TimestampCompare
Volver a artículos
timestamping · 8 min de lectura

Cómo funciona el sellado de tiempo: RFC 3161 explicado

RFC 3161 es el estándar de Internet para el sellado de tiempo de confianza. Descubra cómo este protocolo crea una prueba criptográfica inviolable de la existencia de un documento en un instante preciso.

El protocolo RFC 3161

RFC 3161, publicado por la IETF, define el Time-Stamp Protocol (TSP). El funcionamiento es el siguiente: el cliente calcula una huella criptográfica (hash) del documento, envía únicamente esa huella a la Autoridad de Sellado de Tiempo (TSA), que la combina con la hora UTC actual, firma los datos con su clave privada y devuelve un token firmado. El documento en sí nunca abandona el sistema del cliente — solo se transmite su huella, garantizando la confidencialidad total del contenido. Este token puede ser verificado de forma independiente por cualquiera que disponga de la clave pública de la TSA.

Garantías criptográficas

La seguridad del protocolo RFC 3161 se sustenta en dos pilares complementarios: las funciones hash y las firmas digitales. La función hash garantiza que cualquier modificación del documento — incluso de un solo bit — produce una huella completamente diferente, haciendo imposible cualquier falsificación indetectable. La firma digital de la TSA certifica que el token fue emitido genuinamente por la autoridad de confianza y no ha sido manipulado desde su emisión. Estos mecanismos combinados proporcionan garantías de no repudio que superan ampliamente los métodos documentales tradicionales.

Proceso de verificación

La verificación de un sello de tiempo sigue un protocolo riguroso. El verificador recalcula primero la huella del documento, extrae la huella contenida en el token y las compara — deben ser perfectamente idénticas. A continuación verifica la firma digital de la TSA mediante su clave pública. Si todas las verificaciones se superan, el verificador dispone de la prueba de que el documento existía en su forma actual en la fecha indicada. Este proceso puede automatizarse por completo y constituye una prueba admisible ante los tribunales europeos en el marco del reglamento eIDAS.

Algoritmos y tamaños de clave

Las implementaciones modernas usan SHA-256 o SHA-512 para el hash y RSA-2048 o ECDSA P-256 para las firmas digitales. SHA-1 se considera obsoleto por vulnerabilidades de colisión ya explotables y no debe usarse en nuevos sistemas. Los QTSP serios emplean generalmente RSA-4096 o ECDSA P-384 para sus claves de firma, ofreciendo márgenes de seguridad calculados para permanecer robustos mucho más allá de 2030.