El problema de validez a largo plazo
Un sello de tiempo cualificado creado hoy utiliza SHA-256 y RSA-4096. Estos algoritmos son seguros ahora, pero los avances criptográficos podrían debilitarlos a lo largo de las décadas. Si las primitivas criptográficas de un sello de tiempo se vuelven inseguras, la evidencia que proporciona puede ser impugnada. El archivado a largo plazo requiere medidas proactivas para mantener el valor probatorio durante períodos de 10, 20 o incluso más de 50 años.
Renovación de sellos de archivo
La solución es el re-sellado periódico, definido en estándares como ETSI TS 101 733 (CAdES) y ETSI TS 103 171. Antes de que un algoritmo se debilite, se aplica un nuevo sello — con algoritmos actuales y robustos — sobre toda la cadena de evidencias existente. Esto crea una serie anidada de sellos, cada uno protegiendo la validez del anterior. El momento crucial es actuar antes de que el algoritmo sea declarado comprometido.
El estándar LTANS
El grupo de trabajo Long-Term Archive and Notary Services (LTANS) del IETF produjo RFC 4998 (Evidence Record Syntax), que define cómo construir y mantener cadenas de registros de evidencia verificables indefinidamente. Los estándares ETSI TS 119 511 y TS 119 512 proporcionan perfiles específicos de la UE para servicios de conservación a largo plazo. Estos estándares son la referencia para cualquier archivado conforme a eIDAS.
Implementación práctica
Configure una monitorización automatizada de los avisos de depreciación de algoritmos publicados por NIST y ENISA. Configure su sistema de archivado para activar el re-sellado cuando los algoritmos se aproximen a su fecha de fin de vida recomendada. Conserve todos los tokens de sello intermedios — nunca descarte sellos antiguos, ya que forman parte de la cadena de evidencias. La política de retención también debe contemplar la migración de formatos de archivo a estándares duraderos.