índice. 1

Criptografía.

2

Autoridades de Certificación.

3

Certificados Digitales.

4

Firma Electrónica.

5

Aplicación practica.

“Formación práctica en usos de herramientas de Administración Electrónica”

Durante el transcurso de la historia la divulgación de la información se ha realizado de diversas maneras.

Al final del siglo XX se ha iniciado una nueva revolución que ha cambiado las estructuras empresariales y sociales a nivel mundial.

LA DIGITALIZACIÓN

Paralelamente a la revolución nació una red global de intercomunicación de la información que conocemos como INTERNET.

“Formación práctica en usos de herramientas de Administración Electrónica”

• Gracias a Internet en la actualidad podemos realizar diversas operaciones online: consulta y gestión de nuestras cuentas bancarias, compras (libros, viajes, …), e incluso podemos realizar gestiones administrativas. • Las tramitaciones administrativas, se realizan mediante la presentación telemática de documentación y solicitudes a través de las sedes electrónicas de las instituciones.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PROBLEMA DE ÉSTE NUEVO CANAL DE COMUNICACIÓN?

SEGURIDAD

¿QUIÉN ESTÁ AL OTRO LADO?

“Formación práctica en usos de herramientas de Administración Electrónica”

EL MÉTODO CESAR Consistía en desplazar cada letra del alfabeto en un número de posiciones.  Si en el alfabeto desplazamos 13 veces la letra ”A”, ésta se convierte en la “M”; la “B” en la “N”….  Este desplazamiento de 13 letras es la clave utilizada para cifrar el mensaje.  La misma clave es usada para descifrarlo.

EL MÉTODO DE CIFRADO DE CÉSAR INTRODUCE EL CONCEPTO DE “CLAVE CRIPOGRÁFICA”

“Formación práctica en usos de herramientas de Administración Electrónica”

¿QUÉ ES LA CRIPTOGRAFIA?

Es la ciencia que se encarga de estudiar las técnicas de cifrado y descifrado de la información utilizando elementos que hagan posible el intercambio de mensajes de manera segura, tal que sólo puedan ser leídos a quienes van dirigidos.

“Formación práctica en usos de herramientas de Administración Electrónica”

CRIPTOGRAFÍA SIMÉTRICA CRIPTOGRAFÍA SIMÉTRICA. Técnica de encriptación que UTILIZA LA MISMA CLAVE PARA CIFRAR Y DESCIFRAR LOS MENSAJES. Para la correcta comunicación, las dos partes deben ponerse de acuerdo previamente sobre cuál es la clave que se va a utilizar. Tras tener acceso a esa clave, el remitente cifra un mensaje usándola, lo envía a un destinatario y usando la clave acordada lo descifra. Esta forma de cifrado no ofrece problema de seguridad, ya que tras el intercambio de las claves las comunicaciones son seguras. Pero no garantiza la seguridad del canal utilizado para la transmisión de las claves. En caso de un potencial ataque, sería más fácil realizarlo intentando interceptar la clave que probando las combinaciones posibles.

“Formación práctica en usos de herramientas de Administración Electrónica”

CRIPTOGRAFÍA ASIMÉTRICA

CRIPTOGRAFÍA ASIMÉTRICA. Esta técnica se caracteriza por la UTILIZACIÓN DE DOS CLAVES para enviar mensajes. Estas claves pertenecen a la persona a la que se le envía el mensaje. UNA de ellas es PÚBLICA, pudiéndose entregar a cualquier persona. Mientras, la OTRA es PRIVADA y debe ser guardada de forma segura, sin que nadie pueda acceder a ella. Sobre esta idea se fundamenta la firma electrónica

“Formación práctica en usos de herramientas de Administración Electrónica”

CRIPTOGRAFÍA ASIMÉTRICA: USO DE LA CLAVES

FUNCIÓN

TIPO DE CLAVE

LA CLAVE DE

Cifrar datos para un receptor.

Pública

Receptor

Firmar datos.

Privada

Emisor

Descifrar datos recibidos.

Privada

Receptor

Verificar una firma

Pública

Emisor

“Formación práctica en usos de herramientas de Administración Electrónica”

¡CONCEPTOS CLAVES!

