Firma Digital – Firma Electrónica

http://firmaelectronica.gob.es/Portal/ciudadanos/cosasquedeberiassaber/C-INFOFIRMATRES

Definición de Firma Electrónica● Una firma electrónica es el resultado de aplicar una serie de

operaciones criptográficas a una fuente de información (por ejemplo, un documento) utilizando para ello un certificado electrónico, para obtener dos cosas: – La Integridad del documento firmado y

– El No repudio de la firma realizada.

● La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son:– Identificar al firmante de manera inequívoca

– Asegurar la integridad del documento firmado

– Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación alguna.

– Asegurar que el firmante no puede repudiar lo firmado● Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por

tanto, posteriormente, no puede decir que no ha firmado el documento.

● La base legal de la Firma electrónica está recogida en la Ley 59/2003 de Firma Electrónica.

La Firma Electrónica para los empleados públicos● Se pueden usar para la identificación y autenticación del ejercicio de la competencia

de la Administración u Órgano Administrativo al que pertenece el empleado.– La Ley 11/2007 de 22 de junio, de Acceso Electrónico de los Ciudadanos a los servicios

Públicos, en su artículo 19, admite dos sistemas:● Los sistemas de firmas electrónica incorporados al DNI Electrónico.● Otros certificados facilitados al empleado por la propia Administración.

– En el caso de la Administración General del Estado y de acuerdo al RD 1671/2009 de 6 de noviembre por el que se desarrolla parcialmente la Ley 11/2007 se denominan certificados de empleado público. Es también la denominación asignada por la mayoría de Comunidades Autónomas en sus reglamentos de desarrollo de la ley.

● Para el caso específico de la Administración General del Estado, el Real Decreto, en su artículo 21, deja fuera todo certificado que no sea el de empleado público o los incluídos en el DNIe. – No podría usarse, por ejemplo, para esta actividad, el certificado de persona física de clase 2

emitido por la Fábrica Nacional de Moneda y Timbre ya que no entra en la categorización de ese artículo.

● Se pueden utilizar en aquellas aplicaciones de uso interno que la Administración pone a disposición del empleado para el desempeño de su trabajo y que admitan los certificados electrónicos.– Para estas aplicaciones internas cada Administración Pública u órgano administrativo puede

decidir qué tipo de certificado usar:● El DNI Electrónico.● Cualquier otro certificado admitido por la propia Administración.

– En el caso de la Administración General del Estado, el RD 1671/2009 art. 22 establece que el certificado de empleado público puede usarse para la relación con las Administraciones Públicas cuando éstas lo admitan

Elementos necesarios

Pasos básicos de firma Electrónica● 1. A partir del documento original se calcula un resumen mediante un algoritmo de

HASH. ● Este “código hash” identifica de manera única el documento.

● 2. Se accede al certificado del usuario para cifrar ese código hash con la clave privada. Al hacerlo se solicita la contraseña del certificado.

● 3. Se firma el documento y se genera: “código hash encriptado” + certificado (sólo clave pública) + Documento Original = Firma Electrónica Avanzada.

● 4. Verificación: ● a) Se calcula el código hash a partir del documento original, ● b) Se desencripta el código hash encriptado con la clave pública delcertificado utilizado,● c) Se comparan los códigos hashes de los apartados a) y b)

● La firma electrónica es el archivo o documento electrónico resultante. ● Este es el documento válido a efectos legales y el que debes conservar.

– Cualquier impresión o representación gráfica que se haga de él solo es válido en los términos que determine el destinatario de la firma.

● En general, en este caso, la firma impresa debará contener un CSV o Código Seguro de Verificación que permite contrastar la copia impresa con la original electrónica.

Tipos de Firma Electrónica● Según la multiplicidad de la firma electrónica:

– Simple. ● Cuando en la estructura de firma electrónica solo existe un único firmante.

– Mulfirma. ● Cuando en la estructura de firma electrónica existen varios firmantes.

● Según la Ley 59/2003– Reconocidas

● Estas firmas electrónicas son las únicas válidas legalmente ante terceros y equivalentes a la firma manuscrita tradicional.

● Una firma electrónica es reconocida cuando ha sido generada con un medio de creación de firmas seguro y utilizando un certificado electrónico reconocido .

– No Reconocidas● No tienen validez legal, aunque técnicamente se pueden probar que son fiables. ● Son generadas por certificados internos o de PSCs no reconocidos por la

Administración Española.

