Formato de revision de la stps para el cumplimiento
T03 04 firmaelectronica
1. Firma Digital – Firma Electrónica
http://firmaelectronica.gob.es/Portal/ciudadanos/cosasquedeberiassaber/C-INFOFIRMATRES
2. Definición de Firma Electrónica
● Una firma electrónica es el resultado de aplicar una serie de
operaciones criptográficas a una fuente de información (por ejemplo,
un documento) utilizando para ello un certificado electrónico, para
obtener dos cosas:
– La Integridad del documento firmado y
– El No repudio de la firma realizada.
● La firma electrónica es un conjunto de datos electrónicos que
acompañan o que están asociados a un documento electrónico y
cuyas funciones básicas son:
– Identificar al firmante de manera inequívoca
– Asegurar la integridad del documento firmado
– Asegura que el documento firmado es exactamente el mismo que el original y
que no ha sufrido alteración o manipulación alguna.
– Asegurar que el firmante no puede repudiar lo firmado
● Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por
tanto, posteriormente, no puede decir que no ha firmado el documento.
● La base legal de la Firma electrónica está recogida en la Ley 59/2003
de Firma Electrónica.
3. La Firma Electrónica para los empleados públicos
● Se pueden usar para la identificación y autenticación del ejercicio de la competencia
de la Administración u Órgano Administrativo al que pertenece el empleado.
– La Ley 11/2007 de 22 de junio, de Acceso Electrónico de los Ciudadanos a los servicios
Públicos, en su artículo 19, admite dos sistemas:
● Los sistemas de firmas electrónica incorporados al DNI Electrónico.
● Otros certificados facilitados al empleado por la propia Administración.
– En el caso de la Administración General del Estado y de acuerdo al RD 1671/2009 de 6 de noviembre por el que se desarrolla
parcialmente la Ley 11/2007 se denominan certificados de empleado público. Es también la denominación asignada por la
mayoría de Comunidades Autónomas en sus reglamentos de desarrollo de la ley.
● Para el caso específico de la Administración General del Estado, el Real Decreto, en
su artículo 21, deja fuera todo certificado que no sea el de empleado público o los
incluídos en el DNIe.
– No podría usarse, por ejemplo, para esta actividad, el certificado de persona física de clase 2
emitido por la Fábrica Nacional de Moneda y Timbre ya que no entra en la categorización de ese
artículo.
● Se pueden utilizar en aquellas aplicaciones de uso interno que la Administración pone
a disposición del empleado para el desempeño de su trabajo y que admitan los
certificados electrónicos.
– Para estas aplicaciones internas cada Administración Pública u órgano administrativo puede
decidir qué tipo de certificado usar:
● El DNI Electrónico.
● Cualquier otro certificado admitido por la propia Administración.
– En el caso de la Administración General del Estado, el RD 1671/2009 art. 22 establece que el
certificado de empleado público puede usarse para la relación con las Administraciones Públicas
cuando éstas lo admitan
5. Pasos básicos de firma Electrónica
● 1. A partir del documento original se calcula un resumen mediante un algoritmo de
HASH.
● Este “código hash” identifica de manera única el documento.
● 2. Se accede al certificado del usuario para cifrar ese código hash con la clave
privada. Al hacerlo se solicita la contraseña del certificado.
● 3. Se firma el documento y se genera: “código hash encriptado” + certificado (sólo
clave pública) + Documento Original = Firma Electrónica Avanzada.
● 4. Verificación:
● a) Se calcula el código hash a partir del documento original,
● b) Se desencripta el código hash encriptado con la clave pública delcertificado utilizado,
● c) Se comparan los códigos hashes de los apartados a) y b)
● La firma electrónica es el archivo o documento electrónico resultante.
● Este es el documento válido a efectos legales y el que debes conservar.
– Cualquier impresión o representación gráfica que se haga de él solo es válido en los
términos que determine el destinatario de la firma.
● En general, en este caso, la firma impresa debará contener un CSV o Código Seguro de Verificación que
permite contrastar la copia impresa con la original electrónica.
