una - validar firma digital pdf

Estoy tratando de entender si debo validar una firma PAdES con una marca de tiempo incrustada y cómo debo hacerlo. Esta marca de tiempo incrustada se obtiene de una autoridad de marca de tiempo (TSA).

Si la firma incluye el archivo crl o la respuesta ocsp, generalmente deberíamos primero validar que la cadena de certificados de la firma no haya caducado ni revocado en la fecha correspondiente a esta marca de tiempo.

Como la marca de tiempo de una TSA también está firmada, estoy tratando de averiguar si también debo validar la cadena de certificados de esta marca de tiempo y cómo validarla.

Con Bouncy Castle API, es bastante fácil validar una marca de tiempo a través del siguiente código

TimeStampToken.validate((SignerInformationVerifier paramSignerInformationVerifier))

Sin embargo, este método no verifica si la cadena de certificados no ha caducado ni revocado. Además, dado que la marca de tiempo incrustada no contiene ningún archivo crl ni respuesta ocsp, no es posible validar la cadena de certificados en la fecha en que se incrustó la marca de tiempo en la firma.

Entonces, ¿cómo podríamos validar una firma PAdES si no podemos validar por completo la cadena de certificados de la TSA en la fecha correspondiente a la marca de tiempo incorporada?