Tipos de Firma Electrónica● Según la ubicación de la información firmada:

– El documento no incluye la firma (Explícita o adjunta)● La estructura de firma electrónica es independiente al documento firmado.● Se obtienen dos ficheros:

– Uno con la firma y el documento original. ● Este tipo es el más utilizado, sobretodo en documentos de tamaño

mediano-grande.● Formatos que lo soportan

– CadES (firma explicita), XadES XML (Despegada detached)

– El documento original se incluye en el fichero de firma (Implícita o incrustada)

● Cuando la estructura de firma electrónica incorpora el documento firmado.– Este formato se utiliza cuando los documentos a firmar son pequeños.– El fichero es mas grande, pero es mas cómodo porque manejamos un único fichero

● Formatos que soportan este tipo de firmas– CadES (implicita), XAdES XML( envolventes y envueltas)

● Programas que utilizan este tipo de firma– Ecofirma– XolidoSing

Según la Jerarquía de la firma electrónica● Jerárquica o “counterSign”.

– Cuando la estructura de firma electrónica es secuencial y en cadena,

– Antes de firmar una determinada persona ha de firmar otra previamente. ● Lo que realmente se firman son las firmas anteriores manifestando de alguna forma la

conformidad con lo firmado.

● Paralela o “coSing”. – Cuando en la estructura de firma electrónica no existe ni orden ni jerarquía,

● Lo que realmente importa es que un conjunto de “n” personas firmen un mismo documento.

¿Qué son los formatos de firma?● Una firma electrónica es un fichero que contiene información sobre

el documento original, el firmante, la fecha de la firma, algoritmos utilizados y posible caducidad de la firma.

● El formato de firma es la forma como se genera el documento de firma y como se guarda o estructura la información de firma en el documento generado.– Cómo se estructura esta información:

● El orden de esa información dentro del fichero,● Las etiquetas que indican cuando empieza un campo y cuando termina,● La opcionalidad de esos campos, etc.)

– Los distintos formatos determinan esta estructura

● La existencia de múltiples formatos de firma se debe a:– Razones históricas

– A cómo se ha ido introduciendo la firma en formatos de documentos ya existentes y

– A cómo se han ido añadiendo funcionalidades a lo largo del tiempo.

Estructura de la firma● Un fichero de firma tiene un formato que viene

determinado por estos aspectos:– Estructura del fichero:

● Formatos CAdES, XAdES, PAdES, OOXML, ODF…

– ¿Dónde se guarda el documento original?

– Firmas con múltiples usuarios.

– Longevidad de la firma y sello de tiempo

● ESTRUCTURA DEL FICHERO– Formato OOXML y ODF

● Son los formatos de firma que utilizan Microsoft Office y Open Office, respectivamente.

Firmas electrónicas conFormato PCKS#7/CMS/CAdES

● CAdES (CMS Avanzado)

– Es la evolución del primer formato de firma estandarizado.

– La información se guarda de forma binaria.● Tras firmar, no podrás ver la información firmada

– Se adjuntan como fichero con una extensión .p7b, .p7c, .p7m o .p7s al documento firmado.

– El documento firmado puede:● Estar contenido o ● Ser referenciado en el fichero de firma generado.

– Es apropiado para firmar ficheros grandes, especialmente si la firma contiene el documento original porque optimiza el espacio de la información.

PAdES (PDF Avanzado)

● Documentos PDF con firma electrónica incorporada en el propio fichero .pdf

● Recientemente se han constituido como el estándar ISO 32000-1 junto con el estándar PAdES(ETSI (TS) 102 778) que introduce características para el cumplimiento con la Directiva 1999/93/CE

● Este es el formato más adecuado cuando el documento original es un pdf.

● El destinatario de la firma puede comprobar fácilmente la firma y el documento firmado. – Con los formatos anteriores esto no es posible si no se utilizan

herramientas externas.

XAdES (XML Avanzado) XML Signature (XML-DSig)/XAdES

● El resultado es un fichero de texto XML, un formato de texto muy similar al HTML que utiliza etiquetas.

– Es un formato muy adecuado para el intercambio de información con firma electrónica entre máquinas.

– Puede contener al documento firmado (modos enveloped y enveloping) o referenciarlo mediante una URI (modo detached)

● Los documentos obtenidos suelen ser más grandes que en el caso de CAdES, por eso no es adecuado cuando el fichero original es muy grande.

– Aplicaciones como eCoFirma del Ministerio de Industria y Comercio, sólo firman en XAdES.

Firmas Longevas● Para verificar una firma es necesario:

– Comprobar la integridad de los datos firmados asegurando que éstos no hayan sufrido ninguna modificación.

– Comprobar que el estado del certificado con el que se firmó era el correcto, es decir, era vigente en el momento de la operación.