6.
7. Tipos de Firma Electrónica
● Según la multiplicidad de la firma electrónica:
– Simple.
● Cuando en la estructura de firma electrónica solo existe un único firmante.
– Mulfirma.
● Cuando en la estructura de firma electrónica existen varios firmantes.
● Según la Ley 59/2003
– Reconocidas
● Estas firmas electrónicas son las únicas válidas legalmente ante terceros y
equivalentes a la firma manuscrita tradicional.
● Una firma electrónica es reconocida cuando ha sido generada con un medio de
creación de firmas seguro y utilizando un certificado electrónico reconocido .
– No Reconocidas
● No tienen validez legal, aunque técnicamente se pueden probar que son fiables.
● Son generadas por certificados internos o de PSCs no reconocidos por la
Administración Española.
8. Tipos de Firma Electrónica
● Según la ubicación de la información firmada:
– El documento no incluye la firma (Explícita o adjunta)
● La estructura de firma electrónica es independiente al documento firmado.
● Se obtienen dos ficheros:
– Uno con la firma y el documento original.
● Este tipo es el más utilizado, sobretodo en documentos de tamaño
mediano-grande.
● Formatos que lo soportan
– CadES (firma explicita), XadES XML (Despegada detached)
– El documento original se incluye en el fichero de firma
(Implícita o incrustada)
● Cuando la estructura de firma electrónica incorpora el documento firmado.
– Este formato se utiliza cuando los documentos a firmar son pequeños.
– El fichero es mas grande, pero es mas cómodo porque manejamos un único fichero
● Formatos que soportan este tipo de firmas
– CadES (implicita), XAdES XML( envolventes y envueltas)
● Programas que utilizan este tipo de firma
– Ecofirma
– XolidoSing
9. Según la Jerarquía de la firma electrónica
● Jerárquica o “counterSign”.
– Cuando la estructura de firma electrónica es secuencial y en cadena,
– Antes de firmar una determinada persona ha de firmar otra previamente.
● Lo que realmente se firman son las firmas anteriores manifestando de alguna forma la
conformidad con lo firmado.
● Paralela o “coSing”.
– Cuando en la estructura de firma electrónica no existe ni orden ni jerarquía,
● Lo que realmente importa es que un conjunto de “n” personas firmen un mismo
documento.
10. ¿Qué son los formatos de firma?
● Una firma electrónica es un fichero que contiene información sobre
el documento original, el firmante, la fecha de la firma, algoritmos
utilizados y posible caducidad de la firma.
●
El formato de firma es la forma como se genera el documento de
firma y como se guarda o estructura la información de firma en el
documento generado.
– Cómo se estructura esta información:
● El orden de esa información dentro del fichero,
● Las etiquetas que indican cuando empieza un campo y cuando termina,
● La opcionalidad de esos campos, etc.)
– Los distintos formatos determinan esta estructura
● La existencia de múltiples formatos de firma se debe a:
– Razones históricas
– A cómo se ha ido introduciendo la firma en formatos de documentos ya
existentes y
– A cómo se han ido añadiendo funcionalidades a lo largo del tiempo.
11. Estructura de la firma
● Un fichero de firma tiene un formato que viene
determinado por estos aspectos:
– Estructura del fichero:
● Formatos CAdES, XAdES, PAdES, OOXML, ODF…
– ¿Dónde se guarda el documento original?
– Firmas con múltiples usuarios.
– Longevidad de la firma y sello de tiempo
● ESTRUCTURA DEL FICHERO
– Formato OOXML y ODF
● Son los formatos de firma que utilizan Microsoft Office y
Open Office, respectivamente.
12. Firmas electrónicas con
Formato PCKS#7/CMS/CAdES
● CAdES (CMS Avanzado)
– Es la evolución del primer formato de firma estandarizado.
– La información se guarda de forma binaria.
