¿Qué es RFC 3161?
RFC 3161 es la especificación de la IETF que define cómo una Time-Stamp Authority (TSA) emite un sello de tiempo criptográfico sobre un dato arbitrario, normalmente el hash SHA-256 de un documento. El resultado es un Time-Stamp Token (TST) firmado digitalmente que enlaza el dato con un instante de tiempo confiable.
Flujo simplificado
- El cliente calcula SHA-256 del documento.
- Envía el hash a la TSA en una solicitud TimeStampReq (ASN.1 DER).
- La TSA construye un TSTInfo con el hash, el instante exacto y un identificador único.
- Lo firma digitalmente con su certificado de TSA y devuelve un TimeStampResp.
- El cliente conserva el token; cualquier verificador puede recalcular el hash y validar la firma de la TSA.
¿Por qué importa la firma de la TSA?
El valor probatorio depende de la confianza en quien sella. Por eso la NOM-151 exige que el sello sea emitido por un Prestador de Servicios de Certificación (PSC) acreditado por la Secretaría de Economía. La firma de la TSA, junto con la cadena de confianza de su certificado, es lo que vuelve el TST verificable e inalterable a futuro.
Formato y conservación
El TST se serializa en ASN.1 DER y suele almacenarse como archivo .tsr o embebido en un PDF firmado (PAdES-LTV). Para conservar su valor probatorio a largo plazo se recomienda renovar la evidencia con sellos posteriores antes de que caduquen los certificados originales.
Verificación práctica
La verificación valida tres cosas: (1) que el hash del documento actual coincide con el del token, (2) que la firma del TSA es válida y su certificado estaba vigente al sellar, y (3) que la cadena de confianza llega a una raíz reconocida. Si los tres puntos se cumplen, el documento se considera íntegro y con fecha cierta.