● En el caso de la firma electrónica básica, si el certificado está caducado automáticamente se da la firma como no válida.– ¿Cómo sabemos que el certificado estaba vigente o no en la fecha en la que

se firmó?

– ¿Qué debe hacerse para que cuando se quiera validar o verificar una firma en el futuro la validación sea posible aunque esté caducado el certificado?

● Para dar respuesta a estas preguntas, los formatos AdES (forma genérica de llamar a los formatos CAdES, XAdES y PAdES) contemplan la posibilidad de incorporar a las firmas electrónicas información adicional que garantiza la validez de una firma a largo plazo, una vez vencido el periodo de validez del certificado.

● Estos formatos añaden a la firma evidencias de terceros (de autoridades de certificación) y certificaciones de tiempo, que realmente certifican cuál era el estado del certificado en el momento de la firma.

XAdes● XAdES es un conjunto de especificaciones que definen diferentes

formatos de firma que pueden ser usadas como firma electrónica reconocida y su principal ventaja es que estas firmas XML pueden ser válidas a largo plazo (de forma indefinida) y por tanto poseen plenas garantías juridicas.

● XAdES define seis perfiles (formas) según el nivel de protección ofrecido. – Cada perfil incluye y extiende al previo

Firmas Longevas (II)● Existen distintos formatos de firma que van incrementando la calidad de la misma

hasta conseguir una firma que pueda ser verificada a largo plazo (de forma indefinida) con plenas garantías jurídicas:

● Firma Básica (AdES - BES)– Es el formato básico para satisfacer los requisitos de la firma electrónica avanzada

– Si el certificado está caducado, se da la firma como no válida.

● AdES ­ T (T de TimeStamp)– Se añade un sellado de tiempo con el fin de situar en el tiempo el instante en que se firma un

documento

● AdES ­ C (C de Cadena)– Añade un conjunto de referencias a los certificados de la cadena de certificación y su estado

(lista de revocación), como base para una verificación longeva

● AdES ­ X (X de eXtendida)– Añade sellos de tiempo a las referencias creadas en el paso anterior

● AdES ­ XL (XL de eXtendido Largo plazo)– Añade los certificados y la información de revocación de los mismos, para su validación a largo

plazo, si las fuentes originales (de consulta de certificados o de las listas de revocación) no estuvieran ya disponibles

● AdES ­ A (A de Archivo)– Permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma

archivada o guardada para futuras verificaciones, para prevenir que puedan ser comprometidos debido a la debilidad de la firma durante un perido largo de almacenamiento

Sello de tiempo

● El sellado de tiempo es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces.

● El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo (TSA), que actúa como tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.– El sellado de tiempo proporciona un valor añadido a la utilización de firma digital,

ya que la firma por sí sola no proporciona ninguna información acerca del momento de creación de la firma, y en el caso de que el firmante la incluyese, ésta habría sido proporcionada por una de las partes, cuando lo recomendable es que la marca de tiempo sea proporcionada por una tercera parte de confianza.

● Resellado– Puesto que el Sello de Tiempo es una firma realizada con el certificado

electrónico de la Autoridad de Sellado, cuando ese certificado caduca, el sello y, por tanto, la firma dejan de ser válidas.

– Por eso, antes de que el certificado de la TSA caduque es necesario resellar o aplicar de nuevo el Sello Temporal para mantener la validez temporal de la firma.

Validación del sello de tiempo● Todo certificado tiene asociado un estado de validez.

– Si una firma electrónica es realizada con un certificado válido en un instante de tiempo “X” y en el instante “X+Y” el certificado utilizado está revocado

– Al verificar la firma se verificaría también el certificado empleado obteniendo como resultado que está revocado y que la firma es incorrecta.

– Para evitar este inconveniente, todo proceso de firma electrónica necesita un elemento externo que permita verificar la validez de la firma:

● La fecha exacta en que se realizó.● Cuando se verifica una firma y se obtiene que el certificado está revocado, se

comprueba si la fecha de revocación del certificado empleado es posterior a la fecha en que se realizó la firma, en cuyo caso se constataría que el certificado no estaba revocado en ese momento y la firma sería válida.

– Toda firma electrónica debe tener un fechado electrónico, denominado técnicamente como TimeStamping, obtenido de una fuente de tiempos segura que certifique que ese instante de tiempo es seguro e inalterable.

– La entidad que certifica que el instante de tiempos es seguro se denomina Autoridad de Fechado Electrónico (TimeStamping Authority, TSA).

