestamp var signatureHash = SHA256.HashData(signerInfo.GetSignature()); // Richiesta timestamp var tsRequest = new Rfc3161TimestampRequest( signatureHash, HashAlgorithmName.SHA256, requestedPolicyId: null, nonce: GenerateNonce(), requestSignerCertificates: true ); // Inviare alla TSA var content = new ByteArrayContent(tsRequest.Encode()); content.Headers.ContentType = new MediaTypeHeaderValue("application/timestamp-query"); var response = await _http.PostAsync(_tsaUrl, content); response.EnsureSuccessStatusCode(); var tsResponseBytes = await response.Content.ReadAsByteArrayAsync(); var tsToken = Rfc3161TimestampToken.Decode(tsResponseBytes, out _); // Aggiungere come Unsigned Attribute var timestampAttr = new AsnEncodedData( new Oid("1.2.840.113549.1.9.16.2.14"), // id-aa-timeStampToken tsToken.AsSignedCms().Encode() ); signerInfo.AddUnsignedAttribute(timestampAttr); } return signedCms; } private byte[] GenerateNonce() { var nonce = new byte[8]; RandomNumberGenerator.Fill(nonce); return nonce; } }
Validare Timestamp-Token
public class TimestampValidator { public TimestampValidationResult Validate( byte[] timestampToken, byte[] originalSignature, X509Certificate2Collection? trustedTsaCerts = null) { var result = new TimestampValidationResult(); try { var tsToken = Rfc3161TimestampToken.Decode(timestampToken, out _); result.Timestamp = tsToken.TokenInfo.Timestamp; result.PolicyId = tsToken.TokenInfo.PolicyId?.Value; // Verificare hash var expectedHash = SHA256.HashData(originalSignature); if (!tsToken.TokenInfo.GetMessageHash().ReadOnlySpan.SequenceEqual(expectedHash)) { result.IsValid = false; result.Error = "Hash non corrisponde"; return result; } // Verificare firma if (!tsToken.VerifySignatureForHash(expectedHash, HashAlgorithmName.SHA256, out var tsaCert, trustedTsaCerts)) { result.IsValid = false; result.Error = "Firma TSA non valida"; return result; } result.TsaCertificate = tsaCert; // Verificare catena certificati TSA var chain = new X509Chain(); chain.ChainPolicy.RevocationMode = X509RevocationMode.Online; if (trustedTsaCerts != null) { chain.ChainPolicy.CustomTrustStore.AddRange(trustedTsaCerts); chain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust; } result.IsValid = chain.Build(tsaCert); if (!result.IsValid) { result.Error = "Catena certificati TSA non valida"; } } catch (Exception ex) { result.IsValid = false; result.Error = ex.Message; } return result; } } public class TimestampValidationResult { public bool IsValid { get; set; } public DateTimeOffset? Timestamp { get; set; } public string? PolicyId { get; set; } public X509Certificate2? TsaCertificate { get; set; } public string? Error { get; set; } }
Timestamp Authorities (TSA)
| Fornitore | URL | Qualificato (eIDAS) |
|---|---|---|
| DigiCert | http://timestamp.digicert.com | No |
| Sectigo | http://timestamp.sectigo.com | No |
| GlobalSign | http://timestamp.globalsign.com | No |
| D-TRUST | http://zeitstempel.2.1.3.bundesdruckerei.de | Si |
| SwissSign | http://tsa.swisscom.com/tsa | Si |
| Bundesdruckerei | http://ts.2.bundesdruckerei.de | Si |
eIDAS: Per firme elettroniche qualificate è richiesta una TSA qualificata.
Archiviazione a lungo termine (LTA)
public class LongTermArchive { public async Task ExtendValidation( SignedCms signedCms, string tsaUrl, X509Certificate2Collection validationData) { // 1. Incorporare dati di validazione (certificati, CRL, OCSP) AddValidationData(signedCms, validationData); // 2. Aggiungere Archive Timestamp var timestampService = new TimestampService(tsaUrl); await timestampService.AddArchiveTimestamp(signedCms); // Questo processo può essere ripetuto periodicamente // per mantenere la firma validabile a lungo termine } }
Requisiti specifici per settore
| Applicazione | Timestamp richiesto? | Qualificato? |
|---|---|---|
| Code Signing | Obbligatorio | No |
| eIDAS QES | Obbligatorio | Si |
| Archiviazione PDF/A | Raccomandato | Secondo requisiti |
| S/MIME | Opzionale | No |
| Sanità | Obbligatorio | Secondo paese |
Scenari correlati
| Relazione | Scenario | Descrizione |
|---|---|---|
| Prerequisito | 8.1 Firmare documento | Creare firma |
| Prerequisito | 8.2 Firmare codice | Firma codice |
| Passo successivo | 8.4 Verificare firma | Validazione |
« ← 8.2 Firmare codice | ↑ Panoramica firme | 8.4 Verificare firma → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: il 30/01/2026 alle 06:55
