Al contrario de la creencia generalizada, cuando la herramienta Adobe Acrobat Reader DC indica en el panel de firma “Preparada para LTV”, no significa que el nivel de firma cumpla con el nivel de firma PAdES LTV (o PAdES LTA en los nuevos perfiles Baseline). En este breve artículo se explica con pantallazos cómo verificar si se cumple con el nivel de firma que requiere la política de formato oficial.
El primer paso, asumiendo que Acrobat Reader ya está debidamente configurado con la configuración y documentación proporcionada por Soporte Firma Digital, es abrir un documento firmado. En el panel de firma aparecerá al menos una firma. Haciendo clic con el botón secundario aparecerá un menú contextual donde se deberá elegir “Mostrar propiedades de firma…”:
Alternativamente, si el documento dispone de representación visual de la firma, conocida popularmente como “firma visible”, puede hacerse clic sobre ella, mostrando una ventana como la siguiente, donde se deberá hacer clic sobre el botón “Propiedades de la firma…”:
Sea cual sea el procedimiento que se haya seguido en cualquiera de los dos pasos anteriores, aparecerá otra ventana como la siguiente, donde se deberá hacer clic sobre el botón “Propiedades avanzadas…”:
Tras ello, aparecerá una nueva ventana como la que sigue, que contiene dos recuadros: el primero llamado “Detalles de la firma”, si la firma cumple con la especificación PAdES, mostrará el texto Nivel de firma de PAdES
, cuyos valores pueden ser B-B, B-T, B-LT o B-LTA. Estos niveles, donde la primera B es la abreviatura del perfil Baseline, equivalen a los del perfil antiguo Standard, cuyos equivalentes eran BES/EPES, T, X-L y LTV. Por tanto, si la firma cumple con el nivel que pide la política de formato oficial, que para PDF ha de ser PAdES LTV, en Acrobat Reader deberá mostrar el nivel B-LTA en esa ventana:
Eso es todo. Como detalle adicional, una característica visible que tienen todas las firmas con nivel PAdES LTV (o PAdES Baseline LTA) es que contienen un sello de tiempo a nivel documento que cubre todas las firmas anteriores. Si no tiene al menos ese sello de tiempo como se puede ver en la siguiente imagen, es altamente probable que el nivel de firma no aparezca como B-LTA cuando se revise en las propiedades avanzadas de firma:
Gracias Fran. ¿El nivel LTA no es lo que se conocía antes como Archiving? lo pregunto porque por la descripción que usted hace de sello de tiempo, con el archiving se ponía un sello de tiempo cada cierto tiempo, con un algoritmo de hash más fuerte, con el propósito de hacer una especie de wrap del documento original a través de los años y evitar cuestionamientos cuando los algoritmos de hash van perdiendo vigencia. ¿Es a esto con lo que te refieres de LTA? Me queda también la duda porque hasta donde recuerdo, la política de Costa Rica para firma avanzada habla de PADES-LTV, pero para el momento en que se elaboró dicho documento, se especificaba también en el mismo XADES-XL para XMLs y PADES-LTV para PDFs, con lo cual, no parecería que la intención fuese dotar de nivel de Archiving a los PDF y no así a los XML. De ahí mi inquietud si LTA es o no lo que se conocía como Archiving? ya que el sello de tiempo que se agrega para que Adobe ponga LTA en lugar de LT coincide con ese concepto de sello de tiempo a través del tiempo para atacar el riesgo de las deficiencias en los algoritmos de hash conforme pasan los años. Ahora, todo esto es basado con el estándar de política de formatos avanzados de Costa Rica. Muchas gracias por su tiempo y retroalimentación a esta duda.
Buenas Roy:
Es correcto, de hecho creo que la causa de que LTV requiera sello de tiempo es que no hay una definición formal de la existencia de PAdES-XL, no había ninguna referencia a PAdES-X-Long o XL en ninguna de las 6 partes del ETSI TS 102 778. No obstante, si se usaran los perfiles Baseline, PAdES-B-LT sí se referiría a un equivalente sin ese sello de tiempo. De todos modos esto es solo una hipótesis porque desconozco si el hecho de que no hubiera niveles intermedios claramente definidos entre el “Basic” y el “LTV” fueran la razón por la decisión.
