RFC 3161 einfach erklärt — Wie vertrauenswürdige Zeitstempel funktionieren
RFC 3161 ist ein internationaler Standard, der definiert, wie ein vertrauenswürdiger Zeitstempel erstellt wird — ein kryptografischer Beweis, dass eine digitale Datei zu einem bestimmten Zeitpunkt existierte. Veröffentlicht von der Internet Engineering Task Force (IETF), beschreibt er ein Protokoll, bei dem eine Zeitstempel-Autorität (Timestamp Authority, TSA) den Fingerabdruck einer Datei empfängt, ein zertifiziertes Datum hinzufügt und kryptografisch signiert. Das Ergebnis ist ein fälschungssicheres Token, das jeder unabhängig überprüfen kann. ProofStamper verwendet RFC 3161, um kostenlose zertifizierte Zeitstempel zu erstellen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt die Verwendung RFC 3161-konformer Zeitstempel.
RFC 3161 klingt einschüchternd — wie etwas, das nur Kryptografen interessiert. In Wirklichkeit ist es ein einfaches System, das ein simples Problem löst: Wie beweisen Sie, dass eine Datei vor einem bestimmten Datum existierte, auf eine Weise, die niemand bestreiten kann? Dieser Leitfaden erklärt den Standard in verständlicher Sprache, Schritt für Schritt, ohne Vorkenntnisse. Am Ende wissen Sie genau, was passiert, wenn Sie eine Datei zeitstempeln.
Welches Problem löst RFC 3161?
Digitale Dateien haben ein grundlegendes Vertrauensproblem: Ihre Metadaten (Erstellungsdatum, Änderungsdatum) können jederzeit von jedem geändert werden. Wenn Sie behaupten, eine Datei existierte am 15. Januar, gibt es keinen eingebauten Weg, dies zu beweisen — das Datum auf Ihrem Computer liegt unter Ihrer Kontrolle.
Das ist in realen Situationen relevant:
- Ein Freelancer liefert Arbeit ab und der Auftraggeber behauptet, sie sei verspätet
- Ein Fotograf entdeckt, dass jemand sein Bild kopiert hat und behauptet, er habe es zuerst erstellt
- Ein Unternehmen muss beweisen, dass ein Compliance-Dokument vor einem Audit-Datum vorhanden war
- Ein Forscher muss die Priorität einer Entdeckung belegen
In all diesen Fällen brauchen Sie einen vertrauenswürdigen Dritten, der das Datum bestätigt — jemanden, der kein Interesse am Ergebnis hat und dessen Uhr Sie nicht manipulieren können. Genau das bietet RFC 3161: ein standardisiertes Protokoll für einen unabhängigen, kryptografisch signierten Zeitstempel einer Zeitstempel-Autorität.
Wie RFC 3161 funktioniert — Schritt für Schritt
1. Datei hashen
Ihr Gerät berechnet einen kryptografischen Hash der Datei mit SHA-256. Ein Hash ist eine Zeichenkette fester Länge (wie ein Fingerabdruck), die für den exakten Inhalt der Datei einzigartig ist. Selbst die Änderung eines einzelnen Kommas erzeugt einen völlig anderen Hash. Wichtig: Der Hash verrät nichts über den Dateiinhalt — es ist eine mathematische Einwegfunktion.
2. Hash an eine Zeitstempel-Autorität (TSA) senden
Der Hash — nicht die Datei — wird an eine Zeitstempel-Autorität gesendet. Die TSA ist ein unabhängiger Server, der von einer vertrauenswürdigen Organisation betrieben wird. Sie hat keine Kenntnis vom Inhalt Ihrer Datei, nur vom Fingerabdruck.
3. Die TSA erstellt ein Zeitstempel-Token
Die TSA nimmt den Hash, fügt das aktuelle Datum und die Uhrzeit ihrer vertrauenswürdigen Uhr hinzu und signiert das gesamte Paket digital mit ihrem privaten kryptografischen Schlüssel. Das Ergebnis ist ein Zeitstempel-Token — eine kleine Datei (.tsr-Format), die den Original-Hash, das exakte UTC-Datum und die Uhrzeit, die digitale Signatur und das Zertifikat der TSA enthält.
4. Sie erhalten den Beweis
Sie haben nun einen kryptografischen Beweis, dass der Hash (und damit Ihre Datei) zum zertifizierten Datum existierte. Dieser Beweis ist fälschungssicher, unabhängig überprüfbar und eigenständig — er hängt von keiner Plattform oder keinem Dienst ab.
project-proposal-v3.pdf → SHA-256: 7d2f3c8a91b4e6f5... (64 Zeichen)
Der gesamte Prozess ist konstruktionsbedingt Zero-Knowledge: Die Zeitstempel-Autorität sieht, speichert oder hat niemals Zugang zu Ihrer Datei. Sie empfängt nur einen mathematischen Fingerabdruck, der nichts über den Inhalt verrät.