1

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

2

CERTIFICADOS DIGITALES

3

FIRMA ELECTRÓNICA

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS ELECTRÓNICOS DE CONFIANZA” A. Autoridades de Certificación. Certification Authority (CA) • Entidad de confianza responsable  Emitir Certificados.  Revocar certificados A-1 Autoridades de Registro (RA). • Las CA delegan en la RA la recepción de solicitudes de emisión de certificado. • La RA se encarga de asegurarse que el solicitante es lícito. B. Autoridad de Validación. Suministra información sobre la vigencia de los certificados electrónicos. • Sistemas de comprobación de revocación:  CRL (listas de Revocación de Certificados)  OCSP (Online Certificate Service Protocol)  SCVP (Server-based Certificate Validation Protocol)  RFC 5055

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS DE CERTIFICACIÓN” C. Autoridades de Sellado de Tiempo. Proporcionan certeza sobre la preexistencia de determinados documentos electrónicos a un momento dado. • Emite una firma electrónica sobre dos elementos.  Un documento existente.  El momento en que se firma (fecha, hora)

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA FUNCIONAMIENTO BÁSICO DE LAS “AUTORIDADES DE CERTIFICACIÓN”

• Las RA reciben solicitudes de certificado. • Validan que el solicitante es el sujeto que dice ser. • Solicitan a la CA que emita un certificado. • La CA emite un certificado al solicitante,

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA GENERALISTAS • Aquellas que se encuentran en la mayoría de los sistemas, por lo que los certificados que emiten validan sin problemas. • Suelen ser empresas y el coste suele ser alto. • Emiten certificados de servidor para utilizar SSL con cuota anual.  Verisign  Thawte  Equifax  GlobalSign  Geotrust

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA NACIONALES

• • • • • • •

El Ministerio de Industria, Comercio y Turismo es el encargado de aceptar las autoridades certificadoras reconocidas y en general los prestadores de servicios. La Policia Nacional dispone de una CA que solo emite DNIe de forma gratuita. FNMT emite certificados gratuitos de persona física y jurídica, pero cobra por su verificación. Camerfirma Existen varias CAs propias de comunidades autónomas (Cataluña, Valencia, Pais Vasco.) También existen alguna iniciativa de colectivos laborales como colegios profesionales. También han nacido empresas como Firmaprofesional S.A. centradas en este sector de firma electrónica únicamente.

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA CUALIFICADOS

https://sedeaplicaciones2.minetur.gob.es/prestadores/busquedaPrestadores.jsp

“Formación práctica en usos de herramientas de Administración Electrónica”

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DIGITALES Un certificado es un documento firmado electrónicamente por un prestador de servicios electrónicos de confianza que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Un certificado electrónico es un conjunto de datos que permiten la identificación del titular del Certificado, intercambiar información con otras personas y entidades, de manera segura, y firmar electrónicamente los datos que se envían de tal forma que se pueda comprobar su integridad y procedencia.

“Formación práctica en usos de herramientas de Administración Electrónica”

PAR DE CLAVES DE UN CERTIFICADO PRIVADA

PUBLICA

“Formación práctica en usos de herramientas de Administración Electrónica”

DATOS DE LOS CERTIFICADOS DIGITALES – ESTÁNDAR X.509

“Formación práctica en usos de herramientas de Administración Electrónica”

DATOS UN CERTIFICADO CUALIFICADO –

La indicación de que se expiden como tales.

–

El código identificativo único del certificado.

–

La identificación del PSC…

–

La firma electrónica avanzada del PSC…

–

La identificación … nombre y apellidos y su número de documento nacional de identidad … del firmante

–

Los datos de verificación de firma …

–

El comienzo y el fin del período de validez del certificado.

–

Los límites de uso del certificado, si se establecen.

–

Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen. Art. 11. Ley 59/2003, de 19 de diciembre, de firma electrónica.

“Formación práctica en usos de herramientas de Administración Electrónica”

SOPORTE DE LOS CERTIFICADOS DIGITALES

HARDWARE

NO REQUIERE INSTALACIÓN

SOFTWARE

REQUIERE INSTALACIÓN

NUBE

“Formación práctica en usos de herramientas de Administración Electrónica”

¿DONDE SE INSTALAN LOS CERTIFICADOS DIGITALES?