● Tras firmar, no podrás ver la información firmada
– Se adjuntan como fichero con una extensión .p7b, .p7c,
.p7m o .p7s al documento firmado.
– El documento firmado puede:
● Estar contenido o
● Ser referenciado en el fichero de firma generado.
– Es apropiado para firmar ficheros grandes,
especialmente si la firma contiene el documento original
porque optimiza el espacio de la información.
13. PAdES (PDF Avanzado)
● Documentos PDF con firma electrónica incorporada en el
propio fichero .pdf
● Recientemente se han constituido como el estándar ISO
32000-1 junto con el estándar PAdES(ETSI (TS) 102 778)
que introduce características para el cumplimiento con la
Directiva 1999/93/CE
● Este es el formato más adecuado cuando el documento
original es un pdf.
● El destinatario de la firma puede comprobar fácilmente la
firma y el documento firmado.
– Con los formatos anteriores esto no es posible si no se utilizan
herramientas externas.
14. XAdES (XML Avanzado)
XML Signature (XML-DSig)/XAdES
● El resultado es un fichero de texto XML, un formato
de texto muy similar al HTML que utiliza etiquetas.
– Es un formato muy adecuado para el intercambio de
información con firma electrónica entre máquinas.
– Puede contener al documento firmado (modos
enveloped y enveloping) o referenciarlo mediante una
URI (modo detached)
● Los documentos obtenidos suelen ser más grandes
que en el caso de CAdES, por eso no es adecuado
cuando el fichero original es muy grande.
– Aplicaciones como eCoFirma del Ministerio de
Industria y Comercio, sólo firman en XAdES.
15. Firmas Longevas
● Para verificar una firma es necesario:
– Comprobar la integridad de los datos firmados asegurando que éstos no
hayan sufrido ninguna modificación.
– Comprobar que el estado del certificado con el que se firmó era el correcto, es
decir, era vigente en el momento de la operación.
● En el caso de la firma electrónica básica, si el certificado está
caducado automáticamente se da la firma como no válida.
– ¿Cómo sabemos que el certificado estaba vigente o no en la fecha en la que
se firmó?
– ¿Qué debe hacerse para que cuando se quiera validar o verificar una firma en
el futuro la validación sea posible aunque esté caducado el certificado?
● Para dar respuesta a estas preguntas, los formatos AdES (forma
genérica de llamar a los formatos CAdES, XAdES y PAdES)
contemplan la posibilidad de incorporar a las firmas electrónicas
información adicional que garantiza la validez de una firma a largo
plazo, una vez vencido el periodo de validez del certificado.
● Estos formatos añaden a la firma evidencias de terceros (de
autoridades de certificación) y certificaciones de tiempo, que
realmente certifican cuál era el estado del certificado en el momento
de la firma.
16. XAdes
● XAdES es un conjunto de especificaciones que definen diferentes
formatos de firma que pueden ser usadas como firma electrónica
reconocida y su principal ventaja es que estas firmas XML
pueden ser válidas a largo plazo (de forma indefinida) y por tanto
poseen plenas garantías juridicas.
● XAdES define seis perfiles (formas) según el nivel de protección
ofrecido.
– Cada perfil incluye y extiende al previo
17. Firmas Longevas (II)
● Existen distintos formatos de firma que van incrementando la calidad de la misma
hasta conseguir una firma que pueda ser verificada a largo plazo (de forma indefinida)
con plenas garantías jurídicas:
● Firma Básica (AdES - BES)
– Es el formato básico para satisfacer los requisitos de la firma electrónica avanzada
– Si el certificado está caducado, se da la firma como no válida.