Was enthält ein Zeitstempel-Token?
Eine .tsr-Datei (Timestamp Response) ist eine Binärdatei im ASN.1/DER-Format. Hier ein vereinfachter Überblick über ihren Inhalt:
- Version
- Die Protokollversion (üblicherweise 1)
- Policy OID
- Die Zeitstempel-Richtlinie der TSA
- Message Imprint
- Der verwendete Hash-Algorithmus + der übermittelte Hash-Wert
- Seriennummer
- Eine eindeutige Kennung für diesen spezifischen Zeitstempel
- Erstellungszeit
- Das exakte UTC-Datum und die Uhrzeit der Zeitstempel-Erstellung
- Genauigkeit
- Die Präzision der TSA-Uhr (typischerweise innerhalb 1 Sekunde)
- Nonce
- Eine Zufallszahl zur Verhinderung von Replay-Angriffen (optional)
- TSA-Zertifikat
- Das digitale Zertifikat der TSA mit dem öffentlichen Schlüssel für die Verifizierung
Sie müssen ASN.1-Kodierung nicht verstehen, um RFC 3161 zu nutzen. Werkzeuge wie ProofStamper und OpenSSL übernehmen das Parsing. Aber zu wissen, was im Token steckt, hilft zu verstehen, warum es vertrauenswürdig ist: Jedes Element ist kryptografisch gebunden, sodass die Änderung eines Teils den gesamten Beweis ungültig macht.
Wie man einen RFC 3161-Zeitstempel verifiziert
Die Verifizierung verleiht RFC 3161 seine rechtliche Stärke. Jeder kann einen Zeitstempel verifizieren — Sie brauchen nicht das ursprüngliche Zeitstempel-Tool.
Mit ProofStamper (am einfachsten)
Gehen Sie zur Verifizierungsseite auf ProofStamper. Laden Sie Ihre Originaldatei und das .tsr-Token (oder Ihr Proof Pack ZIP) hoch. Das Tool berechnet den Hash der Datei neu, vergleicht ihn mit dem Hash im Token und überprüft die digitale Signatur der TSA.
Mit OpenSSL (für technische Nutzer)
Sie können den Zeitstempel vollständig offline mit OpenSSL verifizieren, einem kostenlosen, quelloffenen kryptografischen Toolkit. Der Prozess umfasst die Extraktion des TSA-Zertifikats, die Überprüfung der Signatur und den Neuberechnung des Datei-Hashs.
Diese Unabhängigkeit ist ein Schlüsselmerkmal: Ihr Beweis bleibt gültig, selbst wenn ProofStamper oder ein anderer Dienst aufhört zu existieren.
Warum Gerichte RFC 3161 vertrauen
Es ist ein internationaler Standard
RFC 3161 wurde von der IETF (Internet Engineering Task Force) veröffentlicht, derselben Organisation, die Kern-Internetprotokolle wie HTTP und TCP/IP definiert. Es ist keine proprietäre Technologie — es ist ein offener, peer-reviewter Standard.
Es wird von eIDAS anerkannt
In der EU definiert die eIDAS-Verordnung (Artikel 41) explizit elektronische Zeitstempel und verleiht ihnen Rechtswirkung. Ein RFC 3161-Zeitstempel kann nicht allein deshalb als Beweismittel abgelehnt werden, weil er elektronisch ist.
Der Beweis ist unabhängig überprüfbar
Anders als plattformabhängige Audit-Trails kann ein RFC 3161-Zeitstempel von jedem mit Open-Source-Tools überprüft werden. Diese Unabhängigkeit macht ihn zu einem überzeugenden Beweismittel.
Kryptografische Integrität ist mathematisch garantiert
Die digitale Signatur basiert auf Public-Key-Kryptografie. Das Fälschen eines gültigen Zeitstempels würde das Brechen des privaten Schlüssels der TSA erfordern — mit heutiger Technologie rechnerisch unmöglich.
