zylk.net Sinadura

Un resmen rápido podría ser el siguiente:

1 - Se firma el documento.
2 - Se añade el sello de tiempo. (En realidad los dos pasos son único paso, añadir el pkcs7 al documento PDF)
3- Se envia por mail el documento a otra persona.
4- Otra persona abre el documento.
5- Si confiaba en el certificado del firmante saldrá en verde.
6- Si no confiaba en el certificado del firmante saldrá la interrogación. (Esta parte es la que se explica en diario linux)

En general este podría ser un resumen rápido, pero hay más temas, validación OCSP/CRL del certificado firmante.

Resumiendo: Por el momento para que la firma sea confiable son los clientes los que tiene que importar sus certificados en los lectores de PDF.

En principio con añadir el RAIZ y el de la subordinada correspondeinte debería llegar. Si eso te envio un mail ahora en privado y me envias un pdf de ejemplo para ver si lo podemos validar nosotros.

un saludo y gracias
--gustavo

PS: el mail te lo envio a la cuenta con la que te has registrado en sinadura.

¿con qué subordinada está firmado tu dnie?, si es con la 002 o la 003 el validador de adobe siempre va a decir que no se puede verificar la firma porque la ocsp de respuesta la firma un certificado firmado por la 001.

Este tema se consultó una vez a la gente del dnie y la respuesta que dieron es la siguiente:

En determinadas versiones de Acrobat, el producto de Adobe, presenta el comportamiento que está describiendo: las firmas generadas mediantes DNIe expedidos por la Autoridad de Certificación AC-DNIE-001 se considera correcta pero la misma firma generada con documentos expedidos por las Autoridades de Certificación AC-DNIE-002 y AC-DNIE-003 se consideran "no verificables" o "no confiables". La razón hay que buscarla en una interpretación particular que Adobe ha hecho de la RFC-2560, concretamente del apartado 2.2. (apartir de la verisón 7.0) dicha interpretación lleva a los productos de Adobe a asumir que la respuesta del OCSP-responder debe ir firmada por la misma CA que expidió el certificado que se está validando.

El validador de sinadura permite confiar directamente en el ocsp responder, sin que éste tenga que estar firmado por el certificado que firmó el dni-e

La conclusión por tanto es que si está firmado con 002 o 003 el adobe no lo va a reconocer y no tiene nada que ver con el proceso de firma si no con como está montada la VA (entidad de validación) el dni-e y como adobe interpreta el RFC de validación correspondiente.

En este hilo del foro de adobe se pude encontrar parte de la información y de como se interpreta el estandar.

http://forums.adobe.com/thread/421863

un saludo
--gustavo (zylk.net / Sinadura Team)

En el equipo de sinadura no hemos conseguido hacerlo, y tiene pinta de que no se va a poder hacer de manera sencilla, porque desde el dnie dicen que es un problema de adobe y desde adobe que es un problema del dnie,
Está es una de las razones por las que añadimos la validación de pdfs en la versión 2.0 de sinadura, para poder validar los pdfs firmados con dnie 002 y 003.


--gustavo (zylk.net / sinadura Team)