“Formación práctica en usos de herramientas de Administración Electrónica”

RUTA DE CERTIFICACIÓN

CA Raíz CA Secundaria

Certificado de Usuario

Consiste en validar el emisor de un certificado en cadena (el emisor del emisor y así continuamente) hasta el certificado raíz (autofirmado) y en el cual confiaremos.

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS MÁS HABITUALES

1

Certificado de Persona Fisica. Orientado a la identificación y firma de personas físicas

2

Certificado de Sello (Orientado a personas jurídicas). El certificado electrónico para actuaciones automatizadas es un certificado técnico que permite dotar de garantías de autenticidad e integridad a los documentos sobre los que se aplica

3

Certificado de Representante de Persona Jurídica. Este certificado se expide a las personas físicas como representantes de las personas jurídicas para su uso en sus relaciones con aquellas Administraciones Públicas, Entidades y Organismos Públicos, vinculados o dependientes de las mismas.

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS MÁS HABITUALES

4

Certificado de Empleado Público. El certificado digital de empleado público garantiza la identidad de la persona física titular del certificado, así como su vinculación a una determinada entidad pública en virtud del cargo que ocupa en la misma. Este certificado no otorgará por si mismo mayores facultades a su titular que las que posee por el desempeño de su actividad habitual.

3

Certificado de Autenticación Web. Garantizan la autenticación o identificación de las sedes electrónicas.

6

Certificado de Servidor Seguro. Garantiza la integridad y confidencialidad de las comunicaciones de datos entre el cliente y el servidor es totalmente confidencial y que no podrá ser interceptada ni modificada por un tercero.

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE EMPLEADO PÚBLICO DE PERSONA FÍSICA

DE EMPLEADO PÚBLICO

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE SELLO ELECTRÓNICO

Para su validez la firma se generara en un dispositivo Hardware Criptográfico/HSM

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE AUTENTICACIÓN WEB

https://valide.redsara.es

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE AUTENTICACIÓN WEB

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE SERVIDOR SEGURO

• El servidor con el que me voy a comunicar y mi ordenador se ponen en contacto. • El servidor genera una clave de sesión con la que luego encriptara las comunicaciones. • Para enviar la clave de sesión y garantizar que soy el único que la conoce, el servidor la encriptará contra la clave pública que ha generado mi ordenador.

“Formación práctica en usos de herramientas de Administración Electrónica”

CERTIFICADOS DE SERVIDOR SEGURO

“Formación práctica en usos de herramientas de Administración Electrónica”

VERIFICAR CERTIFICADOS

https://valide.redsara.es

“Formación práctica en usos de herramientas de Administración Electrónica”

VERIFICAR CERTIFICADOS ¿QUÉ SIGNIFICA? ¿CÓMO SOLUCIONARLO?

“Formación práctica en usos de herramientas de Administración Electrónica”

CICLO DE VIDA DE UN CERTIFICADO Artículo 12. Obligaciones previas Artículo 13. Comprobación de la identidad …

Emisión

Habilitación

Artículo 9. Suspensión de la vigencia de los certificados electrónicos.

Suspensión Renovación Suspendido Caducidad Artículo 8. Extinción de la vigencia de los certificados electrónicos.

Revocación Caducado

Revocado

“Formación práctica en usos de herramientas de Administración Electrónica”

VALIDACIÓN DE CERTIFICADOS EN TAREAS AUTOMATIZADAS

“Formación práctica en usos de herramientas de Administración Electrónica” “Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Autentificar la identidad del usuario, de forma electrónica, ante terceros. B. Firmar electrónicamente de forma que se garantice la integridad de los datos trasmitidos y su procedencia. Un documento firmado no puede ser manipulado, ya que la firma está asociada matemáticamente tanto al documento como al firmante. C. Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Autentificar la identidad del usuario, de forma electrónica, ante terceros.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Firmar electrónicamente de forma que se garantice la integridad de los datos trasmitidos y su procedencia. Un documento firmado no puede ser manipulado, ya que la firma está asociada matemáticamente tanto al documento como al firmante.

