Das Langzeitgültigkeits-Problem
Ein heute erstellter qualifizierter Zeitstempel verwendet SHA-256 und RSA-4096. Diese Algorithmen sind derzeit sicher, aber kryptographische Fortschritte könnten sie über Jahrzehnte hinweg schwächen. Wenn die kryptographischen Primitive eines Zeitstempels unsicher werden, kann die von ihm erbrachte Beweiskraft angefochten werden. Langzeitarchivierung erfordert proaktive Maßnahmen, um den Beweiswert über Zeiträume von 10, 20 oder sogar 50+ Jahren aufrechtzuerhalten.
Archiv-Zeitstempel-Erneuerung
Die Lösung ist periodisches Re-Timestamping, definiert in Standards wie ETSI TS 101 733 (CAdES) und ETSI TS 103 171. Bevor ein Algorithmus schwächer wird, wird ein neuer Zeitstempel — mit aktuellen, starken Algorithmen — über die gesamte bestehende Beweiskette angewandt. Dies erzeugt eine verschachtelte Serie von Zeitstempeln, wobei jeder die Gültigkeit des vorherigen schützt. Der entscheidende Moment ist, zu handeln bevor der Algorithmus als kompromittiert gilt.
Der LTANS-Standard
Die IETF-Arbeitsgruppe Long-Term Archive and Notary Services (LTANS) erstellte RFC 4998 (Evidence Record Syntax), das definiert, wie Ketten von Beweisaufzeichnungen aufgebaut und gepflegt werden, die unbegrenzt verifizierbar bleiben. Die ETSI-Standards TS 119 511 und TS 119 512 bieten EU-spezifische Profile für Langzeiterhaltungsdienste. Diese Standards sind die Referenz für jede eIDAS-konforme Archivierung.
Praktische Umsetzung
Richten Sie eine automatisierte Überwachung der von NIST und ENISA veröffentlichten Algorithmus-Deprecation-Hinweise ein. Konfigurieren Sie Ihr Archivierungssystem so, dass es Re-Timestamping auslöst, wenn Algorithmen sich ihrem empfohlenen Lebensende nähern. Bewahren Sie alle zwischen Zeitstempel-Tokens auf — verwerfen Sie niemals alte Zeitstempel, da sie Teil der Beweiskette sind. Die Aufbewahrungsrichtlinie sollte auch die Migration von Dateiformaten zu dauerhaften Standards einschließen.