Logotipo
   

> Segurança Informática > Assinaturas digitais: data e hora

Assinaturas digitais: data e hora

Informe-se junto do seu consultor jurídico adequado antes de avançar com a utilização de qualquer serviço mencionado nesta página, de forma a garantir que para os efeitos que pretende tal é a opção correta.

Mesmo quando utilizado corretamente, estes serviços apresentados nesta página não garantem a veracidade dos documentos/ ficheiros, mas apenas que existiam em determinada data e hora.

Para assinar documentos/ ficheiros com marca de data e hora poderá recorrer aos seguintes serviços TSA (Time Stamp Authority).
A validade dos mesmos para fins legais, depende de país para país, em Portugal o único que não deve levantar problemas nesta lista será o do serviço do Cartão do Cidadão (existem outros que se encontram certificados e reconhecidos com válidos em Portugal nesta lista), no Brasil existem diversas entidades como pode verificar nesta lista. Mas nada impede que utilize vários serviços de forma a aumentar o rastro de provas.

Nome e endereço Credível No Acrobat Reader? Integridade Observações
GlobalSign Sim Sim Até: SHA512  
http://adobe-timestamp.globalsign.com/tsa/aohfewat2389535fnasgnlg5m23
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Digicert Sim Sim Até: SHA512  
http://timestamp.digicert.com
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
WoSign Sim Sim Até: SHA256 Deve aguardar 15 segundos entre pedidos de assinatura.
http://tsa.wotrus.com
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Entrust Sim Sim Só: SHA256  
http://timestamp.entrust.net/TSS/RFC3161sha2TS
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Certum Sim Sim Até: SHA512  
http://time.certum.pl
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
SwissSign Sim Sim Até: SHA512 Assina no máximo 10 pedidos por dia. Para maiores quantidades deve consultar a empresa.
http://tsa.swisssign.net
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
IDnomic Sim Sim Até: SHA512  
http://kstamp.keynectis.com/KSign/
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Izenpe Sim Sim Até: SHA512  
http://tsa.izenpe.com
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Swiss Goverment Sim Sim Até SHA512  
http://tsa.pki.admin.ch/tsa
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Cartão do Cidadão Português Sim Sim Até: SHA256 O serviço está limitado a um máximo de 20 pedidos em cada período de 20 minutos.
http://ts.cartaodecidadao.pt/tsa/server
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
DFN Sim Não Até: SHA512 Utilização comercial explicitamente proibida.
http://zeitstempel.dfn.de
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Comodo Sim Não Até: SHA512 Deve aguardar 15 segundos entre pedidos de assinatura.
http://timestamp.comodoca.com/?td=sha384
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Starfield Technologies Sim Não Até: SHA512  
http://tsa.starfieldtech.com
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
ACCV Sim Não Até: SHA512  
http://tss.accv.es:8318/tsa
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
CatCert Sim Não Até: SHA512  
http://psis.catcert.cat/psis/catcert/tsp
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Symantec Sim Não Até: SHA512  
http://sha256timestamp.ws.symantec.com/sha256/timestamp
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
GlobaSign Sim Não Até: SHA512  
http://timestamp.globalsign.com
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
FreeTSA Não Não Até: SHA512  
https://freetsa.org/tsr
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações
Lex-Persona Não Não Até: SHA512  
http://tsa.lex-persona.com/tsa
 
Nome e endereço Credível No Acrobat Reader? Integridade Observações

Notas:
- O nível de credibilidade é uma opinião pessoal, baseado no facto do serviço já estar presente no Acrobat Reader e/ ou repositórios de certificados digitais de browsers de Internet ou de sistemas operativos... em ambos os casos tal implica algumas verificações e certificações pelo que o nível de credibilidade é maior.
Mesmo não sendo credível pode ser utilizado para aumentar o "rastro" de provas.
- Alguns serviços já têm o seu certificado digital incluído no programa Acrobat Reader, alguns até no repositório de aprovados pela União Européia, pelo que não implica qualquer alteração para ser reconhecido como válido, algo que é naturalmente desejável, pois nem toda a gente saberá ir às opções para mexer em certificados digitais e também aceitar os presentes no próprio sistema operativo.
- Integridade, refere-se ao algoritmo que pode utilizar no envio para o serviço que permite verificar que aquilo que submeteu é o original.
- Em observações, menciono algumas limitações, quando tenho conhecimento das mesmas.
- A GlobalSign encontra-se mencionada duas vezes, porque têm dois serviços de marca de data e hora, o primeiro mencionado na tabela está incluído no Acrobat Reader, mas o segundo embora seja encontrado por exemplo na Windows Certificate Store não é reconhecido automaticamente no Acrobat Reader sem que se façam alterações ao mesmo.
- Existem outros serviços, mas como são explicitamente mencionados como de testes, não foram incluídos.
- O Acrobat Reader pertence à empresa Adobe e pode ser encontrado aqui: https://get.adobe.com
- Para assinar ficheiros PDF ou outros poderá recorrer a aplicações como:  XolidoSign, TimeStampClient, JSignPdf, PDF Creator, LibreOffice, P7S Signer, PDF Signer, MyPDFSigner, PDF SIGN&SEAL entre eventuais outros.
- Alguns programas exigem que tenha um certificado digital de forma a colocar a marca temporal, pode utilizar o cartão de cidadão (ou o equivalente no seu país) se tiver a opção de assinatura digital disponível, caso contrário poderá adquirir em algumas empresas uma assinatura digital reconhecida... se só precisar de uma assinatura digital auto-criada para conseguir colocar a marca temporal poderá por exemplo utilizar o programa gratuito e de código aberto XCA (código no Github).

