RFC 3161 spiegato semplicemente — Come funzionano le marche temporali certificate
RFC 3161 è uno standard internazionale che definisce come creare una marca temporale affidabile — una prova crittografica che un file digitale esisteva in un momento specifico. Pubblicato dalla Internet Engineering Task Force (IETF), specifica un protocollo in cui un'Autorità di Marcatura Temporale (Timestamp Authority, TSA) riceve l'impronta digitale di un file, aggiunge una data certificata e la firma crittograficamente. Il risultato è un token a prova di manomissione che chiunque può verificare indipendentemente. ProofStamper usa RFC 3161 per generare marche temporali certificate gratuite.
RFC 3161 sembra intimidatorio — qualcosa che interessa solo ai crittografi. In realtà, è un sistema semplice che risolve un problema basilare: come dimostri che un file esisteva prima di una certa data, in modo che nessuno possa contestarlo? Questa guida spiega lo standard in linguaggio semplice, passo dopo passo.
Quale problema risolve RFC 3161?
I file digitali hanno un problema fondamentale di fiducia: i loro metadati (data di creazione, data di modifica) possono essere cambiati da chiunque in qualsiasi momento.
Questo conta in situazioni reali:
- Un freelancer consegna un lavoro e il cliente dice che era in ritardo
- Un fotografo scopre che qualcuno ha copiato la sua immagine e dice di averla creata per primo
- Un'azienda deve dimostrare che un documento di conformità era in vigore prima di un audit
- Un ricercatore deve stabilire la priorità di una scoperta
In tutti questi casi serve un terzo di fiducia che confermi la data. Esattamente ciò che RFC 3161 fornisce: un protocollo standardizzato per ottenere una marca temporale indipendente e firmata crittograficamente.
Come funziona RFC 3161 — passo dopo passo
1. Calcolare l'hash del file
Il tuo dispositivo calcola un hash crittografico del file usando SHA-256. Un hash è una stringa di caratteri a lunghezza fissa (come un'impronta digitale) unica per il contenuto esatto del file. Anche cambiare una sola virgola produrrebbe un hash completamente diverso. L'hash non rivela nulla sul contenuto — è una funzione matematica unidirezionale.
2. Inviare l'hash a un'Autorità di Marcatura (TSA)
L'hash — non il file — viene inviato a un'Autorità di Marcatura Temporale. La TSA è un server indipendente gestito da un'organizzazione di fiducia. Non conosce il contenuto del file, solo la sua impronta.
3. La TSA crea un token di marca temporale
La TSA prende l'hash, aggiunge la data e l'ora correnti dal suo orologio di fiducia e firma digitalmente l'intero pacchetto con la sua chiave crittografica privata. Questo produce un Token di Marca Temporale — un file piccolo (.tsr) contenente l'hash originale, la data e ora UTC esatte, la firma digitale e il certificato della TSA.
4. Ricevi la prova
Ora hai una prova crittografica che l'hash (e quindi il tuo file) esisteva alla data certificata. Questa prova è a prova di manomissione, verificabile indipendentemente e autonoma.
project-proposal-v3.pdf → SHA-256: 7d2f3c8a91b4e6f5... (64 caratteri)
L'intero processo è zero-knowledge per design: l'Autorità di Marcatura non vede, non archivia e non ha accesso al tuo file. Riceve solo un'impronta matematica che non rivela nulla sul contenuto.
Cosa contiene un token di marca temporale?
Un file .tsr (Timestamp Response) è un file binario codificato in formato ASN.1/DER. Ecco una panoramica semplificata:
- Versione
- La versione del protocollo (solitamente 1)
- Policy OID
- La policy di marcatura temporale della TSA
- Message Imprint
- L'algoritmo di hash usato + il valore hash inviato
- Numero seriale
- Un identificatore unico per questa specifica marca temporale
- Ora di generazione
- La data e ora UTC esatte di creazione della marca
- Precisione
- La precisione dell'orologio della TSA (tipicamente entro 1 secondo)
- Nonce
- Un numero casuale per prevenire attacchi di replay (opzionale)
- Certificato TSA
- Il certificato digitale della TSA con la chiave pubblica per la verifica
Non serve capire la codifica ASN.1 per usare RFC 3161. Strumenti come ProofStamper e OpenSSL gestiscono il parsing. Ma sapere cosa c'è dentro il token aiuta a capire perché è affidabile.
Come verificare una marca temporale RFC 3161
La verifica è ciò che dà a RFC 3161 la sua forza legale. Chiunque può verificare una marca temporale.
Con ProofStamper (più facile)
Vai alla pagina di verifica di ProofStamper. Carica il file originale e il token .tsr (o il tuo Proof Pack ZIP). Lo strumento ricalcola l'hash, lo confronta con quello nel token e verifica la firma digitale della TSA.
Con OpenSSL (per utenti tecnici)
Puoi verificare la marca temporale completamente offline con OpenSSL, un toolkit crittografico gratuito e open-source.
Questa indipendenza è una caratteristica chiave: la tua prova resta valida anche se ProofStamper o qualsiasi altro servizio cessa di esistere.
