RFC 3161 eenvoudig uitgelegd — Hoe vertrouwde tijdstempels werken
RFC 3161 is een internationale standaard die definieert hoe een vertrouwd tijdstempel wordt gemaakt — een cryptografisch bewijs dat een digitaal bestand op een specifiek moment bestond. Gepubliceerd door de Internet Engineering Task Force (IETF), beschrijft het een protocol waarbij een Tijdstempel Autoriteit (Timestamp Authority, TSA) de vingerafdruk van een bestand ontvangt, een gecertificeerde datum toevoegt en cryptografisch ondertekent. Het resultaat is een fraudebestendig token dat iedereen onafhankelijk kan verifiëren. ProofStamper gebruikt RFC 3161 om gratis gecertificeerde tijdstempels te genereren.
RFC 3161 klinkt intimiderend — alsof het alleen voor cryptografen is. In werkelijkheid is het een eenvoudig systeem dat een simpel probleem oplost: hoe bewijs je dat een bestand vóór een bepaalde datum bestond, op een manier die niemand kan betwisten? Deze gids legt de standaard uit in begrijpelijke taal, stap voor stap.
Welk probleem lost RFC 3161 op?
Digitale bestanden hebben een fundamenteel vertrouwensprobleem: hun metadata (aanmaakdatum, wijzigingsdatum) kunnen door iedereen op elk moment worden gewijzigd.
Dit is relevant in echte situaties:
- Een freelancer levert werk en de opdrachtgever beweert dat het te laat was
- Een fotograaf ontdekt dat iemand zijn foto heeft gekopieerd en beweert die eerst te hebben gemaakt
- Een bedrijf moet bewijzen dat een compliance-document bestond vóór een auditdatum
- Een onderzoeker moet prioriteit op een ontdekking vaststellen
In al deze gevallen heb je een vertrouwde derde partij nodig die de datum bevestigt. Dat is precies wat RFC 3161 biedt: een gestandaardiseerd protocol voor een onafhankelijk, cryptografisch ondertekend tijdstempel.
Hoe RFC 3161 werkt — stap voor stap
1. Het bestand hashen
Je apparaat berekent een cryptografische hash van het bestand met SHA-256. Een hash is een tekenreeks van vaste lengte (als een vingerafdruk) die uniek is voor de exacte inhoud. Zelfs het wijzigen van één komma produceert een compleet andere hash. De hash onthult niets over de inhoud — het is een wiskundige éénrichtingsfunctie.
2. De hash naar een Tijdstempel Autoriteit (TSA) sturen
De hash — niet het bestand — wordt naar een Tijdstempel Autoriteit gestuurd. De TSA is een onafhankelijke server van een vertrouwde organisatie. Ze kent de inhoud van je bestand niet, alleen de vingerafdruk.
3. De TSA maakt een tijdstempel-token
De TSA neemt de hash, voegt de huidige datum en tijd van haar vertrouwde klok toe en ondertekent het geheel digitaal met haar privé cryptografische sleutel. Dit produceert een Tijdstempel Token — een klein bestand (.tsr-formaat) met de originele hash, exacte UTC-datum en -tijd, digitale handtekening en certificaat van de TSA.
4. Je ontvangt het bewijs
Je hebt nu een cryptografisch bewijs dat de hash (en dus je bestand) bestond op de gecertificeerde datum. Dit bewijs is fraudebestendig, onafhankelijk verifieerbaar en zelfstandig.
project-proposal-v3.pdf → SHA-256: 7d2f3c8a91b4e6f5... (64 tekens)
Het hele proces is zero-knowledge by design: de Tijdstempel Autoriteit ziet, bewaart of heeft nooit toegang tot je bestand. Ze ontvangt alleen een wiskundige vingerafdruk die niets over de inhoud onthult.
Wat zit er in een tijdstempel-token?
Een .tsr-bestand (Timestamp Response) is een binair bestand gecodeerd in ASN.1/DER-formaat. Hier een vereenvoudigd overzicht:
- Versie
- De protocolversie (meestal 1)
- Policy OID
- Het tijdstempelbeleid van de TSA
- Message Imprint
- Het gebruikte hash-algoritme + de ingediende hash-waarde
- Serienummer
- Een unieke identificatie voor dit specifieke tijdstempel
- Generatietijd
- De exacte UTC-datum en -tijd van aanmaak
- Nauwkeurigheid
- De precisie van de TSA-klok (typisch binnen 1 seconde)
- Nonce
- Een willekeurig nummer om replay-aanvallen te voorkomen (optioneel)
- TSA-certificaat
- Het digitale certificaat van de TSA met de publieke sleutel voor verificatie
Je hoeft ASN.1-codering niet te begrijpen om RFC 3161 te gebruiken. Tools zoals ProofStamper en OpenSSL doen het parsen. Maar weten wat er in het token zit helpt om te begrijpen waarom het betrouwbaar is.
Hoe een RFC 3161-tijdstempel te verifiëren
Verificatie geeft RFC 3161 zijn juridische kracht. Iedereen kan een tijdstempel verifiëren.
Met ProofStamper (makkelijkst)
Ga naar de verificatiepagina op ProofStamper. Upload je originele bestand en het .tsr-token (of je Proof Pack ZIP). De tool herberekent de hash, vergelijkt die met de hash in het token en verifieert de digitale handtekening van de TSA.
Met OpenSSL (voor technische gebruikers)
Je kunt het tijdstempel volledig offline verifiëren met OpenSSL, een gratis, open-source cryptografische toolkit.