Firma en Aplicación web

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

Firma Documento

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL? A. Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

“Formación práctica en usos de herramientas de Administración Electrónica”

TIPOS DE FIRMA

Firma Manuscrita

Firma Electrónica

“Formación práctica en usos de herramientas de Administración Electrónica”

DEFINICIÓN DE FIRMA

La firma es el nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle AUTENTICIDAD o para expresar que APRUEBA SU CONTENIDO.

“Formación práctica en usos de herramientas de Administración Electrónica”

DEFINICIÓN DE FIRMA

La firma es el nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle AUTENTICIDAD o para expresar que APRUEBA SU CONTENIDO.

“Formación práctica en usos de herramientas de Administración Electrónica”

TIPOS DE FIRMA ELECTRÓNICA

Firma Electrónica

Firma Electrónica Avanzada

Firma Electrónica Cualificada

• «firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar. • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:  estar vinculada al firmante de manera única.  permitir la identificación del firmante.  haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y  estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable. • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica

“Formación práctica en usos de herramientas de Administración Electrónica”

¿ Y QUÉ APORTA LEGALMENTE A LA FIRMA ELECTRÓNICA EL HECHO DE QUE SEA FIRMA ELECTRÓNICA “CUALIFICADA"? La firma electrónica CUALIFICADA tiene respecto de los datos consignados en forma electrónica el MISMO VALOR que la FIRMA MANUSCRITA en relación con los consignados en papel.“ • Basado en un certificado cualificado. • Generada mediante dispositivo cualificado de creación de firmas electrónicas.

• Emitido por un prestador de cualificado de servicios de confianza.

AUTENTICIDAD: La firma digital a diferencia de la firma escaneada no puede ser copiada, de esta forma se garantiza que es imposible de falsificar. INTEGRIDAD: La firma digital se elimina automáticamente del documento al más mínimo cambio en el contenido. NO REPUDIO: La persona que firma digitalmente no puede alegar el no haber firmado.

“Formación práctica en usos de herramientas de Administración Electrónica”

VENTAJAS DE LA FIRMA ELECTRÓNICA

ASPECTO

FIRMA MANUSCRITA

FIRMA ELECTRONICA RECONOCIDA

AUTENTICIDAD

Puede ser falsificada

Quien firma el documento es quien dice ser

INTEGRIDAD

Puede ser alterada la información después de firmar

La mínima alteración del documento provoca que la firma se elimine.

NO REPUDIO

Necesita un grafólogo

Quien firma no puede alegar no haberlo hecho

“Formación práctica en usos de herramientas de Administración Electrónica”

¿COMO FUNCIONA UN SISTEMA DE FIRMA ELECTRÓNICA? Técnicamente lo que ocurre es que al firmar se genera un código HASH o diggest a partir del documento/fichero firmado que se cifra. Éste código cifrado se adjunta al documento, junto con el certificado del firmante.

A

B Para comprobar la firma del documento se generará de nuevo este código HASH; por otra parte, se usa la clave pública para cifrar el cófigo hash que generó el firmante y se comprueba si ambos coinciden. Si es así, no hay duda de que ha sido el firmante quien ha firmado el documento

Un Hash es una función matemática para resumir o identificar probabilísticamente un gran conjunto de información, dando como resultado un conjunto imagen finito generalmente menor.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿COMO FUNCIONA UN SISTEMA DE FIRMA ELECTRÓNICA?

PROCEDIMIENTO DE FIRMA ELECTRÓNICA

RECEPCIÓN DE FIRMA ELECTRÓNICA

“Formación práctica en usos de herramientas de Administración Electrónica”

LOS CÓDIGOS HASH

La longitud de los códigos hash es fija, no depende de la longitud de los documentos originales por muy grandes que estos sean, sirve para identificarlos unívocamente y no permite deducir el documento original a partir del cual se han generado.