RFC 3161 vs andere Zeitstempelmethoden
| Methode | Standard | Unabhängigkeit | Überprüfbarkeit | Geschwindigkeit | Kosten | Datenschutz |
|---|---|---|---|---|---|---|
| RFC 3161 (z.B. ProofStamper) | International (IETF) | ✅ Unabhängige TSA | ✅ Jeder, mit offenen Tools | Sekunden | Kostenlos bis günstig | ✅ Zero-Knowledge |
| Blockchain-Zeitstempel | Variiert | ✅ Dezentralisiert | ✅ Via Blockchain-Explorer | Minuten bis Stunden | 1–10 € | ⚠️ Hash evtl. öffentlich |
| E-Mail "Selbstversand" | Keiner | ❌ Gleicher Anbieter | ❌ Anbieterabhängig | Sekunden | Kostenlos | ❌ Anbieter sieht Inhalt |
| Notar / Anwalt | Nationales Recht | ✅ Zugelassener Fachmann | ✅ Beglaubigte Bescheinigung | Tage bis Wochen | 50–200+ € | ❌ Sieht Dokument |
| Cloud-Speicher Upload-Datum | Keiner | ❌ Anbieter-kontrolliert | ❌ Anbieter kann ändern | Sekunden | Kostenlos | ❌ Anbieter sieht Datei |
RFC 3161 ist die einzige Methode, die gleichzeitig kostenlos, sofort, international standardisiert, unabhängig überprüfbar und Zero-Knowledge ist.
Glossar der Schlüsselbegriffe
- Hash (SHA-256)
- Eine mathematische Funktion, die jede Datei in eine Zeichenkette fester Länge umwandelt. Sie ist Einweg (die Datei kann nicht aus dem Hash rekonstruiert werden) und kollisionsresistent. SHA-256 erzeugt einen 256-Bit-Ausgabewert (64 hexadezimale Zeichen).
- Zeitstempel-Autorität (Timestamp Authority, TSA)
- Ein unabhängiger Server, der zertifizierte Zeitstempel ausstellt. Er empfängt einen Hash, fügt Datum und Uhrzeit hinzu und signiert das Ergebnis. ProofStamper verwendet FreeTSA, eine kostenlose, gemeinschaftlich betriebene TSA mit Sitz in Deutschland.
- Zeitstempel-Token (.tsr)
- Die vom TSA erzeugte kryptografische Beweisdatei. Sie enthält den Hash, das zertifizierte Datum und die digitale Signatur der TSA.
- Digitale Signatur
- Ein kryptografischer Mechanismus, der beweist, dass eine Nachricht von einer bestimmten Instanz (der TSA) erstellt wurde und nicht verändert wurde.
- eIDAS
- Die EU-Verordnung (Nr. 910/2014) über elektronische Identifizierung und Vertrauensdienste. Artikel 41 definiert elektronische Zeitstempel und ihre Rechtswirkung.
- IETF
- Die Internet Engineering Task Force, die internationale Organisation, die Internetstandards (RFCs) entwickelt und veröffentlicht. RFC 3161 wurde 2001 veröffentlicht und durch RFC 5816 aktualisiert.
- Proof Pack
- ProofStampers Bezeichnung für das ZIP-Archiv, das Ihr PDF-Zertifikat und das kryptografische .tsr-Token enthält. Ein vollständiger, eigenständiger Existenzbeweis.
Häufig gestellte Fragen
- Wann wurde RFC 3161 veröffentlicht?
- RFC 3161 ("Internet X.509 Public Key Infrastructure — Time-Stamp Protocol") wurde von der IETF im August 2001 veröffentlicht. Es wurde 2010 durch RFC 5816 aktualisiert. Der Standard ist seit über zwei Jahrzehnten stabil und weit verbreitet.
- Ist RFC 3161 kostenlos nutzbar?
- Der Standard selbst ist offen und kostenlos — jeder kann ihn implementieren. Ob der Zeitstempeldienst kostenlos ist, hängt von der TSA ab. ProofStamper verwendet FreeTSA (freetsa.org), eine kostenlose, gemeinschaftlich betriebene Zeitstempel-Autorität.
- Kann ein RFC 3161-Zeitstempel gefälscht werden?
- Das Fälschen eines gültigen RFC 3161-Zeitstempels würde entweder die Kompromittierung des privaten Schlüssels der TSA oder das Brechen der zugrundeliegenden kryptografischen Algorithmen erfordern — beides ist mit heutiger Technologie rechnerisch unmöglich.
- Was ist der Unterschied zwischen RFC 3161 und einem Blockchain-Zeitstempel?
- Beide beweisen, dass Daten zu einem Zeitpunkt existierten. RFC 3161 stützt sich auf einen vertrauenswürdigen Dritten (die TSA), während Blockchain auf ein dezentrales Netzwerk setzt. RFC 3161 ist schneller, standardisiert (eIDAS-anerkannt) und Zero-Knowledge.
- Beweist RFC 3161, wer die Datei erstellt hat?
- Nein. RFC 3161 beweist, dass eine Datei zu einem bestimmten Datum existierte — nicht wer sie erstellt hat. Der Nachweis der Urheberschaft erfordert zusätzliche Beweise.
- Welche Hash-Algorithmen unterstützt RFC 3161?
- RFC 3161 ist algorithmusunabhängig, aber SHA-256 ist heute der am häufigsten verwendete Algorithmus. ProofStamper verwendet ausschließlich SHA-256.