Firma nativa frente a firma NO nativa

● Desde el punto de vista del programa que usemos para realizar la firma, existen dos caminos para llevarla a cabo, y son los siguientes:– Firma nativa de documentos electrónicos

– Firma NO nativa de documentos electrónicos

Firma nativa● La firma nativa consiste en realizar el proceso de firma de un

documento electrónico con el mismo programa o aplicación con el que fue creado dicho documento.

– No todos los programas que generan documentos son capaces también de firmarlos.

● Para verificar la firma electrónica nativa, el receptor deberá disponer del mismo programa con el que ha sido creado y eso no siempre es posible.

– No podemos obligar a que otro usuario tenga la misma versión de Microsoft Word que nosotros, o que haya adquirido el programa.

Firma nativa● Existen formatos de firma electrónica nativas

basados en formatos de documentos muy extendidos en el mercado.

● Ejemplos de estos formatos son:– Firma en PDF.

● Desarrollada por Adobe y no es compatible hacia atrás en todas sus versiones.

● Incorpora la firma en el propio documento, la representación gráfica es bastante buena y está bastante extendido.

– Firma en ODF (Open Document Format).● El formato ODF es utilizado por los paquetes ofimáticos

OpenOffice y Libreoffice.

– Firma en Microsoft Word

Firma no nativa● Consiste en usar herramientas de firma electrónica capaces de firmar

cualquier tipo de documento electrónico

– Podemos encontrarlas de descarga gratuitas

– Es una solución más universal.● Para la Administración Pública la firma NO nativa es la más adecuada

– Al ciudadano se le proporciona la propia herramienta de firma electrónica.

– No depende de un formato de documento específico.

– Ejemplo de aplicación de firma no nativa: eCoFirma.

¿Cómo firmo un documento?● Descargando una aplicación en tu PC

– En este caso utilizas para firmar la aplicación que instalas en tu ordenador y no necesitas estar conectado a internet

– Aplicaciones que puedes descargar son:● @FirmaFacil● El Cliente @Firma del Ministerio de Política Territorial● ecoFirma del Ministerio de Industria.

● Firmar directamente en internet– Esta opción es usada sobre todo cuando firmas

formularios o solicitudes, por ejemplo, en la relación con la Administración Pública

– Pero también puedes firmar tus propios documentos en internet utilizando el servicio ofrecido por VALIDe.

● Para firmar debe descargarse una componente que funciona sobre el mismo navegador.

Valide

● Aplicación en línea● Enlace

– https://valide.redsara.es/valide/inicio.html

● Formatos– Formato XAdES (XML Advanced Electronic Signatures), según

especificación ETSI TS 101 903.

– Formato CAdES (CMS Advanced Electronic Signatures), según especificación ETSI TS 101 733.

– Formato PAdES (PDF Advanced Electronic Signatures), según especificación ETSI TS 102 778-2 y ETSI TS 102 778-3.

● Servicios– Realizar firma

– Validar firma

– Validar sede electrónica

– Validar certificado

– Visualizar firma

@firmafacil● Firmar cualquier tipo de documento de manera sencilla.

● El usuario indica qué fichero quiere firmar y la aplicación escoge automáticamente el formato de firma qué debe aplicar, liberando así, al usuario de cualquier duda técnica.

– http://forja-ctt.administracionelectronica.gob.es/web/clienteafirma

● Descarga

– http://forja-ctt.administracionelectronica.gob.es/file/frs/download.php/1621/FF_afirmav1.0_Firma_Facil

eCoFirma● EcoFirma, es una aplicación de firma que permite

generar y validar firmas electrónicas solo en formato XML XadES.– http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofi

rma/index.html

@Firma● El Cliente @Firma es una aplicación avanzada de firma que

soporta la firma en múltiples formatos y permite la firma múltiple mediante la co-firma y la contra-firma.

● Para mayor flexibilidad, @Firma permite al usuario elegir el formato en el que desea firmar.

– http://forja-ctt.administracionelectronica.gob.es/file/frs/download.php/1653/Afirma_Standalone.jar

Xolidosign● http://www.xolido.com/lang/productosyservicios/firmaelectronicayselladodetiempo/xolidosignsuite/

¿Qué es la plataforma @firma?

● Es una plataforma electrónica que utiliza certificados digitales X.509 v3 según las principales recomendaciones y estándares internacionales (RFC 2360, 3280, ETSI TS 101 733 v1.5.1, etc.) para la generación y validación de firmas digitales en múltiples formatos (CMS, XADES, XMLDSignature…),

● Se utiliza para la validación avanzada de certificados digitales para garantizar en todo momento la integridad y validez de los mismos en el momento de la realización de una firma

Validación de la Firma Electrónica● En el proceso de firma, el firmante utiliza su certificado electrónico, (su clave privada)

para realizar la firma electrónica. ¿cómo sabemos si ese certificado es válido?, ¿estaba revocado en el momento de la firma? ¿La Autoridad que lo emitió es de confianza?