“Formación práctica en usos de herramientas de Administración Electrónica”

VALIDACIÓN DE CERTIFICADOS Y FIRMAS ELECTRÓNICAS En los apartados anteriores ha quedado claro que los certificados electrónicos proporcionan las garantías de la autenticidad de la identidad del firmante y la integridad de un documento electrónico y de cualquier otro tipo de fichero electrónico como lo podría ser perfectamente, por ejemplo, un fichero de música o video. Para poder confiar plenamente en un certificado electrónico usado en una firma electrónica ha de comprobarse principalmente que éste cumpla una serie de condiciones.  Emitido por una autoridad de certificación valida.  Que la firma se realizó dentro del tiempo de vigencia del certificado.  Que el certificado no haya sido revocado.  De forma automática.  De forma manual. Acudiremos a las listas de revocación que son archivos que contienen listas con los números de serie de los certificados que han sido evocados

“Formación práctica en usos de herramientas de Administración Electrónica”

VALIDACIÓN DE CERTIFICADOS Y FIRMAS ELECTRÓNICAS

“Formación práctica en usos de herramientas de Administración Electrónica”

¡CONCEPTOS CLAVES!

1 2 3 4

FORMATOS DE FIRMA ELECTRÓNICA COFIRMAS Y CONTRAFIRMAS FIRMAS LONGEVAS MARCA DE TIEMPO/SELLO DE TIEMPO

“Formación práctica en usos de herramientas de Administración Electrónica”

FORMATOS DE FIRMA (I) El formato de firma corresponde al tipo de fichero generado tras aplicar la firma y se caracteriza por su estructura, por su incrustación o no en el documento original, por la posibilidad de incluir varias firmas y por la longevidad de la firma y del sello de tiempo. Como ya sabemos, una firma electrónica contiene información sobre el documento original, el firmante, la fecha de firma, los algoritmos utilizados y sobre la caducidad o no de ésta. La estructuración de esta información es característica de cada formato.

“Formación práctica en usos de herramientas de Administración Electrónica”

FORMATOS DE FIRMA (II)

• CAdES (CMS Avanzado). Es la evolución del primer formato de firma estandarizado. Es apropiado para firmar ficheros grandes, especialmente si la firma contiene el documento original porque optimiza el espacio de la información. Tras firmar, no podrás ver la información firmada, porque la información se guarda de forma binaria. • XAdES (XML Avanzado). El resultado es un fichero de texto XML, un formato de texto muy similar al HTML que utiliza etiquetas. Los documentos obtenidos suelen ser más grandes que en el caso de CAdES, por eso no es adecuado cuando el fichero original es muy grande. Aplicaciones como eCoFirma del Ministerio de Industria y Comercio, sólo firman en XAdES. • PAdES (PDF Avanzado). Este es el formato más adecuado cuando el documento original es un pdf. El destinatario de la firma puede comprobar fácilmente la firma y el documento firmado. Con los formatos anteriores esto no es posible si no se utilizan herramientas externas. • OOXML y ODF. Son los formatos de firma que utilizan Microsoft Office y Open Office, respectivamente.

“Formación práctica en usos de herramientas de Administración Electrónica”

FORMATOS DE FIRMA (III) Dentro de las distintas clases de formatos XAdES, CAdES y PAdES se podrán aplicar los estándares AdES • • • • • •

Firma Básica (AdES - BES), es el formato básico para satisfacer los requisitos de la firma electrónica avanzada. AdES T, se añade un sellado de tiempo (T de TimeStamp) con el fin de situar en el tiempo el instante en que se firma un documento. AdES C, añade un conjunto de referencias a los certificados de la cadena de certificación y su estado, como base para una verificación longeva (C de Cadena). AdES X, añade sellos de tiempo a las referencias creadas en el paso anterior (X de eXtendida). AdES XL, añade los certificados y la información de revocación de los mismos, para su validación a largo plazo (XL de eXtendido Largo plazo). AdES A, permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma archivada o guardada para futuras verificaciones (A de Archivo).

“Formación práctica en usos de herramientas de Administración Electrónica”

FORMATOS DE FIRMA (IV)

“Formación práctica en usos de herramientas de Administración Electrónica”

C. COFIRMAS Y CONTRAFIRMAS. En el mundo del papel y de la firma manuscrita, un documento puede contener la firma de varias personas: • En un caso, las firmas pueden tener el mismo peso o valor legal, por lo que da igual el orden en el que se estampen las firmas en el documento. • Otro caso, es el que unas firmas sirven para refrendar o certificar otras firmas anteriores, por lo que el orden en el que se estampan las firmas es importante. El equivalente a esas firmas en el mundo electrónico son las firmas múltiples. e.