Deze onafhankelijkheid is een belangrijk kenmerk: je bewijs blijft geldig, zelfs als ProofStamper of een andere dienst ophoudt te bestaan.
Waarom rechtbanken RFC 3161 vertrouwen
Het is een internationale standaard
RFC 3161 is gepubliceerd door de IETF, dezelfde organisatie die kernprotocollen zoals HTTP en TCP/IP definieert. Het is geen propriëtaire technologie — het is een open, peer-reviewed standaard.
Het wordt erkend door eIDAS
In de EU definieert de eIDAS-verordening (Artikel 41) elektronische tijdstempels en geeft ze rechtskracht. Een RFC 3161-tijdstempel kan niet worden afgewezen als bewijs alleen omdat het elektronisch is.
Het bewijs is onafhankelijk verifieerbaar
Anders dan platformafhankelijke audit trails kan een RFC 3161-tijdstempel door iedereen worden geverifieerd met open-source tools.
Cryptografische integriteit is wiskundig gegarandeerd
De digitale handtekening is gebaseerd op public-key cryptografie. Het vervalsen van een geldig tijdstempel zou het kraken van de privésleutel van de TSA vereisen — rekenkundig onhaalbaar.
RFC 3161 vs andere tijdstempelmethoden
| Methode | Standaard | Onafhankelijkheid | Verifieerbaarheid | Snelheid | Kosten | Privacy |
|---|---|---|---|---|---|---|
| RFC 3161 (bijv. ProofStamper) | Internationaal (IETF) | ✅ Onafhankelijke TSA | ✅ Iedereen, met open tools | Seconden | Gratis tot laag | ✅ Zero-knowledge |
| Blockchain-tijdstempel | Varieert | ✅ Gedecentraliseerd | ✅ Via blockchain explorer | Minuten tot uren | € 1–10 | ⚠️ Hash mogelijk openbaar |
| Email "zelfverzending" | Geen | ❌ Zelfde provider | ❌ Providerafhankelijk | Seconden | Gratis | ❌ Provider ziet inhoud |
| Notaris / advocaat | Lokaal recht | ✅ Bevoegd professional | ✅ Ondertekende verklaring | Dagen tot weken | € 50–200+ | ❌ Ziet document |
| Cloud-opslag uploaddatum | Geen | ❌ Provider-gecontroleerd | ❌ Provider kan wijzigen | Seconden | Gratis | ❌ Provider ziet bestand |
RFC 3161 is de enige methode die tegelijkertijd gratis, direct, internationaal gestandaardiseerd, onafhankelijk verifieerbaar en zero-knowledge is.
Woordenlijst van sleuteltermen
- Hash (SHA-256)
- Een wiskundige functie die elk bestand omzet in een tekenreeks van vaste lengte. Éénrichting en collisiebestendig. SHA-256 produceert een 256-bits output (64 hexadecimale tekens).
- Tijdstempel Autoriteit (Timestamp Authority, TSA)
- Een onafhankelijke server die gecertificeerde tijdstempels uitgeeft. ProofStamper gebruikt FreeTSA, een gratis, community-beheerde TSA gevestigd in Duitsland.
- Tijdstempel Token (.tsr)
- Het cryptografische bewijsbestand geproduceerd door de TSA. Bevat de hash, de gecertificeerde datum en de digitale handtekening van de TSA.
- Digitale Handtekening
- Een cryptografisch mechanisme dat bewijst dat een bericht is gemaakt door een specifieke entiteit en niet is gewijzigd.
- eIDAS
- De EU-verordening (Nr. 910/2014) over elektronische identificatie en vertrouwensdiensten. Artikel 41 definieert elektronische tijdstempels.
- IETF
- De Internet Engineering Task Force, de internationale organisatie die internetstandaarden (RFC's) ontwikkelt. RFC 3161 werd gepubliceerd in 2001 en bijgewerkt door RFC 5816.
- Proof Pack
- ProofStampers term voor het ZIP-archief met je PDF-certificaat en het cryptografische .tsr-token.
Veelgestelde vragen
- Wanneer is RFC 3161 gepubliceerd?
- RFC 3161 is gepubliceerd door de IETF in augustus 2001. Het werd bijgewerkt door RFC 5816 in 2010. De standaard is al meer dan twee decennia stabiel en breed geadopteerd.
- Is RFC 3161 gratis te gebruiken?
- De standaard zelf is open en gratis. Of de tijdstempeldienst gratis is hangt af van de TSA. ProofStamper gebruikt FreeTSA, een gratis, community-beheerde TSA.
- Kan een RFC 3161-tijdstempel worden vervalst?
- Het vervalsen van een geldig tijdstempel zou het compromitteren van de privésleutel van de TSA of het breken van de cryptografische algoritmen vereisen — beide rekenkundig onhaalbaar.
- Wat is het verschil tussen RFC 3161 en een blockchain-tijdstempel?
- Beide bewijzen dat data op een moment bestond. RFC 3161 vertrouwt op een derde partij (TSA), blockchain op een gedecentraliseerd netwerk. RFC 3161 is sneller, gestandaardiseerd (eIDAS-erkend) en zero-knowledge.
- Bewijst RFC 3161 wie het bestand heeft gemaakt?
- Nee. RFC 3161 bewijst dat een bestand op een specifieke datum bestond — niet wie het heeft gemaakt.
- Welke hash-algoritmen ondersteunt RFC 3161?
- RFC 3161 is algoritme-agnostisch, maar SHA-256 is het meest gebruikte. ProofStamper gebruikt uitsluitend SHA-256.