AgilSign

Confianza y Seguridad

Cada documento firmado con AgilSign está respaldado por infraestructura criptográfica de nivel empresarial y sellado en la blockchain de Bitcoin.

Infraestructura de Seguridad

Autoridad Certificante Propia

AgilSign opera su propia Autoridad Certificante con claves ECDSA P-384 y firmas SHA-384 (seguridad equivalente a RSA-7680). La integridad de cada documento es verificable matemáticamente, respaldada por la blockchain de Bitcoin y publicada en registros DNS, GitHub y Archive.org para verificación permanente e independiente. Cada firma incluye la cadena completa de certificados embebida en el documento, y los endpoints CRL y OCSP permiten verificación de revocación en tiempo real.

PAdES B-LTA con Archive Timestamp

Las firmas cumplen con PAdES B-LTA (PDF Advanced Electronic Signatures — Long Term con Archive Timestamp), el nivel máximo del estándar ETSI EN 319 142-1. Incluyen timestamp RFC 3161, archive timestamp (DocTimeStamp), datos de revocación (CRL/OCSP) embebidos en el DSS y la cadena completa de certificados. La firma cubre el 100% del contenido del documento. Los datos de validación (DSS) del propio archive timestamp se agregan después de la firma — esto es matemáticamente inevitable y correcto según el estándar PAdES, ya que no se pueden firmar datos que aún no existen.

Integridad Garantizada

Cada documento firmado queda criptográficamente sellado. Cualquier modificación posterior — incluso un solo byte — invalida automáticamente la firma. Esto garantiza que el documento que recibís es exactamente el que fue firmado, sin alteraciones.

No Repudio

La firma digital vincula criptográficamente la identidad del firmante con el documento. Una vez firmado, el firmante no puede negar su participación. El certificado digital identifica de forma inequívoca quién firmó, cuándo y con qué credencial.

Estructura del PDF Firmado

Cada documento firmado por AgilSign es un PDF único y autosuficiente con cobertura criptográfica total:

  • El contrato y el registro de auditoría se fusionan en un solo documento ANTES de aplicar la firma digital
  • Una única firma PAdES cubre el 100% del contenido del documento — los únicos bytes fuera del rango firmado son metadatos de validación (DSS) agregados después del archive timestamp, lo cual es correcto y esperado para PAdES B-LTA según ETSI EN 319 142-1
  • Timestamp RFC 3161 de DigiCert certifica la hora exacta de firma de forma independiente
  • Los endpoints CRL y OCSP permiten verificar en tiempo real si el certificado fue revocado
  • El anclaje en Bitcoin proporciona prueba de existencia inmutable, independiente de AgilSign

Verificación de Revocación

AgilSign publica endpoints estándar para que cualquier visor de PDF (Adobe Acrobat, Preview) verifique automáticamente si un certificado de firma fue revocado:

  • CRL (Certificate Revocation List) — lista estática actualizada cada 30 días, publicada en /crl/
  • OCSP (Online Certificate Status Protocol) — consulta en tiempo real, publicada en /ocsp
  • AIA (Authority Information Access) — la URL del OCSP responder está embebida en cada certificado de firma para que los visores la descubran automáticamente

Sellado en Bitcoin

Al completarse el proceso de firma, se calcula un hash criptográfico SHA-256 del documento firmado y se ancla de forma permanente a la blockchain de Bitcoin mediante el protocolo OpenTimestamps.

Inmutabilidad absoluta

Una vez registrado en la blockchain de Bitcoin, el sello es permanente e inalterable. Ni AgilSign ni ningún tercero puede modificarlo o eliminarlo.

Prueba de existencia verificable

El sello demuestra de forma irrefutable que el documento existía en su forma exacta en el momento registrado. Cualquier persona puede verificarlo independientemente contra la blockchain pública.

Independencia total

La verificación no depende de AgilSign ni de ningún servidor. Mientras exista la red Bitcoin, la prueba es verificable por cualquier persona, en cualquier momento, para siempre.

Trail de Auditoría

Cada evento del ciclo de vida del documento queda registrado en un trail de auditoría completo e inviolable: quién firmó, cuándo, desde qué dirección IP, con qué certificado y en qué orden. Este registro se genera como un PDF independiente con integridad criptográfica, descargable en todo momento.

Lo que garantizamos

  • Autenticidad — cada firma identifica inequívocamente al firmante mediante certificado digital
  • Integridad — cualquier alteración al documento invalida automáticamente la firma
  • No repudio — el firmante no puede negar haber firmado el documento
  • Timestamp verificable — la fecha y hora de firma queda registrada en la blockchain de Bitcoin
  • Cadena de custodia — trail de auditoría completo con cada acción documentada
  • Verificación independiente — cualquier persona puede verificar la firma sin depender de AgilSign

Comparativa técnica

Datos verificados mediante análisis de PDFs firmados reales de cada plataforma.

AspectoDocuSignPandaDocAgilSign
Formato de firmaadbe.pkcs7.detachedadbe.pkcs7.detachedETSI.CAdES.detached
Nivel PAdESB-B (básico)B-T (timestamp)B-LTA (máximo)
Validación a largo plazoNoNoCRL + OCSP via DSS
Archive timestampNoNo
Timestamp RFC 3161NoDigiCertDigiCert + Sectigo
Prueba blockchainNoNoBitcoin (OpenTimestamps)
Responder OCSPEntrust (externo)SSL.com (externo)Propio (/ocsp)
Distribución CRLEntrust (externo)SSL.com (externo)Propio (/crl/)
QR de verificaciónNo
Trail de auditoríaPDF separadoIntegrado en el PDF firmadoIntegrado en el PDF firmado
MFA para firmantesSMS, teléfono, IDSolo emailTOTP + WebAuthn/FIDO2

AgilSign implementa PAdES B-LTA, el nivel máximo del estándar ETSI EN 319 142-1. Esto proporciona validación de firmas a largo plazo con archive timestamps, incluso después del vencimiento del certificado.

Verificación Independiente

La autenticidad del Root CA de AgilSign puede verificarse de forma independiente, sin depender de los servidores de AgilSign:

  • DNS TXT — Consultá _ca-fingerprint.agilsign.ar para obtener el fingerprint publicado y compararlo con el valor mostrado arriba.dig TXT _ca-fingerprint.agilsign.ar
  • GitHub — El certificado raíz, su fingerprint SHA-256 y las pruebas RFC 3161 / OpenTimestamps están publicados en un repositorio público para acceso permanente y versionado.https://github.com/agilmind/agilsign-ca
  • Archive.org — Un snapshot de esta página de confianza fue archivado en la Wayback Machine, proporcionando un registro independiente del fingerprint publicado en un momento específico.https://web.archive.org/web/20260406143029/https://agilsign.ar/trust
  • Bitcoin — El fingerprint del Root CA está anclado en la blockchain de Bitcoin mediante OpenTimestamps. Descargá rootCA.pem y rootCA.ots del repositorio de GitHub y verificalos en opentimestamps.org o con el CLI `ots verify`.https://opentimestamps.org