• Co-firma o firma en línea. Es la firma múltiple en la que todos los firmantes están al mismo nivel y en la que no importa el orden en el que se firma. La co-firma se utiliza en la firma de documentos que son resultados de reuniones, conferencias o comités. • Contra-firma o firma en cascada. Firma múltiple en la que el orden en el que se firma es importante, ya que cada firma debe refrendar o certificar la firma del firmante anterior. Firma el contenido de la anterior firma.

“Formación práctica en usos de herramientas de Administración Electrónica”

FIRMAS LONGEVAS. Para verificar una firma es necesario: • •

Comprobar la integridad de los datos firmados asegurando que éstos no hayan sufrido ninguna modificación. Comprobar que el estado del certificado con el que se firmó era el correcto, es decir, era vigente en el momento de la operación.

En el caso de la firma electrónica básica, si el certificado está caducado automáticamente se da la firma como no válida. Entonces, ¿cómo sabemos que el certificado estaba vigente o no en la fecha en la que se firmó? Y ¿qué debe hacerse para que cuando se quiera validar o verificar una firma en el futuro la validación sea posible aunque esté caducado el certificado?

Para dar respuesta a estas preguntas, los estándares AdES contemplan la posibilidad de incorporar a las firmas electrónicas generadas en los formatos CAdES, XAdES y PAdES información adicional que garantiza la validez de una firma a largo plazo, una vez vencido el periodo de validez del certificado. Estos formatos añaden a la firma evidencias de terceros (de autoridades de certificación) y certificaciones de tiempo, que realmente certifican cuál era el estado del certificado en el momento de la firma.

“Formación práctica en usos de herramientas de Administración Electrónica”

MARCA DE TIEMPO/SELLO DE TIEMPO (I). El sellado de tiempo es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces. El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo (TSA), que actúa como tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos. El sellado de tiempo proporciona un valor añadido a la utilización de firma digital, ya que la firma por sí sola no proporciona ninguna información acerca del momento de creación de la firma, y en el caso de que el firmante la incluyese, ésta habría sido proporcionada por una de las partes, cuando lo recomendable es que la marca de tiempo sea proporcionada por una tercera parte de confianza. Resellado

Puesto que el Sello de Tiempo es una firma realizada con el certificado electrónico de la Autoridad de Sellado, cuando ese certificado caduca, el sello y, por tanto, la firma dejan de ser válidas. Por eso, antes de que el certificado de la TSA caduque es necesario resellar o aplicar de nuevo el Sello Temporal para mantener la validez temporal de la firma.

“Formación práctica en usos de herramientas de Administración Electrónica”

MARCA DE TIEMPO/SELLO DE TIEMPO (II). ¿Cómo se obtiene una fuente de tiempo fiable? En el estándar que especifica los requerimientos que deben tener todas las autoridades de sellado de tiempo, se indica que el sistema deberá contar con una fuente de tiempo fiable. Los TS@ españoles la obtención de la fuente de tiempo fiable la realizan sincronizando sus servidores con el Real Instituto y Observatorio de la Armada (ROA) a través del protocolo NTP. A partir de esta fuente de tiempo fiable las generan los sellos de tiempo. Tal y como establece el Esquema Nacional de Interoperabilidad en su artículo 15: 1.

2.

Los sistemas o aplicaciones implicadas en la provisión de un servicio público por vía electrónica se sincronizarán con la hora oficial, con una precisión y desfase que garanticen la certidumbre de los plazos establecidos en el trámite administrativo que satisfacen. La sincronización de la fecha y la hora se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada, como laboratorio depositario del patrón nacional de Tiempo y laboratorio asociado al Centro Español de Metrología y, cuando sea posible, con la hora oficial a nivel europeo.

“Formación práctica en usos de herramientas de Administración Electrónica”

MARCA DE TIEMPO/SELLO DE TIEMPO (III).