 

Os exemplos abaixo geralmente não tem validade legal reconhecida, pelo que é aconselhado a recorrer a por exemplo à assinatura digital acima mencionada em documentos PDF por exemplo, a um advogado, notário físico ou outros serviços de assinatura digital online que são oficialmente reconhecidos nas áreas territoriais onde actua, ou onde pode ser necessário apresentar provas.

Se acabar por usar em tribunal poderá servir para provar a sua boa fé nas provas que apresenta (pelo menos vai um pouco além da sua palavra de honra).
Em alguns casos peritos informáticos poderão atestar a confiabilidade dos sistemas em especial se utilizarem por exemplo a rede BitCoin ou outras redes acessíveis a qualquer um que permita uma auditoria permanente.
Dê prioridade a serviços que publiquem dados que sirvam de provas na rede Bitcoin, pois pelo menos aqui as probabilidades de fraude são mais reduzidas e é mais fácil a terceiros acreditarem no que é apresentado. Nos Estados Unidos da América a rede Bitcoin começa a ser vista pelo sistema político e judicial como um meio credível de prova de existência de determinada coisa num determinado dia e hora devido à sua natureza de funcionamento. Outros países poderão vir a reconhecer a rede Bitcoin e/ ou outras similares para este efeito no futuro.

Estes serviços, na melhor das hipóteses, só provam a existência por exemplo de: ficheiros, documentos, textos ou web sites naquela data e hora.
Se quiser provar que é seu deve ainda assinar digitalmente localmente (por exemplo usando a assinatura digital de cartão de cidadão ou equivalente no seu país, ou o GnuPG, ou o PGP, ou por exemplo o Academic Signatures) e enviar também para estes serviços online eventualmente a sua assinatura digital local primeiro e o ficheiro em si depois. Além disso poderá ser boa idéia enviar ambos para serviços de alojamento de ficheiros que exibam a data e hora para aumentar o rastro de provas de que tal ficheiro/ documento foi criado por si (exemplo: fotos, documentos técnicos, livros, patentes, programas, etc.).

> True Time Stamp en (Assina digitalmente, com uma chave PGP, com a data e hora de recepção do conteúdo no servidor. Permite verificar posteriormente a validade da informação, mesmo que o serviço desapareça.)

> iCanProve en (Serve para assinar digitalmente imagens de um web site usando um browser virtual integrado no próprio web site. Entra no web site e através do browser virtual vai tirando cópias do ecrã usando o próprio interface para esse efeito, no fim quando já tiver tudo o que quer manda imprimir e depois é apresentada uma página com o ficheiro PDF assinado digitalmente e outros ficheiros mais técnicos. Não é muito prático mas funciona e pode remover alguma publicidade que cubra a página por exemplo.)

> FreeTSA en (Serve para assinar digitalmente uma imagem do web site. Não tem controlo sob o resultado final, pelo que é algo limitado... por exemplo se existir publicidade a cobrir a página toda poderá não aparecer nada do conteúdo em si. Recebe um ficheiro PDF assinado pelo web site. Tem ainda outras funções mais técnicas disponíveis.)

> OriginStamp en (O serviço registra a data e hora de recepção no servidor, do resultado de integridade do ficheiro/ texto no formato SHA256.
Este serviço envia uma vez ao dia para a rede bitcoin os resultados SHA256 para aumentar a confiança no serviço e permitir a verificação junto de terceiros de que o ficheiro existia mesmo... enquanto a rede bitcoin estiver ativa, é possível verificar, mesmo que o web site original desapareça.

> OpenTimestamps en (Este serviço tem como objectivo ser um formato padrão de marca temporal baseada na blockchain. O formato é contudo suficientemente flexível para ser independente de vendedor e tipo de blockchain. De momento o serviço é gratuito.)

> Poex en (O serviço registra a data e hora de recepção no servidor, do resultado de integridade do ficheiro/ texto no formato SHA256.
Tem de efectuar o pagamento em bitcoins, para o serviço efetuar o envio do resultado SHA256 para a rede bitcoin.)

> Bitcoin.com Notary en (O serviço registra a data e hora de recepção no servidor, do resultado de integridade do ficheiro/ texto no formato SHA256.
Tem de efectuar o pagamento em bitcoins, para o serviço efetuar o envio do resultado SHA256 para a rede bitcoin.)

> stampd en (O serviço registra a data e hora de recepção no servidor, do resultado de integridade do ficheiro/ texto no formato SHA256.
Tem de efectuar o pagamento em bitcoins, para o serviço efetuar o envio do resultado SHA256 para a rede bitcoin.)
 

Atualização mais recente: 2019-01-15