● AdES T (T de TimeStamp)
– Se añade un sellado de tiempo con el fin de situar en el tiempo el instante en que se firma un
documento
● AdES C (C de Cadena)
– Añade un conjunto de referencias a los certificados de la cadena de certificación y su estado
(lista de revocación), como base para una verificación longeva
● AdES X (X de eXtendida)
– Añade sellos de tiempo a las referencias creadas en el paso anterior
● AdES XL (XL de eXtendido Largo plazo)
– Añade los certificados y la información de revocación de los mismos, para su validación a largo
plazo, si las fuentes originales (de consulta de certificados o de las listas de revocación) no
estuvieran ya disponibles
● AdES A (A de Archivo)
– Permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma
archivada o guardada para futuras verificaciones, para prevenir que puedan ser comprometidos
debido a la debilidad de la firma durante un perido largo de almacenamiento
18. Sello de tiempo
● El sellado de tiempo es un método para probar que un conjunto de datos
existió antes de un momento dado y que ninguno de estos datos ha sido
modificado desde entonces.
● El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo
(TSA), que actúa como tercera parte de confianza testificando la
existencia de dichos datos electrónicos en una fecha y hora concretos.
– El sellado de tiempo proporciona un valor añadido a la utilización de firma digital,
ya que la firma por sí sola no proporciona ninguna información acerca del
momento de creación de la firma, y en el caso de que el firmante la incluyese,
ésta habría sido proporcionada por una de las partes, cuando lo recomendable
es que la marca de tiempo sea proporcionada por una tercera parte de
confianza.
● Resellado
– Puesto que el Sello de Tiempo es una firma realizada con el certificado
electrónico de la Autoridad de Sellado, cuando ese certificado caduca, el sello y,
por tanto, la firma dejan de ser válidas.
– Por eso, antes de que el certificado de la TSA caduque es necesario resellar o
aplicar de nuevo el Sello Temporal para mantener la validez temporal de la firma.
19. Validación del sello de tiempo
● Todo certificado tiene asociado un estado de validez.
– Si una firma electrónica es realizada con un certificado válido en un instante
de tiempo “X” y en el instante “X+Y” el certificado utilizado está revocado
– Al verificar la firma se verificaría también el certificado empleado obteniendo
como resultado que está revocado y que la firma es incorrecta.
– Para evitar este inconveniente, todo proceso de firma electrónica necesita un
elemento externo que permita verificar la validez de la firma:
● La fecha exacta en que se realizó.
● Cuando se verifica una firma y se obtiene que el certificado está revocado, se
comprueba si la fecha de revocación del certificado empleado es posterior a la
fecha en que se realizó la firma, en cuyo caso se constataría que el certificado
no estaba revocado en ese momento y la firma sería válida.
– Toda firma electrónica debe tener un fechado electrónico, denominado
técnicamente como TimeStamping, obtenido de una fuente de tiempos
segura que certifique que ese instante de tiempo es seguro e inalterable.
– La entidad que certifica que el instante de tiempos es seguro se denomina
Autoridad de Fechado Electrónico (TimeStamping Authority, TSA).
20. Firma nativa frente a firma NO nativa
● Desde el punto de vista del programa que
usemos para realizar la firma, existen dos
caminos para llevarla a cabo, y son los
siguientes:
– Firma nativa de documentos electrónicos
– Firma NO nativa de documentos electrónicos
21. Firma nativa
● La firma nativa consiste en realizar el proceso de firma de un
documento electrónico con el mismo programa o aplicación con el
que fue creado dicho documento.
– No todos los programas que generan documentos son capaces
también de firmarlos.
● Para verificar la firma electrónica nativa, el receptor deberá disponer
del mismo programa con el que ha sido creado y eso no siempre es
posible.
– No podemos obligar a que otro usuario tenga la misma versión de
Microsoft Word que nosotros, o que haya adquirido el programa.
22. Firma nativa
● Existen formatos de firma electrónica nativas
basados en formatos de documentos muy
extendidos en el mercado.
● Ejemplos de estos formatos son:
– Firma en PDF.
● Desarrollada por Adobe y no es compatible hacia atrás
en todas sus versiones.
● Incorpora la firma en el propio documento, la
representación gráfica es bastante buena y está
bastante extendido.
– Firma en ODF (Open Document Format).
● El formato ODF es utilizado por los paquetes ofimáticos
OpenOffice y Libreoffice.
