Selos Temporais – Guia de Utilização e de Preços

Quando a data e a hora de um evento são gravadas, dizemos que tem um Selo Temporal (carimbo de data / hora). Uma câmara digital regista a hora e a data de uma foto  tirada, um computador regista a hora e a data de um documento que foi guardado e editado. Um artigo colocado num meio de comunicação social pode ter data e hora gravadas. Todos esses são exemplos de carimbo de data / hora.

Os Selos Temporais são Importantes?

Os Selos de Tempo são importantes para manter registos de quando a informação está a ser trocada, criada ou eliminada online. Em muitos casos, estes registos são simplesmente úteis ao nosso conhecimento. Mas em alguns casos, uma hora de tempo é mais valiosa.

Imagine este cenário: A sua organização assina eletronicamente um acordo legal ou a NDA com outra organização ou empreiteiro. Mais tarde, descobriu-se que o empreiteiro divulgou informações sobre o projeto ao abrigo do qual a NDA foi assinada. O empreiteiro contesta a NDA, argumentando que a informação foi partilhada antes da assinatura da NDA. Saber quando esse documento foi realmente assinado é essencial aqui.

 

Num ambiente legal como este, não basta ter uma marca de tempo. Se o seu argumento se resume a quando a NDA foi assinada, precisa de ser capaz de provar que o cartão de assinatura é válido, o que diz que o documento foi assinado quando foi realmente assinado. Os carimbos de tempo que dependem dos relógios do sistema não são suficientes porque não é difícil alterar a data e a hora localmente numa máquina. Além disso, existem uma variedade de ferramentas online que lhe permitirão alterar a data de modificação, criação e último acesso de um documento ou PDF. Então, como sabemos se podemos confiar na hora?

O que é um Selo Temporal confiável?

É aqui que entra a marca de tempo “confiável”. Estes tipos de Carimbos de Tempo são gerados por um terceiro de confiança que utiliza hardware seguro compatível com fips, pelo que não estão sujeitos a manipulação por um utilizador local. A estada de tempo fiável significa que pode dizer com alto nível de certeza que a data no timetamp é precisa e não foi adulterada.

O RFC 3161 descreve os requisitos que um terceiro deve cumprir para operar como Uma Autoridade de Registo de Data e Hora (TSA).

Como funcionam os Selos Temporais?

Os TSAs usam a tecnologia Public Key Infrastructure (PKI) para aplicar Selos Temporais. Aqui está um resumo de alto nível das etapas envolvidas.

  1. O aplicativo cliente cria um valor em hash (como um identificador exclusivo dos dados ou arquivo que precisa ter um carimbo de data / hora) e o envia ao TSA.
  2. A partir de agora, qualquer alteração (mesmo por um único bit de informação) no arquivo original exigirá a comunicação das alterações com o servidor TSA.
  3. O TSA combina o hash e outras informações, incluindo a hora oficial. O resultado é assinado digitalmente com a chave privada do TSA, criando um token de carimbo de data / hora que é enviado de volta ao cliente. O token de carimbo de data / hora contém as informações de que o aplicativo cliente precisará para verificar o carimbo de data / hora posteriormente.
  4. O token de carimbo de data / hora é recebido pelo aplicativo cliente e registrado no documento ou assinatura de código.

Quando os dados ou ficheiros de marca de tempo resultantes são abertos no futuro, a aplicação do cliente utilizará a chave pública TSA para autenticar a TSA (isto é, validar se a marca de tempo veio de uma TSA fidedigna) e recalcular um haxixe dos dados originais. Este novo haxixe é comparado com o haxixe originalmente criado (passo 1 acima). Se tiver sido feita qualquer alteração aos dados desde a aplicação timetamp, esta verificação de haxixe falha e serão mostradas mensagens de aviso indicando que os dados foram alterados e não são fiáveis.

O que é timestamping

Para quais tipos de transações os Selos Temporais são mais comumente usados?

Os Selos Temporais confiáveis ​​adicionam segurança extra às assinaturas eletrônicas, assinaturas digitais e código.

Documentos de assinatura eletrónica

As assinaturas electrónicas estão a ser rapidamente adotadas globalmente e em várias indústrias; todavia, para que uma assinatura electrónica tenha o mesmo valor juridicamente vinculativo que uma assinatura de tinta molhada, deve satisfazer os requisitos da lei, incluindo os requisitos de conformidade e de auditoria.

Os destinatários dos documentos podem verificar quando o documento foi assinado eletronicamente, bem como verificar se o documento não foi alterado após a data garantida pelo calendário. Ao usar a marca de tempo, as organizações podem proteger a sua propriedade intelectual e usar os Time Stamps como fortes provas legais auditáveis.

