Cómo verificar el nivel de firma PAdES en Acrobat Reader

Al contrario de la creencia generalizada, cuando la herramienta Adobe Acrobat Reader DC indica en el panel de firma “Preparada para LTV”, no significa que el nivel de firma cumpla con el nivel de firma PAdES LTV (o PAdES LTA en los nuevos perfiles Baseline). En este breve artículo se explica con pantallazos cómo verificar si se cumple con el nivel de firma que requiere la política de formato oficial.

El primer paso, asumiendo que Acrobat Reader ya está debidamente configurado con la configuración y documentación proporcionada por Soporte Firma Digital, es abrir un documento firmado. En el panel de firma aparecerá al menos una firma. Haciendo clic con el botón secundario aparecerá un menú contextual donde se deberá elegir “Mostrar propiedades de firma…”:

Pantallazo que muestra el panel de firmas y el menú contextual sobre la firma desplegado opciones, donde la última muestra la opción 'Mostrar propiedades de firma'

Alternativamente, si el documento dispone de representación visual de la firma, conocida popularmente como “firma visible”, puede hacerse clic sobre ella, mostrando una ventana como la siguiente, donde se deberá hacer clic sobre el botón “Propiedades de la firma…”:

Pantallazo que muestra la ventana que se abre al hacer clic sobre el recuadro de la firma visible del documento cuya ventan se titula 'Estado de validación de la firma' y contiene un botón con el texto 'Propiedades de la firma'

Sea cual sea el procedimiento que se haya seguido en cualquiera de los dos pasos anteriores, aparecerá otra ventana como la siguiente, donde se deberá hacer clic sobre el botón “Propiedades avanzadas…”:

Pantallazo de la ventana con el título 'Propiedades de la firma', donde en la parte inferior aparece el botón con el texto 'Propiedades avanzadas'

Tras ello, aparecerá una nueva ventana como la que sigue, que contiene dos recuadros: el primero llamado “Detalles de la firma”, si la firma cumple con la especificación PAdES, mostrará el texto Nivel de firma de PAdES, cuyos valores pueden ser B-B, B-T, B-LT o B-LTA. Estos niveles, donde la primera B es la abreviatura del perfil Baseline, equivalen a los del perfil antiguo Standard, cuyos equivalentes eran BES/EPES, T, X-L y LTV. Por tanto, si la firma cumple con el nivel que pide la política de formato oficial, que para PDF ha de ser PAdES LTV, en Acrobat Reader deberá mostrar el nivel B-LTA en esa ventana:

Pantallazo de la ventana titulada 'Propiedades de firma avanzadas' donde se observa el texto 'Nivel de firma de PAdES'

Eso es todo. Como detalle adicional, una característica visible que tienen todas las firmas con nivel PAdES LTV (o PAdES Baseline LTA) es que contienen un sello de tiempo a nivel documento que cubre todas las firmas anteriores. Si no tiene al menos ese sello de tiempo como se puede ver en la siguiente imagen, es altamente probable que el nivel de firma no aparezca como B-LTA cuando se revise en las propiedades avanzadas de firma:

Pantallazo del detalle de una firma con nivel LTV que incluye una sello de tiempo a nivel documento

3 comentarios en “Cómo verificar el nivel de firma PAdES en Acrobat Reader

  1. Roy:

    Gracias Fran. ¿El nivel LTA no es lo que se conocía antes como Archiving? lo pregunto porque por la descripción que usted hace de sello de tiempo, con el archiving se ponía un sello de tiempo cada cierto tiempo, con un algoritmo de hash más fuerte, con el propósito de hacer una especie de wrap del documento original a través de los años y evitar cuestionamientos cuando los algoritmos de hash van perdiendo vigencia. ¿Es a esto con lo que te refieres de LTA? Me queda también la duda porque hasta donde recuerdo, la política de Costa Rica para firma avanzada habla de PADES-LTV, pero para el momento en que se elaboró dicho documento, se especificaba también en el mismo XADES-XL para XMLs y PADES-LTV para PDFs, con lo cual, no parecería que la intención fuese dotar de nivel de Archiving a los PDF y no así a los XML. De ahí mi inquietud si LTA es o no lo que se conocía como Archiving? ya que el sello de tiempo que se agrega para que Adobe ponga LTA en lugar de LT coincide con ese concepto de sello de tiempo a través del tiempo para atacar el riesgo de las deficiencias en los algoritmos de hash conforme pasan los años. Ahora, todo esto es basado con el estándar de política de formatos avanzados de Costa Rica. Muchas gracias por su tiempo y retroalimentación a esta duda.

  2. Francisco de la Peña:

    Buenas Roy:
    Es correcto, de hecho creo que la causa de que LTV requiera sello de tiempo es que no hay una definición formal de la existencia de PAdES-XL, no había ninguna referencia a PAdES-X-Long o XL en ninguna de las 6 partes del ETSI TS 102 778. No obstante, si se usaran los perfiles Baseline, PAdES-B-LT sí se referiría a un equivalente sin ese sello de tiempo. De todos modos esto es solo una hipótesis porque desconozco si el hecho de que no hubiera niveles intermedios claramente definidos entre el “Basic” y el “LTV” fueran la razón por la decisión.
    Lo de los niveles para archiving que indica es correcto, la equivalencia entre los perfiles standard para archiving (XAdES-A, CAdES-A y PAdES-LTV) en el perfil Baseline equivalen a LTA. En la especificación técnica ETSI TS 102 778-4, en la página 17, anexo B, se puede ver la equivalencia entre PAdES-LTV con respecto a CAdES-XL (descrito como CAdES-X-Long) y CAdES-A, y cómo el nivel LTV tiene un sello de tiempo a nivel documento para ambas equivalencias: https://www.etsi.org/deliver/etsi_ts/102700_102799/10277804/01.01.02_60/ts_10277804v010102p.pdf donde dice textualmente en ambas ocasiones: “A document Time-stamp as specified in clause A.2.” donde deja claro que en caso de PDF este nivel lleva sello de tiempo a nivel documento en ambas equivalencias. Este A.2 está definido en la página 15 del mismo PDF. Además en la página 9 se describe con un gráfico que el nivel LTV lleva al menos un document timestamp. También viene un ejemplo de timestamps posteriores para el propósito de archivado.
    En las especificaciones Baseline está indicada la equivalencia entre los -A y LTA, también en la documentación de la librería DSS viene resumido en una tabla con la equivalencia entre PAdES-LTV y PAdES-B-LTA:
    https://ec.europa.eu/cefdigital/DSS/webapp-demo/doc/dss-documentation.html#_signatures_profile_simplification
    Saludos.

  3. Roy:

    Muchas gracias Fran por su respuesta. Pienso que el LTV citado en el formato avanzado de firma digital para CR no se refiere al Archiving, porque tendría poco sentido definir un formato avanzado con más información para PADES que para XADES. De hecho el validador de firma digital que ofrece el Banco Central de Costa Rica para firma digital avanzada, se da por satisfecho con un PDF B-LT, por tanto, mi conclusión sería que para el caso de Costa Rica, el sello de tiempo adicional del LTA no es realmente el espíritu con el que se hizo el documento de política de formatos avanzados. Voy a escribir al BCCR, para ver si esta hipótesis es correcta, y por tanto, para efectos legales en CR, la política de formato avanzado de PDF es B-LT, siendo el Archiving un tema de preservación del documento a través del tiempo como un adicional para evitar la obsolescencia de los algoritmos de hash. Saludos.

Responder a Francisco de la Peña

Tu dirección de correo electrónico no será publicada.