– Firma en Microsoft Word
23. Firma no nativa
● Consiste en usar herramientas de firma electrónica capaces de firmar
cualquier tipo de documento electrónico
– Podemos encontrarlas de descarga gratuitas
– Es una solución más universal.
● Para la Administración Pública la firma NO nativa es la más adecuada
– Al ciudadano se le proporciona la propia herramienta de firma
electrónica.
– No depende de un formato de documento específico.
– Ejemplo de aplicación de firma no nativa: eCoFirma.
24. ¿Cómo firmo un documento?
● Descargando una aplicación en tu PC
– En este caso utilizas para firmar la aplicación que instalas
en tu ordenador y no necesitas estar conectado a internet
– Aplicaciones que puedes descargar son:
● @FirmaFacil
● El Cliente @Firma del Ministerio de Política Territorial
● ecoFirma del Ministerio de Industria.
● Firmar directamente en internet
– Esta opción es usada sobre todo cuando firmas
formularios o solicitudes, por ejemplo, en la relación con
la Administración Pública
– Pero también puedes firmar tus propios documentos en
internet utilizando el servicio ofrecido por VALIDe.
● Para firmar debe descargarse una componente que funciona
sobre el mismo navegador.
25. Valide
● Aplicación en línea
● Enlace
– https://valide.redsara.es/valide/inicio.html
● Formatos
– Formato XAdES (XML Advanced Electronic Signatures), según
especificación ETSI TS 101 903.
– Formato CAdES (CMS Advanced Electronic Signatures), según
especificación ETSI TS 101 733.
– Formato PAdES (PDF Advanced Electronic Signatures), según
especificación ETSI TS 102 778-2 y ETSI TS 102 778-3.
● Servicios
– Realizar firma
– Validar firma
– Validar sede electrónica
– Validar certificado
– Visualizar firma
26. @firmafacil
● Firmar cualquier tipo de documento de manera sencilla.
●
El usuario indica qué fichero quiere firmar y la aplicación
escoge automáticamente el formato de firma qué debe
aplicar, liberando así, al usuario de cualquier duda técnica.
– http://forja-ctt.administracionelectronica.gob.es/web/clien
teafirma
● Descarga
– http://forja-ctt.administracionelectronica.gob.es/file/frs/dow
nload.php/1621/FF_afirmav1.0_Firma_Facil
27. eCoFirma
● EcoFirma, es una aplicación de firma que permite
generar y validar firmas electrónicas solo en
formato XML XadES.
– http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofi
rma/index.html
28. @Firma
●
El Cliente @Firma es una aplicación avanzada de firma que
soporta la firma en múltiples formatos y permite la firma múltiple
mediante la co-firma y la contra-firma.
● Para mayor flexibilidad, @Firma permite al usuario elegir el
formato en el que desea firmar.
– http://forja-
ctt.administracionelectronica.gob.es/file/frs/download.php/1653/Afi
rma_Standalone.jar
30. ¿Qué es la plataforma @firma?
● Es una plataforma electrónica que utiliza certificados
digitales X.509 v3 según las principales
recomendaciones y estándares internacionales (RFC
2360, 3280, ETSI TS 101 733 v1.5.1, etc.) para la
generación y validación de firmas digitales en
múltiples formatos (CMS, XADES, XMLDSignature…),
● Se utiliza para la validación avanzada de certificados
digitales para garantizar en todo momento la
integridad y validez de los mismos en el momento de
la realización de una firma
31.
32. Validación de la Firma Electrónica
● En el proceso de firma, el firmante utiliza su certificado electrónico, (su clave privada)
para realizar la firma electrónica. ¿cómo sabemos si ese certificado es válido?, ¿estaba
revocado en el momento de la firma? ¿La Autoridad que lo emitió es de confianza?
● La validación de una firma electrónica es el proceso por el que se comprueba:
– La integridad del documento firmado (Validación Básica)
● Se verifica la integridad de la firma electrónica y que los datos firmados se
corresponden con el original aportado en el proceso de validación.