Documentos de assinatura digital

Existem duas razões principais para incluir um relógio de confiança quando se assina digitalmente um documento – garantindo validação a longo prazo (LTV) da assinatura e adicionando não-repúdio ou confiança ao momento em que a assinatura foi efetivamente aplicada.

Nota: Parte do processo de verificação da assinatura digital envolve uma verificação de integridade do conteúdo, por isso, enquanto um calendário também oferece este benefício (sabendo que o documento não mudou desde que a assinatura foi aplicada), não é um fator importante porque é com assinaturas eletrónicas.

Validação de longo prazo (LTV)

LTV significa que pode confirmar que a subscrição era válida no momento em que foi aplicada, independentemente do estado do certificado no momento atual (isto é, se expirou ou foi revogada). Por exemplo, se eu assinar um documento hoje com um certificado válido e um cartão de tempo fidedigno, mas o meu certificado é revogado ou expira em dois meses, o meu documento assinado ainda deve ser válido em qualquer momento depois disso.

Dependendo do programa que utiliza para aplicar a assinatura, poderá ter de incluir um timetamp de confiança com a sua subscrição para obter o LTV. Nestes casos, a marca de tempo é utilizada como ponto de referência para verificar a validade da assinatura. Se o programa notar que o estado do certificado atual foi revogado ou caducado, mas a assinatura foi aplicada antes da revogação ou expiração, mostrará a assinatura como ainda válida.

A maioria dos programas requer um carimbo de data / hora confiável de terceiros para isso; usar o relógio do sistema do seu computador não é confiável, pois pode ser manipulado.

Os programas do Microsoft Office e as versões Adobe 6, 7 e 8 requerem um tempotampício para LTV. O Adobe 9+ incorpora informações de revogação (CRL ou OCSP) no momento da assinatura, que alcança o mesmo objetivo de verificar a validade do certificado quando a assinatura é aplicada, pelo que não é necessária uma marca de tempo para a LTV.

Adicionando confiança em torno da data e hora em que o documento foi assinado

Como o exemplo do início do post destacou, por vezes é preciso saber, com um elevado grau de confiança, quando um documento foi efetivamente assinado. Isto é especialmente crítico para cenários que envolvem transações urgentes e pistas de auditoria.

Os Selos de Tempo Fidedignos suportam estes cenários porque são aplicados utilizando fontes de Tempo Universal (UTC) verificadas de forma independente e auditáveis. Isto significa que não estão sujeitos a adulteração como um relógio do sistema local, por isso, sabe ao certo quando foi aplicada uma assinatura.

 

Código de assinatura digital

Como mencionado acima, as assinaturas digitais precisam que a LTV permaneça válida apesar de uma futura alteração de estado (por exemplo, expiração ou revogação). Para assinar o código, isto é conseguido adicionando uma estamp de tempo fiável.

Sem uma marca de tempo, as assinaturas caducarão ou invalidarão quando o certificado expirar ou for revogado, e os utilizadores finais verão mensagens de aviso assustadoras de que não devem confiar no código. Com uma marca de tempo (e LTV), a assinatura continuará a ser confiável porque o certificado de assinatura era válido quando a assinatura foi aplicada.

 

Onde Posso Comprar Selos Temporais?

Aceites por todas as Plataformas Eletrónicas de Compras Públicas

Os Selos Temporais estão de acordo com:

  • Regulamento (UE) nº 910/2014 do Parlamento e do Conselho Europeu – define o requisito dos Estados Membros da UE serem obrigados a manter uma Lista de Confiança com as CAs qualificadas
  • Regulamento de Execução (UE) 2015/1501 da Comissão – define o formato e dados a constar na lista de confiança
  • Decreto-Lei nº 88/2009 – nomeação do organismo em Portugal responsável por manter, atualizar e disponibilizar a Lista de Confiança em Portugal

Multicert

  •  50 Selos Temporais €27,50 + IVA
  • 100 Selos Temporais €37,50 + IVA
  • 500 Selos Temporais €175,00 +IVA

Website: Link

DigitalSign

  • 200 Selos Temporais €84,00  + IVA
  • 750 Selos Temporais €299,00 + IVA

Website: Link

MarketWare

  • 10 Selos Temporais €8,50 + IVA
  • 20 Selos Temporais €11,00 + IVA
  • 50 Selos Temporais €20,00 + IVA
  • 100 Selos Temporais €35,00 + IVA

Website: Link

Global Trusted Sign

  • 100 Selos Temporais €35,00+ IVA
  • 200 Selos Temporais €70,00 + IVA
  • 600 Selos Temporais €150,00 + IVA
  • 5000 Selos Temporais €750,00 + IVA

Website: Link