Como científico me gustaría mantener un registro oficial de la hora en que compruebo algo en mi repositorio de Git. Esto con el fin de respaldar posteriormente las afirmaciones de quién inventó lo primero durante, por ejemplo, disputas de patentes.Git: ¿Es posible falsificar la fecha de firma de una etiqueta?
En el momento en que de vez en cuando añadir una etiqueta a mi repositorio de este modo:
git tag -s -m "`date`" 2012-08-20
y empujar las etiquetas al servidor central:
git push --tags
que levanta una etiqueta muestra la Fecha en que lo firmé con mi clave:
git tag -v 2012-08-20
object 2d6f6035270e8e44c035431e99be8da3fccee095
type commit
tag 2012-08-20
tagger My Full Name <[email protected]> 1345466433 +0200
Mon Aug 20 14:40:33 CEST 2012
gpg: Signature made Mon Aug 20 14:40:37 2012 CEST using RSA key ID somekey
gpg: Good signature from "My Full Name <[email protected]>"
gpg: aka "My Full Name <personal-email>"
Mi pregunta es qué tan seguras son estas fechas? ¿Es posible manipularlos más tarde?
EDITAR: para aclarar un pero, además, deseo poder demostrar que sería muy poco probable que haya manipulado las etiquetas más adelante.
Al firmar código ejecutable con la firma de Microsoft Authenticode, puede usar un servicio de "sellado de tiempo", que verifica el momento en que se firmó la firma, siempre que confíe en el proveedor del servicio de sellado de tiempo. No sé de ninguna otra manera de firmar algo con un sello de tiempo, especialmente si se mantendría legalmente, pero podría buscar ese término. –