¿Qué exige este criterio?
Los tres requisitos del art. 42.1 se implementan así: (a) hash del documento incluido en el TSTInfo del token; (b) genTime del token en UTC con precisión ≤1s trazable a ROA/NIST/GPS; (c) token firmado con la clave de la TSU, cuya clave pública está en un certificado emitido por una CA cualificada. La implementación técnica se detalla en EN 319 421 y EN 319 422.

¿Qué hay que revisar al cliente?

• Mecanismo técnico: hash del documento en el TSTInfo.
• Precisión de la fuente de tiempo: ≤1s, trazable a UTC.
• Firma del token: clave TSU, certificado emitido por CA cualificada.
• Verificabilidad de los tres elementos de forma independiente.

Preguntas clave para las entrevistas

• ¿Los tokens incluyen el hash del documento a sellar en el campo messageImprint?
• ¿La fuente de tiempo está trazada a UTC con precisión ≤1s?
• ¿La firma del token usa una clave cuyo certificado proviene de una CA cualificada?

¿Por qué es esencial para QERDS y TSA?
El art. 42.1 es la especificación técnica del sello cualificado de tiempo. Su cumplimiento se demuestra con los tokens generados y con la auditoría CAR bajo EN 319 421/422. Sin cumplirlo, el sello no es 'cualificado' y no genera la presunción del art. 41.

Evidencia que demostraría conformidad

• Token de muestra analizado con OpenSSL (hash, genTime, firma).
• Configuración de fuente de tiempo trazable a UTC.
• Certificado de la TSU con CA cualificada.