Perché i tribunali si fidano di RFC 3161
È uno standard internazionale
RFC 3161 è stato pubblicato dalla IETF, la stessa organizzazione che definisce protocolli fondamentali come HTTP e TCP/IP. Non è tecnologia proprietaria — è uno standard aperto e sottoposto a revisione paritaria.
È riconosciuto da eIDAS
Nell'UE, il regolamento eIDAS (Articolo 41) definisce esplicitamente le marche temporali elettroniche e dà loro effetto giuridico. Una marca RFC 3161 non può essere rifiutata come prova solo perché elettronica.
La prova è verificabile indipendentemente
A differenza degli audit trail dipendenti dalla piattaforma, una marca RFC 3161 può essere verificata da chiunque con strumenti open-source.
L'integrità crittografica è garantita matematicamente
La firma digitale si basa su crittografia a chiave pubblica. Falsificare una marca valida richiederebbe violare la chiave privata della TSA — computazionalmente impossibile.
RFC 3161 vs altri metodi di marcatura temporale
| Metodo | Standard | Indipendenza | Verificabilità | Velocità | Costo | Privacy |
|---|---|---|---|---|---|---|
| RFC 3161 (es. ProofStamper) | Internazionale (IETF) | ✅ TSA indipendente | ✅ Chiunque, con strumenti aperti | Secondi | Gratuito o basso | ✅ Zero-knowledge |
| Marca temporale blockchain | Varia | ✅ Decentralizzato | ✅ Via blockchain explorer | Minuti a ore | 1–10 € | ⚠️ Hash potrebbe essere pubblico |
| Email "auto-invio" | Nessuno | ❌ Stesso provider | ❌ Dipende dal provider | Secondi | Gratuito | ❌ Provider vede contenuto |
| Notaio / avvocato | Legge locale | ✅ Professionista abilitato | ✅ Atto notarile | Giorni a settimane | 50–200+ € | ❌ Vede il documento |
| Data upload cloud | Nessuno | ❌ Controllato dal provider | ❌ Provider può modificare | Secondi | Gratuito | ❌ Provider vede file |
RFC 3161 è l'unico metodo che è simultaneamente gratuito, istantaneo, standardizzato internazionalmente, verificabile indipendentemente e zero-knowledge.
Glossario dei termini chiave
- Hash (SHA-256)
- Una funzione matematica che converte qualsiasi file in una stringa di caratteri a lunghezza fissa. È unidirezionale e resistente alle collisioni. SHA-256 produce un output di 256 bit (64 caratteri esadecimali).
- Autorità di Marcatura Temporale (Timestamp Authority, TSA)
- Un server indipendente che emette marche temporali certificate. ProofStamper usa FreeTSA, una TSA gratuita e comunitaria con sede in Germania.
- Token di Marca Temporale (.tsr)
- Il file di prova crittografica prodotto dalla TSA. Contiene l'hash, la data certificata e la firma digitale della TSA.
- Firma Digitale
- Un meccanismo crittografico che prova che un messaggio è stato creato da un'entità specifica e non è stato alterato.
- eIDAS
- Il regolamento UE (N. 910/2014) sull'identificazione elettronica e i servizi fiduciari. L'Articolo 41 definisce le marche temporali elettroniche.
- IETF
- La Internet Engineering Task Force, l'organizzazione internazionale che sviluppa standard internet (RFC). RFC 3161 fu pubblicato nel 2001 e aggiornato da RFC 5816.
- Proof Pack
- Il termine di ProofStamper per l'archivio ZIP contenente il certificato PDF e il token crittografico .tsr.
Domande frequenti
- Quando è stato pubblicato RFC 3161?
- RFC 3161 è stato pubblicato dalla IETF nell'agosto 2001. È stato aggiornato da RFC 5816 nel 2010. Lo standard è stabile e ampiamente adottato da oltre due decenni.
- RFC 3161 è gratuito?
- Lo standard è aperto e gratuito. Se il servizio di marcatura è gratuito dipende dalla TSA. ProofStamper usa FreeTSA, una TSA gratuita e comunitaria.
- Si può falsificare una marca temporale RFC 3161?
- Falsificare una marca valida richiederebbe compromettere la chiave privata della TSA o violare gli algoritmi crittografici — entrambi computazionalmente impossibili con la tecnologia attuale.
- Qual è la differenza tra RFC 3161 e una marca temporale blockchain?
- Entrambi provano che dati esistevano in un momento. RFC 3161 si basa su un terzo di fiducia (TSA), blockchain su una rete decentralizzata. RFC 3161 è più veloce, standardizzato (riconosciuto da eIDAS) e zero-knowledge.
- RFC 3161 prova chi ha creato il file?
- No. RFC 3161 prova che un file esisteva a una data specifica — non chi l'ha creato. Stabilire la paternità richiede prove aggiuntive.
- Quali algoritmi di hash supporta RFC 3161?
- RFC 3161 è agnostico all'algoritmo, ma SHA-256 è il più usato oggi. ProofStamper usa SHA-256 esclusivamente.