Esta pregunta de SE describe un escenario que no entiendo completamente el caso de uso o cómo 4998 puede ayudar a corregir la cuestión.
¿Cómo y cuándo se debe usar XAdES-X-L, y dónde se debe usar RFC4998?
Esta pregunta de SE describe un escenario que no entiendo completamente el caso de uso o cómo 4998 puede ayudar a corregir la cuestión.
¿Cómo y cuándo se debe usar XAdES-X-L, y dónde se debe usar RFC4998?
La diferencia entre los registros de evidencia y las firmas de XAdES es que, bueno, el primero consiste en registros de evidencia (garantiza la integridad de los datos) y el segundo en firmas (garantiza la integridad y autenticidad de los datos).
Los diversos formatos de XAdES permiten a las personas y entidades legales firmar . En un número cada vez mayor de países, esto tiene el mismo valor legal que firmar un documento en papel , sin embargo, con una mayor seguridad (forjar una firma digital es teóricamente imposible si utiliza probada, algoritmos de encriptación y cifrado seguros).
Sin embargo, hay algunos problemas que pueden surgir con tales firmas: los algoritmos se vuelven más débiles y la información de revocación para firmar certificados puede no estar disponible (una vez que el certificado ha caducado, no se requiere que la CA mantenga su información de revocación relacionada). Como resultado, el archivo de firmas digitales por largos períodos puede volverse impráctico ... a menos que guarde, junto con la firma, toda la información de revocación relacionada y, al mismo tiempo, se asegure de que no se pueda falsificar en caso de que los algoritmos (que se utilizaron en el momento de su creación) debilitarse / romperse.
Y eso es exactamente lo que traen los formatos de archivo / a largo plazo de XAdES: agregan información de revocación a la firma y luego emiten una nueva marca de tiempo (con un algoritmo más fuerte esta vez) sobre esta firma actualizada. Esta nueva marca de tiempo por lo tanto cubre el valor de la firma original, junto con la información de revocación agregada. Al emitir dichas marcas de tiempo de archivo cada vez que un algoritmo se debilita y / o cuando un certificado de firma caduca, virtualmente puede archivar la firma original para siempre.
Los registros de evidencia, por otro lado, son evidencias "justas" a las que se ha aplicado una marca de tiempo (cfr. RFC3161). Esto se puede usar para probar que alguna parte de los datos realmente existió en un momento dado en el tiempo, pero se pierde el propósito legal de una firma (es decir, alguien marcó su acuerdo con algo especificado en un determinado documento).
Entonces, para resumir: XAdES-A debe usarse cuando necesite almacenar el material de archivo dentro de la firma. De lo contrario, las ER pueden hacer el mismo trabajo ...
Lea otras preguntas en las etiquetas digital-signature