Hashketen en blockchain-verankering van het bewijs
Een losse handtekening bewijst veel, maar een keten van aan elkaar gekoppelde bewijspunten is nog sterker: daarin valt geen enkel punt achteraf ongemerkt te veranderen of te verwijderen. Daarvoor bouwen wij een attestatie-keten van checkpoints.
De attestatie-keten met Merkle-roots
Periodiek vatten wij de bewijslaag samen in een checkpoint. Zo'n checkpoint bevat een Merkle-root: één hash die alle voorgaande handtekeningen en manifesten samenvat. Elk checkpoint legt bovendien de hash van het vorige checkpoint vast (prev_checkpoint_hash). Daardoor ontstaat een hashketen waarin elke schakel de vorige bevestigt — wie één checkpoint zou willen aanpassen, breekt de hele keten erna.
Aanvullend verankerd via OpenTimestamps
De checkpoints kunnen wij aanvullend verankeren via OpenTimestamps, dat hashes vastlegt in de Bitcoin-blockchain. Daarmee staat het bestaan van een checkpoint op een bepaald moment ook publiek en onafhankelijk vast, zonder dat de inhoud van uw archief ergens openbaar wordt — alleen een hash wordt verankerd.
OpenTimestamps/Bitcoin-verankering is best-effort: een extra, onafhankelijk anker bovenop de keten, geen gegarandeerde always-on functie. De primaire tijdsbewijzen blijven de RFC 3161- en gekwalificeerde eIDAS-tijdstempels op de checkpoints.
Dit is de attestatielaag, niet het auditlog
Belangrijk onderscheid: deze hashketen hoort bij de attestatie- en bewijslaag van het archief. Het is iets anders dan ons auditlog. Dat auditlog registreert toegang en handelingen append-only, met per regel een eigen checksum en volgnummer en met spiegeling naar S3 — maar de auditregels worden niet onderling aan elkaar geketend. De Merkle-checkpoints zijn dus de geketende bewijslaag; het auditlog is dat uitdrukkelijk niet.
Samen sluitend bewijs
De hashketen bouwt voort op de digitale ondertekening van het manifest met de checksums over alle .warc-shards, en wordt versterkt door periodieke fixity-controles. Zo onderbouwt de keten aantoonbaar en onweerlegbaar het voldoen aan de bewaareisen.