Firefinch
Servicio · TSA · Timestamp Authority

Sello de confianza para no repudio

Una Autoridad de Sellado de Tiempo emite un token criptográfico que vincula el hash de tus datos a un instante verificable — firmado por una tercera parte neutral. Nadie puede negar que ese dato existía exactamente así, en ese momento.

RFC 3161 RFC 5816 TST · TimeStampToken TSA / TSP PKI-bound CAdES / XAdES / PAdES no repudio
Cotizar TSA Ver plataforma

¿Qué es un sello TSA?

Para quien sabe de seguridad

La TSA recibe un TimeStampReq con el hash SHA-256/SHA-512 del artefacto. Responde con un TimeStampToken (estructura CMS SignedData) firmado con el certificado de la TSA — cuya cadena termina en una CA de confianza. El token incluye el hash original, el genTime (UTC) y un serialNumber único. Verificar el sello en el futuro requiere solo el token + el artefacto: si el hash coincide y la firma TSA es válida, se prueba existencia e integridad. Soporta LTV con OCSP/CRL embebidos para que el sello sobreviva la expiración del certificado firmante.

Para quien no es técnico

Imagina una notaría digital que pone su sello en tu documento sin ver el contenido — solo registra "este documento, en esta forma exacta, existía a las 14:32:07 del 15 de junio de 2026". Ese sello está firmado criptográficamente por una tercera parte neutral. Si alguien altera el documento un segundo después, el sello no coincide. Si alguien dice "ese contrato no existía antes de la firma", el sello lo refuta. Es evidencia irrefutable de tiempo e integridad.

Qué resuelve

Prueba criptográfica de existencia e integridad en un instante específico, emitida por una tercera parte neutral.

  • No repudio: ninguna de las partes puede negar que el dato existía así, en ese momento.
  • Integridad verificable: cualquier alteración posterior rompe la validación del token.
  • Cumplimiento con CAdES-T, XAdES-T, PAdES-T (firmas con sello de tiempo).
  • LTV (Long-Term Validation): sello válido incluso tras expirar el certificado TSA.
  • Alta disponibilidad, monitoreo y auditoría del TSP operado por Firefinch.
RFC 3161 / 5816 CAdES / XAdES / PAdES No repudio LTV Evidencia legal

Preguntas frecuentes (TSA)

Para equipos de seguridad y para quienes evalúan el servicio sin expertise técnico.

¿En qué se diferencia un sello TSA de una firma electrónica?

La firma acredita quién firmó. El sello TSA acredita cuándo existía el dato y que no ha cambiado desde entonces. Son complementarios: una firma con sello TSA (CAdES-T, PAdES-T) prueba autoría y momento de existencia, eliminando el repudio en ambas dimensiones.

¿Qué pasa si el certificado de la TSA expira?

Con LTV se embeben los datos de revocación (OCSP/CRL) en el token al emitirlo. Permite verificar el sello en el futuro incluso si el certificado ya expiró — la prueba de validez en el instante del sellado queda preservada en el propio token.

¿Es compatible con firmas PAdES, CAdES, XAdES?

Sí. La TSA emite tokens RFC 3161 estándar que se integran en los perfiles -T de PAdES, CAdES y XAdES. Compatible con Adobe Acrobat, OpenSSL, BouncyCastle, librerías DSS/ETSI y la mayoría de plataformas de firma.

¿Cómo lo integro a mi aplicación?

Vía HTTP/HTTPS: tu app construye un TimeStampReq (hash + nonce), lo envía al endpoint TSA, y recibe el TimeStampToken para almacenarlo junto al artefacto. Librerías disponibles en Java, .NET, Python, Node y OpenSSL. También integramos directo en tu pipeline de firma existente.

¿Qué volumen puede manejar?

El servicio está dimensionado para alta disponibilidad y volumen transaccional. Comparte tus sellos/segundo esperados y lo validamos con el diseño adecuado.