Fonctionnement du certificat de création

La preuve, le format et comment la vérifier de façon indépendante

Un certificat atteste un seul fait : qu’un ensemble précis d’octets existait à un instant donné. Il le fait en trois couches indépendantes, de sorte que la preuve demeure valide même si l’une d’elles — y compris Timbrica — venait à disparaître.

Trois couches de preuve
1
Couche 1 — Horodatage serveur
Timbrica enregistre l’empreinte et l’instant de l’enregistrement. Autorité : ce site. La couche la plus faible — elle repose sur la confiance accordée à Timbrica.
2
Couche 2 — Horodatage de confiance RFC 3161
Une autorité d’horodatage indépendante signe l’empreinte avec son certificat. Preuve électronique reconnue, vérifiable auprès de l’autorité — Timbrica n’est pas nécessaire.
timestamp.digicert.com · timestamp.sectigo.com · rfc3161.ai.moda
3
Couche 3 — Ancrage Bitcoin
L’empreinte est engagée dans la blockchain Bitcoin via OpenTimestamps. L’heure du bloc est publique et permanente ; aucune autorité — pas même l’autorité d’horodatage — n’est nécessaire pour la vérifier.
Identifiant du certificat

Chaque certificat reçoit un identifiant de 12 caractères, par exemple TC-7K3M-9P2X-VQ. Il comporte un caractère de contrôle, de sorte qu’un identifiant mal saisi est rejeté plutôt que de renvoyer vers un mauvais enregistrement.

Pourquoi une empreinte plutôt que le fichier

Une empreinte SHA-256 est une valeur de 64 caractères calculée à partir des octets d’un fichier. Le même fichier produit toujours la même empreinte ; modifier un seul octet la change complètement ; et le fichier ne peut pas être reconstruit à partir d’elle. Timbrica horodate l’empreinte, de sorte que le registre n’a jamais besoin du fichier lui-même.

Vérifier un certificat de façon indépendante

Vous n’avez pas à faire confiance à Timbrica — ni même à la contacter. Avec le fichier et le lot de preuves, n’importe qui peut confirmer un certificat :

  1. Recalculez l’empreinte SHA-256 du fichier et confirmez qu’elle figure dans l’entrée canonique.
  2. Calculez le hachage de l’entrée canonique et confirmez qu’il correspond à l’empreinte de l’entrée.
  3. Vérifiez le jeton RFC 3161 auprès de l’autorité d’horodatage — par exemple avec « openssl ts -verify ».
  4. Vérifiez la preuve Bitcoin (.ots) sur la blockchain avec n’importe quel vérificateur OpenTimestamps.

Si les quatre concordent, le fichier existait prouvablement au plus tard à la date attestée — une conclusion qui ne dépend pas de l’existence de Timbrica.

API JSON ouverte

Chaque certificat public est disponible en JSON en lecture seule, incluant la preuve complète. Aucune clé n’est requise.

Limites honnêtes

Un horodatage prouve QUAND, jamais SI-C’EST-VRAI. Il montre qu’un fichier existait à une date ; il ne peut pas montrer qui l’a créé, s’il est original, ni si une déclaration est vraie. Il peut seulement prouver « au plus tard » — c’est précisément pourquoi il ne peut pas servir à fabriquer une date antérieure.