Semplice - ファイル作成日時を証明する

ファイル作成日時は何故に重要なのか

　以前より悩みつつ、結局いいアイディアが無かった問題なんだけど。
　ある文書や画像ファイルを作成したとする。その作成日時なり最終変更日時を証明しうる方法は、どのような手法があるのだろうか。
　例えば何かの契約書やガイドラインを書いた作成・最終保存日時、これが簡単に改竄できるならば、とんでも無い話である。何かの企業間の覚書についての作成日時を過去の日付にさかのぼって作成し、それを元に騒がれたりしたらば困るのだ。またその作成者が特定の人物であると証明できなければ、第三者の介在を否定できない。
　大体、万が一何らかのトラブルが起きたらば、ファイルの作成日時などは全く当てにならないものである。
　（Windowsのプロパティで表示されるファイルの作成日時や変更日時の改変は、極めて容易である）

　万が一何かの深刻なトラブルが起き、場合によっては法的闘争の場に持ち込まれた場合を想定してですね。このような電子媒体の「何年何月何日に作成した文書」と証明する方法を探し、以前途方にくれた経験があります。
　仕様書や契約書などを契約先に送付しモメた場合、ファイルの作成日時をうまーくゴマかして、相手の経済活動や社会活動に悪影響を与えたり、経済上の損害を与えられるものです。
　また何かの事件絡みの場合、ファイルを作成した日時が有罪・無罪を証明するに証拠となり得る可能性がありますが、この日時が不確かで且つ証明できないものであるならば、証拠力が失われます。

MD5シグネチャによるファイル改竄検出

　MD5シグネチャをファイルから取得するために、例えばcompencのようなツールがある。

　MD5シグネチャは、ある意味で不可逆的であり。その値を元に、その値を示すようなファイルを作成するのは、事実上不可能である。
　再配布時のファイルの改竄を抑止する目的で、MD5シグネチャの値を本家やダウンロードサイトに掲載しているソフトウェア作者も居るのだ。
これを利用するとして、自分として以前から考えていた方法なんだけど。

　作成したファイル（Wordのdocファイル、PDF、その他）を何かのツールでMD5シグネチャを取り、そのシグネチャを内容証明郵便で自分に送るとの方法を考えた。
　しかしこれは、やや使い勝手の悪い方法である。

　作成者の偽装やファイル作成日時を偽装する攻撃をこのように郵便屋さんを利用して回避できたとしても、だ。運用上はそのファイルの作成元だけではなく、それを配布され入手したサイドからでも、容易にそして確実に日時を確認できなければ、意味はあまり無くそして難しいような。

　大体、「正しいMD5シグネチャの値」をどうやって不特定多数の相手に伝えるのだ？
　もしも公式サイトなりに掲載するとしてもだ。大抵のサイトはhttpsなどは使われていないので、それが本当に公式サイトなのか否かはわからないものだ（例としてファーミング詐欺）。これではなぁ。

AdobeのPDF文書へのタイムスタンプ

　とか考えてたらば、まさに絶妙な記事を見つけた。
　e-文書法に耐えうる「証明力」の高いPDF文書を――アドビとPFUが提携（ITmedia）

　PFUでは、同社のタイムスタンプサービスと連携してPDF文書にタイムスタンプを付与する無償のプラグインソフトウェア「PFU タイムスタンプ for Adobe Acrobat」をWeb上で提供。これを利用すれば、「Adobe Acrobat 7.0 Standard／Professional 日本語版」上で容易に電子署名とタイムスタンプの付与が行えるようになる。プラグインツール自体は無償だが、タイムスタンプ発行に当たってはライセンス料金が必要だ。価格は、1000スタンプ発行ライセンスパックで1万円からとなっている。
　こうして作成されたタイムスタンプ付きPDF文書は、Adobe AcrobatおよびAdobe Reader 7.0上で検証可能だ。タイムスタンプ情報は文書本体と一体化しており、見た目上も、一目で分かる「印」が付けられる。
e-文書法に耐えうる「証明力」の高いPDF文書を――アドビとPFUが提携（ITmedia）

　うーむ、素晴らしい（笑これは個人レベルでできない、二つの問題をクリアしている。
　1）PDF文書作成日時の証明
　2）その文書が確かにある人物が作成したとの証明
　このような認証により、ファイルそのものの信頼性は増し、改竄や偽装などのインシデントを回避できるだろう。しかも、それを確かめるのは容易である（これ大事）。

　今月1日から個人情報保護法の波が到来し、ある程度以上の規模の企業や団体であれば、この手の問題は避けられない状況である。
　だからどこもかしこも、このような製品の導入が積極的に推奨されている。

　このようなファイルの第三者による作成日時の証明、また閲覧できるユーザーの制限、ある指定した日時を過ぎるとファイルの閲覧を制限できる「時限爆弾？」な機能など、目白押しである。
　興味深い事に、指定した日時を過ぎると閲覧できなくなるメールを送れるソフトウェアも存在するらしいが、詳細がわからない。
　いずれにしても、文書の取り扱いによってはビジネスシーンでは金額に換算すれば途方もない金額の損害も生じる現代である。
　また金額なんて関係ない次元での損害、つまり「信用」の問題もある。
　不適切な電子文書の取り扱いによる信用の失墜は、金額では換えられないダメージがあるのだよ。

気になる事として - 再配布とファイル改竄

　よく第三者による再配布が許可されてるツールなりアプリケーションがあるんだけど。
　あれって、ですね。電子署名などの処理がされておらず、MD5シグネチャが公式サイトに書かれていない場合があるんですが。
　これでは悪意の第三者がそのツールを改竄して再配布する可能性を、排除できないんではないでしょうか。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-04-15 ファイルの作成日時の証明（http://d.hatena.ne.jp/LucaLuca/20050415）を修正・加筆し移転したものです。