Ho difficoltà a capire, come un PDF che è stato firmato - diciamo anni fa - con una firma digitale a lungo termine, può essere verificato oggi, quando l'emittente del certificato è fallita e il risponditore CRL non è più on-line?
Come faccio a sapere se la firma di questo documento è stata revocata in qualsiasi momento da allora?
Una firma LTV incorpora tutto l'elemento necessario per verificarlo nel tempo:
(B) certificato di firma e firma
(T) un timestamp sulla firma
(LT) ha utilizzato certificati e prove di revoca (ocsp & risposte crl)
(LTA) un timestamp di archivio sul contenuto precedente
Il timestamp dell'archivio protegge il contenuto completo e stabilisce la data in cui è stato emesso
Se il timestamp è valido, puoi fidarti delle prove di revoca e controllare che il certificato di firma e la catena di certificazione fossero validi e non revocati al momento della firma del documento
Il tempo di scadenza globale è limitato dalla validità del certificato di data / ora. Quando il timestamp è vicino alla scadenza, è necessario aggiungerne altri
Infine gli identificatori B, T, LT e LTA rappresentano il livello della firma come definito negli standard ETSI AdES per le firme a lungo termine (PAdES, XAdES, CAdES)
Per verificare la firma su un documento non importa se il certificato è stato revocato ora. È invece rilevante che il certificato non sia stato revocato al momento della firma del documento.
Ecco perché una firma di convalida a lungo termine coinvolge anche lo stato di revoca del certificato al momento della firma (che contiene un momento in cui questo stato è valido) e idealmente anche un timestamp sicuro in modo che non possa essere firmato successivamente includendo uno stato di revoca precedente. Vedi Stabilire la convalida della firma a lungo termine per i dettagli.
Leggi altre domande sui tag digital-signature