Vad är en tidsstämpel (TSA)?

En tidsstämpel är ett tekniskt bevis för att vissa data fanns i ett visst skick vid en exakt tidpunkt. En Time-Stamp Authority (TSA), på svenska en tidsstämplingstjänst, är den betrodda part som utfärdar stämpeln. För ett signerat avtal svarar tidsstämpeln på frågan "när?" på ett sätt som går att lita på i efterhand. Tidpunkten blir oberoende av klockan i någons egen dator.

Begreppet dyker ofta upp i krav på långtidsvalidering och arkivering. Här reder vi ut vad en tidsstämpel är och vad en Time-Stamp Authority gör. Vi förklarar också varför tidpunkten spelar roll för ett avtals bevisvärde.

Vad är en tidsstämpel?

En tidsstämpel binder ihop två saker: en kryptografisk kontrollsumma (SHA-256) av ett innehåll och en exakt tidpunkt. Den kombinationen signeras sedan av tidsstämplingstjänsten. Resultatet går att kontrollera i efterhand. Det visar att precis det här innehållet fanns vid den angivna tidpunkten, och att ingenting har ändrats sedan dess.

Eftersom det är kontrollsumman, inte själva dokumentet, som skickas till tjänsten behöver innehållet aldrig lämna er. Tjänsten ser bara ett kondenserat fingeravtryck av filen.

TSA står för Time-Stamp Authority, på svenska tidsstämplingstjänst. Tekniken beskrivs i den internationella standarden RFC 3161. En kvalificerad tidsstämpel är en särskild nivå enligt EU:s eIDAS-förordning, med högre rättslig ställning än en vanlig tidsstämpel.

Vad gör en Time-Stamp Authority?

En Time-Stamp Authority är en betrodd tredje part med en pålitlig, spårbar klocka. Den tar emot kontrollsumman, lägger till den exakta tidpunkten och signerar alltihop med sin egen nyckel. Poängen är just att parten är neutral. Tiden kommer inte från avsändarens eller mottagarens dator, utan från en oberoende källa som båda kan lita på.

Det är skillnaden mot en tidsangivelse som någon själv skrivit in i ett dokument. En sådan går att ändra i efterhand. En stämpel från en betrodd tjänst går inte att flytta i tiden utan att det syns.

Vad är en kvalificerad tidsstämpel?

eIDAS skiljer på vanliga och kvalificerade elektroniska tidsstämplar. En kvalificerad tidsstämpel utfärdas av en kvalificerad tjänsteleverantör (Qualified Trust Service Provider, QTSP). Leverantören måste finnas på EU:s lista över betrodda tjänster, enligt kraven i Artikel 42.

Den rättsliga effekten står i Artikel 41(2). En kvalificerad tidsstämpel har då en lagstadgad presumtion för att tidpunkten är riktig och att de data den är knuten till är oförändrade. Det innebär i praktiken en omvänd bevisbörda. Den som vill ifrågasätta tidpunkten är den som måste bevisa motsatsen.

Varför spelar tidsstämpeln roll för ett avtal?

För ett avtal som ska hålla över tid gör tidsstämpeln tre saker:

• Bevisar när: Den fastställer när en underskrift gjordes, oberoende av enskilda datorers klockor.
• Fryser valideringen: Den ankrar ögonblicket då signeringscertifikatet var giltigt. Tillsammans med inbäddad valideringsdata går avtalet att verifiera även efter att certifikatet löpt ut.
• Står sig utan leverantören: En kvalificerad stämpel kan kontrolleras mot EU:s lista över betrodda tjänster, utan att ni behöver kontakta oss som leverantör.

Tidsstämpeln är därför en av byggstenarna bakom långsiktig giltighet. Hur lagren samverkar går vi igenom i Vad är försegling? (PAdES-LTA).

Hur eAvtal använder tidsstämplar

Varje signerat avtal i eAvtal har en verifikationssida som visar tidpunkten för varje händelse, från att avtalet skickades till att det signerades.

För avtal som ska hålla i decennier tillför förseglingen, som ingår i eAvtals Premium-paket, en kvalificerad tidsstämpel från en betrodd tjänsteleverantör (QTSP). Förseglingen lägger dessutom en arkivtidsstämpel ovanpå hela paketet. Det gör att avtalet når arkivnivån för långtidsvalidering. Då kan en grön bock visas i Adobe Acrobat, och stämpeln går att kontrollera oberoende av oss. Vill ni förstå hur signaturformaten hänger ihop med detta, se Vad är PAdES, CAdES och XAdES?.

Vill ni veta mer?

Ställer er upphandling krav på betrodda tidsstämplar eller långtidsvalidering, och vill ni veta vad det innebär i praktiken? Hör av er till oss så förklarar vi gärna, eller läs mer om eAvtal på produktsidan.