● La validación de una firma electrónica es el proceso por el que se comprueba:

– La integridad del documento firmado (Validación Básica)● Se verifica la integridad de la firma electrónica y que los datos firmados se

corresponden con el original aportado en el proceso de validación.– La identidad del firmante– La validez temporal del certificado utilizado

● El proceso de validación de la firma no puede separarse del proceso de validación del certificado usado para la firma.

– La validación de la firma, implica también la validación del certificado.● El certificado electrónico solamente se puede validar mientras esté activo,

– Una vez caducado desaparece de las listas de revocación de la Autoridad de Certificación y ya no se puede comprobar cuál era el estado en el momento de la firma.

– Si el certificado no es válido, o está caducado o revocado, la firma no puede ser validado correctamente puesto que no podemos saber cuál era el estado del certificado en el momento de la firma.

● Las tres validaciones dependen de la capacidad de validar el certificado, para lo cual es necesaria una conexión a internet que permita acceder a una plataforma de validación de certificados

¿Dónde se guarda el documento original?● El documento original se incluye en el fichero de firma

– En el caso de CAdES estas firmas se llaman firmas implícitas.

– En el caso de firmas XAdES XML, lo habitual es que el documento esté incluido en el fichero de firma.

● Hablamos de firmas despegadas (detached), envolventes (enveloping) y envueltas (enveloped) según en qué sitio del propio fichero de firma se guarde el documento original.

● En la práctica, se suele utilizar el caso 1, que es la forma de funcionar por defecto de las aplicaciones de firma. Se obtienen ficheros de firma más grandes pero, como contrapartida, no requiere almacenar el fichero original como otro documento aparte junto al de firma.

● El documento no se incluye en la firma– En este caso, el documento no se incluye en el resultado de firma o

solamente se incluye una referencia al lugar en el que se encuentra para que el documento pueda ser localizado.

– Se obtienen ficheros de tamaño más reducido, pero, por el contrario, el documento original siempre hay que guardarlo junto a la firma.

● En el caso de CAdES estas firmas se llaman firmas explícitas.● En el caso de firmas XAdES XML, sólo para las firmas despegadas (detached), el

documento puede estar fuera.

Plataformas de Validación● Las plataformas de validación son sistemas online que permiten validar

los certificados electrónicos.● La Autoridad de Validación es el componente que suministra

información sobre la vigencia de los certificados electrónicos que han sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificación.– En general, la Autoridad de Certificación es también Autoridad de Validación,

aunque ambas figuras pueden estar representadas por entidades diferentes.

● La información sobre los Certificados electrónicos revocados (no vigentes) se almacena en las denominadas listas de revocación de certificados (CRL) mantenidos por las Autoridades de Validación.

● La validación o verificación del estado de un certificado se puede realizar a través de internet accediendo al servicio que proporciona las Autoridad de Validación o de Certificación que ha emitido el certificado.

● FNMT– http://www.cert.fnmt.es/index.php?cha=cit&sec=8&lang=es

● Valide– https://valide.redsara.es/valide/inicio.html

VALIDe

● VALIDe (Aplicación de Validación de firma y certificados Online de @firma) – Es la plataforma de validación que la Administración

General del Estado pone a disposición de las Administraciones y de los ciudadanos para la validación de certificados.

– Ofrece los siguientes servicios:● Validación de firmas electrónicas● Generación de firmas electrónicas en múltiples formatos● Visualización de firmas con la ayuda del Visor

● Enlace– https://valide.redsara.es/valide/

https://valide.redsara.es/valide/

Validar documentos PDF firmados electrónicamente

● Configuración de Adobe Reader para su integración con el almacén de Windows.– Estos cuadros de diálogo salen después de

seleccionar en el menú “Edición” de Adobe Reader la opción “Preferencias…”. A continuación ha de pulsarse el botón “Preferencias avanzadas…”

– Hay que tener instalado los certificados raíz– En http://www.boe.es/diario_boe/ puedes

encontrarlos

– Mirar el manual firma boe

http://www.boe.es/diario_boe/

Herramientas de interoperabilidad de la firma: Suite @firma

Enlaces

● http://www.cert-firmae.formacion.webcastlive.es/

● http://www.inteco.es//Formacion/Talleres/Introduccion_firma_electronica/