– La identidad del firmante
– La validez temporal del certificado utilizado
● El proceso de validación de la firma no puede separarse del proceso de validación del
certificado usado para la firma.
– La validación de la firma, implica también la validación del certificado.
● El certificado electrónico solamente se puede validar mientras esté activo,
– Una vez caducado desaparece de las listas de revocación de la Autoridad de
Certificación y ya no se puede comprobar cuál era el estado en el momento de la firma.
– Si el certificado no es válido, o está caducado o revocado, la firma no puede ser
validado correctamente puesto que no podemos saber cuál era el estado del certificado
en el momento de la firma.
● Las tres validaciones dependen de la capacidad de validar el certificado, para lo cual es
necesaria una conexión a internet que permita acceder a una plataforma de validación de
certificados
33. ¿Dónde se guarda el documento original?
● El documento original se incluye en el fichero de firma
– En el caso de CAdES estas firmas se llaman firmas implícitas.
– En el caso de firmas XAdES XML, lo habitual es que el documento esté
incluido en el fichero de firma.
● Hablamos de firmas despegadas (detached), envolventes (enveloping) y envueltas
(enveloped) según en qué sitio del propio fichero de firma se guarde el documento
original.
● En la práctica, se suele utilizar el caso 1, que es la forma de funcionar por defecto de
las aplicaciones de firma. Se obtienen ficheros de firma más grandes pero, como
contrapartida, no requiere almacenar el fichero original como otro documento aparte
junto al de firma.
● El documento no se incluye en la firma
– En este caso, el documento no se incluye en el resultado de firma o
solamente se incluye una referencia al lugar en el que se encuentra para que
el documento pueda ser localizado.
– Se obtienen ficheros de tamaño más reducido, pero, por el contrario, el
documento original siempre hay que guardarlo junto a la firma.
● En el caso de CAdES estas firmas se llaman firmas explícitas.
● En el caso de firmas XAdES XML, sólo para las firmas despegadas (detached), el
documento puede estar fuera.
34. Plataformas de Validación
● Las plataformas de validación son sistemas online que permiten validar
los certificados electrónicos.
● La Autoridad de Validación es el componente que suministra
información sobre la vigencia de los certificados electrónicos que han
sido registrados por una Autoridad de Registro y certificados por la
Autoridad de Certificación.
– En general, la Autoridad de Certificación es también Autoridad de Validación,
aunque ambas figuras pueden estar representadas por entidades diferentes.
● La información sobre los Certificados electrónicos revocados (no
vigentes) se almacena en las denominadas listas de revocación de
certificados (CRL) mantenidos por las Autoridades de Validación.
● La validación o verificación del estado de un certificado se puede
realizar a través de internet accediendo al servicio que proporciona las
Autoridad de Validación o de Certificación que ha emitido el certificado.
● FNMT
– http://www.cert.fnmt.es/index.php?cha=cit&sec=8&lang=es
● Valide
– https://valide.redsara.es/valide/inicio.html
35. VALIDe
● VALIDe (Aplicación de Validación de firma y
certificados Online de @firma)
– Es la plataforma de validación que la Administración
General del Estado pone a disposición de las
Administraciones y de los ciudadanos para la
validación de certificados.
– Ofrece los siguientes servicios:
● Validación de firmas electrónicas
● Generación de firmas electrónicas en múltiples formatos
● Visualización de firmas con la ayuda del Visor
● Enlace
– https://valide.redsara.es/valide/
36.
37. Validar documentos PDF firmados electrónicamente
● Configuración de Adobe Reader para su
integración con el almacén de Windows.
– Estos cuadros de diálogo salen después de
seleccionar en el menú “Edición” de Adobe Reader
la opción “Preferencias…”. A continuación ha de
pulsarse el botón “Preferencias avanzadas…”
– Hay que tener instalado los certificados raíz
– En http://www.boe.es/diario_boe/ puedes
encontrarlos
– Mirar el manual firma boe