Archivo por días: 2011 . marzo . 04

Duda sobre firmas AdES-XL

4 respuestas

Mi amigo Daniel me hace llegar una duda sobre firmas AdES, pidiendo la opinión de los expertos.

Se tiene una firma XADES-XLong, que contiene la CRL correspondiente. Esta CRL no está sellada (es decir, no es una XLong-Type1 ni Type2). Si se verifica la CRL antes de que la CA publique una nueva CRL, el documento XADES-XLong es válido. Pero si se verifica una vez que la CA ha publicado una nueva CRL, entonces no, y yo no estoy de acuerdo con este último aspecto, ya que se está asumiendo que el documento firmado caduca en la fecha indicada por el nextUpdate de la CRL.

Para evitar mezclar el período de gracia, podemos asumir que la XADES se realizó el 1 de enero, se convirtió en XADES-T el 15 de enero, y se convirtió en XADES-XLong el 30 de enero. Y que la verificación se está intentando hacer hoy, 4 de marzo.

¿Creis que es correcto?

Daniel cree que el documento XLong seguirá siendo válido hasta que caduque uno de estos tres certificados

  • El certificado del usuario firmante
  • El certificado del sello de tiempo de la XADES-T
  • El certificado de la CA que ha firmado la CRL

Pero no que dejará de ser válido en la fecha nextUpdate de la CRL

Esta es mi opinión:

El documento firmado con XAdES-T indica que el certificado se usó para firmar con anterioridad a la fecha indicada en el Sello de tiempo.

Cada CRL lleva su fecha. Las CRL son documentos con validez derivada de política, no necesitan tener firmas avanzadas. La especificación es la RFC 3280, no están en formato XML.

Luego, si una CRL posterior al sello de tiempo indica que el certificado no está revocado, la firma completa es válida. Incluso si se indica que el certificado está revocado, si la fecha de revocación (incluida en la CRL) es posterior, la firma es válida. A todo esto, hay que considerar «el período de gracia» transcurrido entre la fecha del timestamping y la de la primera CRL «válida».

Y el Documento X-Long es válido para siempre si se custodia debidamente (que es la opción que yo prefiero) o si se refirma en XAdES-A cada 5 años.

El sello de tiempo es un documento con validez derivada de política y no caduca. La CA aunque caduque no afecta a las firmas hechas con certificados que eran válidos en el momento de la firma.

Animo a los lectores a dar su opinión.