Lo de los niveles para archiving que indica es correcto, la equivalencia entre los perfiles standard para archiving (XAdES-A, CAdES-A y PAdES-LTV) en el perfil Baseline equivalen a LTA. En la especificación técnica ETSI TS 102 778-4, en la página 17, anexo B, se puede ver la equivalencia entre PAdES-LTV con respecto a CAdES-XL (descrito como CAdES-X-Long) y CAdES-A, y cómo el nivel LTV tiene un sello de tiempo a nivel documento para ambas equivalencias: https://www.etsi.org/deliver/etsi_ts/102700_102799/10277804/01.01.02_60/ts_10277804v010102p.pdf donde dice textualmente en ambas ocasiones: “A document Time-stamp as specified in clause A.2.” donde deja claro que en caso de PDF este nivel lleva sello de tiempo a nivel documento en ambas equivalencias. Este A.2 está definido en la página 15 del mismo PDF. Además en la página 9 se describe con un gráfico que el nivel LTV lleva al menos un document timestamp. También viene un ejemplo de timestamps posteriores para el propósito de archivado.
En las especificaciones Baseline está indicada la equivalencia entre los -A y LTA, también en la documentación de la librería DSS viene resumido en una tabla con la equivalencia entre PAdES-LTV y PAdES-B-LTA:
https://ec.europa.eu/cefdigital/DSS/webapp-demo/doc/dss-documentation.html#_signatures_profile_simplification
Saludos.
Muchas gracias Fran por su respuesta. Pienso que el LTV citado en el formato avanzado de firma digital para CR no se refiere al Archiving, porque tendría poco sentido definir un formato avanzado con más información para PADES que para XADES. De hecho el validador de firma digital que ofrece el Banco Central de Costa Rica para firma digital avanzada, se da por satisfecho con un PDF B-LT, por tanto, mi conclusión sería que para el caso de Costa Rica, el sello de tiempo adicional del LTA no es realmente el espíritu con el que se hizo el documento de política de formatos avanzados. Voy a escribir al BCCR, para ver si esta hipótesis es correcta, y por tanto, para efectos legales en CR, la política de formato avanzado de PDF es B-LT, siendo el Archiving un tema de preservación del documento a través del tiempo como un adicional para evitar la obsolescencia de los algoritmos de hash. Saludos.
Buenas Roy, el MICITT publicó la versión 4 de su guía para verificar documentos firmados digitalmente donde incluyen el proceso de validación desde Adobe. La nueva versión menciona B-LTA: https://www.mifirmadigital.go.cr/?smd_process_download=1&download_id=304 . Saludos.
Fran, gracias por tu blog y la información sobre firma digital. He estado buscando documentación oficial de Costa Rica y no encuentro cómo configurar el Adobe Acrobat Reader DC (Windows) para incrustar la firma digital en el formato B-LTA. Vos tenes algun link con esa info?
Aclaro que por más ajustes que hago y siguiendo el tutorial de soportefirmadigital.com lo más que llego a obtener es el nivel PADES B-LT en los documentos firmados.
Con gusto Alejandro. Hay que tener configurado Adobe Acrobat Reader DC como se indica en esta guía de Soporte Firma Digital:
https://www.soportefirmadigital.com/sfdj/guias.aspx?Guia=FD_AcrobatDCWin
Tras la importación y configuración, debería poder firmar con la configuración adecuada para PAdES. Para lograr el nivel LTA, además de firmar, debe hacerse el paso indicado a partir del minuto y segundo 2:54 donde se agrega una marca de hora que amplía la firma hasta el nivel LTA.
Gracias Fran! ya volví a ver el video con más detenimiento e hice lo indicado. Aparte que no había cerrado y reabierto el Acrobat luego de los cambios en la config.
Ya mis documentos pasan la prueba de https://www.centraldirecto.fi.cr/Sitio/FVA_ValidarDocumentoPublico/ValidarDocumentoPublico
Gracias de nuevo!
Qué dicha que sirviera. La verdad es que es un poco complejo el proceso de configuración de Adobe. Es otra motivación por la que se diseñó el proyecto de firmador libre, https://firmador.libre.cr/