数字时间戳的组成本质上是一个加密凭证文档（即时间戳令牌），它通过密码学机制将文件摘要、可信时间与权威签名三者绑定

数字时间戳的组成本质上是一个加密凭证文档（即时间戳令牌），它通过密码学机制将文件摘要、可信时间与权威签名三者绑定，形成一个不可篡改、可验证的时间证明。具体结构如下：

1. 需加时间戳文件的摘要（Digest）
   使用安全哈希算法（如 SHA-256）对原始文件进行计算得到的哈希值。该摘要唯一代表文件内容，即使文件发生微小改动，哈希值也会完全不同，从而保障文件完整性。

2. DTS 收到文件的日期和时间（Timestamp Time）
   记录客户端提交文件摘要至时间戳服务系统（DTS）的精确时间点，通常采用 UTC 时间，并可包含毫秒级精度。此时间由 DTS 的可信时钟源提供，防止本地设备时间被篡改导致的时间伪造。

3. DTS 的数字签名（Digital Signature）
   DTS 使用其私钥对“文件摘要 + 时间戳时间 + 其他元数据”整体进行数字签名，生成加密签名块。接收方可使用 DTS 的公钥验证签名的真实性，确保时间戳确实由合法机构签发且未被篡改。

此外，完整的时间戳凭证还可能包括：

• 序列号（Serial Number）：用于唯一标识该时间戳请求，防止重放攻击；
• 签名算法标识：说明所用签名算法（如 RSA with SHA-256）；
• DTS 证书信息（可选）：附带 DTS 的数字证书或证书链，便于独立验证；
• 扩展字段（Extensions）：如政策OID、精度声明、是否支持长期验证等。

补充背景：法律效力与核心价值

数字时间戳的核心价值在于实现 不可否认性（Non-repudiation） —— 即任何一方都无法否认某项电子行为的发生时间。当交易双方就“谁先提交合同”、“版权作品何时完成”等问题产生争议时，经合规 DTS 签发的时间戳可作为司法认可的电子证据。

依据《中华人民共和国电子签名法》第十六条明确规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。” 符合国家标准（如 GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》）和 RFC 3161 规范的时间戳服务，具备法律效力，广泛应用于：

• 电子合同签署平台（如法大大、e签宝）
• 电子发票与财税系统
• 区块链存证与司法取证
• 软件著作权、专利申请辅助证明
• 金融交易日志审计

因此，数字时间戳不仅是技术工具，更是构建可信数字社会的法律基础设施之一。

使用 OpenSSL 命令行工具可以创建和验证符合 RFC 3161 标准的时间戳请求与响应。OpenSSL 自 1.0.2 版本起支持 RFC 3161 时间戳协议，适用于测试、开发或轻量级部署场景。

---

✅ 一、准备工作

1. 安装 OpenSSL
   确保系统中安装了支持时间戳功能的 OpenSSL（版本 ≥ 1.0.2）：

   openssl version
   

2. 选择一个支持 RFC 3161 的公共 DTS 服务（时间戳服务器）
   示例（免费用于测试）：

   • 全球通用：http://timestamp.digicert.com
   • 沃通时间戳：http://tsa.wosign.com
   • StartCom：http://tsa.startssl.com/tsa

---

📌 二、创建文件摘要并生成时间戳请求

1. 计算文件哈希值（以 SHA-256 为例）

openssl dgst -sha256 -binary document.pdf > document.sha256

2. 使用 OpenSSL 创建 RFC 3161 时间戳请求（TSQ）

openssl ts -query \
          -data document.sha256 \
          -digest 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08 \  # 实际上可通过 -data 自动读取
          -no_nonce \
          -cert \
          -out timestamp_request.tsq

🔍 参数说明：

• -data: 指定要加时间戳的数据文件（会自动计算其摘要）
• -digest: 可显式指定摘要值（十六进制格式），也可省略由 -data 自动生成
• -no_nonce: 不添加随机数（可选，增强防重放能力）
• -cert: 请求中包含证书信息（便于服务端返回完整链）
• -out: 输出请求文件

---

📤 三、发送请求到时间戳服务器获取时间戳令牌（TSA Response）

你可以使用 curl 发送二进制请求并接收响应：

curl -H "Content-Type: application/timestamp-query" \
     --data-binary @timestamp_request.tsq \
     http://timestamp.digicert.com \
     --output timestamp_response.tsr

✅ timestamp_response.tsr 是服务器签发的 RFC 3161 时间戳响应（ASN.1 编码的 PKIStimeStampToken）

---

✅ 四、验证时间戳响应

openssl ts -verify \
          -data document.sha256 \
          -in timestamp_response.tsr \
          -CAfile /etc/ssl/certs/ca-certificates.crt  # 或指定 TSA 根证书路径

若输出 Verification: OK，表示时间戳有效且签名可信。

你也可以查看时间戳内容详情：

openssl ts -reply -in timestamp_response.tsr -text

输出将包括：

• 文件摘要算法与值
• 签发时间（GMT Time）
• TSA 名称（Time Stamping Authority）
• 数字签名算法
• 是否包含证书等

---

🔐 安全建议

1. 使用 HTTPS 的 TSA 服务更安全（如 https://timestamp.geotrust.com/tsa），防止中间人攻击。
2. 保存原始文件 + 摘要 + 时间戳响应 (.tsr) 作为完整证据链。
3. 定期归档 TSA 证书链，确保未来仍能验证长期存证。

---

🧩 应用场景示例

• 在电子合同平台中，签署后对 PDF 合同生成哈希并申请时间戳；
• 软件发布时对安装包进行时间戳绑定，证明发布日期；
• 区块链项目中为交易快照提供外部可信时间锚点。

---

通过 OpenSSL 工具链，开发者可实现自动化的时间戳申请与验证流程，是构建合规电子证据系统的低成本高可信方案。