“Formación práctica en usos de herramientas de Administración Electrónica”

https://www.xolido.com/lang/productosxolidosign/xolidosignescritorio/

Xolido®Sign Desktop

“Formación práctica en usos de herramientas de Administración Electrónica”

“Formación práctica en usos de herramientas de Administración Electrónica”

¿Qué necesitamos para firmar?

https://www.xolido.com/lang/productosxolidosign/xolidosignescritorio/

“Formación práctica en usos de herramientas de Administración Electrónica”

¿Qué obtenemos después de firmar?

“Formación práctica en usos de herramientas de Administración Electrónica”

“Formación práctica en usos de herramientas de Administración Electrónica”

¿Para qué sirve? 1. Una Autoridad de Sellado de Tiempo (TSA) nos proporciona la prueba fehaciente de la existencia de un documento o archivo en un momento determinado. 2. Firma con Sello de Tiempo. Garantizamos la referencia temporal de esa firma electrónica.

“Formación práctica en usos de herramientas de Administración Electrónica”

“Formación práctica en usos de herramientas de Administración Electrónica”

“Formación práctica en usos de herramientas de Administración Electrónica”

¿Qué necesitamos? 1.

Aplicación XolidoSign.

2.

Archivos para verificar, Firmas Electrónicas, Sellos de Tiempo.

3.

Recomendable: Conexión a Internet (Consultas de Revocación).

¿Qué nos proporciona? 1. Información acerca de si los datos originales han sido modificados.

* Si la información está firmada: Quién realizó la firma. Autoría. * Si la información está sellada de tiempo: Que el documento o archivo existía en el momento indicado.

“Formación práctica en usos de herramientas de Administración Electrónica”

¿Cómo podemos verificar?

“Formación práctica en usos de herramientas de Administración Electrónica”

Verificación Manual Contraste explícito 1. Tenemos un archivo y sus “supuestas” firmas electrónicas y sellos de tiempo. XolidoSign realiza las operaciones necesarias para determinar: 1. Grado de correspondencia con el archivo escogido. 2. Estado de validez de cada una de las firmas electrónicas y sellos de tiempo contrastados.

“Formación práctica en usos de herramientas de Administración Electrónica”

Verificación Inteligente XolidoSign trabaja por nosotros 1. Tenemos múltiples archivos, firmas electrónicas y sellos de tiempo. XolidoSign calcula de forma óptima los emparejamientos para determinar:

1. En las firmas electrónicas y sellos de tiempo, qué documentos se corresponden con ellos. 2. En los documentos o archivos, las firmas electrónicas y sellos de tiempo que tienen asociados.

2. Proceso automático y desatendido.

“Formación práctica en usos de herramientas de Administración Electrónica”

Criterios de Verificación ¿Cuándo se considera una firma electrónica o sello de tiempo válido? 5 Criterios de Verificación 1. Momento de la Firma 2. Confianza 3. Revocación 4. Integridad 5. Correspondencia

- Iconos de validez global: 1. Verde

2. Amarillo

3. Rojo

“Formación práctica en usos de herramientas de Administración Electrónica”

Criterios de Verificación 1. Momento de la firma 1. Es importante disponer de un momento de realización de la firma electrónica confiable. 2. Firmas con Sello de Tiempo.

2. Confianza 1. Podemos reconstruir la cadena de confianza íntegra. 2. Confiamos en el certificado raíz de la cadena, certificado de la CA. 3. Se realizó la firma en el periodo de validez del certificado.

“Formación práctica en usos de herramientas de Administración Electrónica”

Criterios de Verificación 3. Revocación 1. La entidad certificadora nos confirma que NO se ha revocado. 2. No todos los certificados disponen de revocación.

3. Necesitamos conexión a Internet.

4. Integridad: 1. Correcta estructura interna de la firma electrónica o sello de tiempo.

5. Correspondencia: 1. El resumen o hash único que se ha firmado electrónicamente o sellado tiempo se corresponde con el archivo o documento verificado.

de

“Formación práctica en usos de herramientas de Administración Electrónica”

• Aspectos básicos que hay que tener muy claros

-El contenido de un archivo es independiente de su nombre.

- Verificar una firma o sello de tiempo no es sólo validar el certificado electrónico.

- La marca visible de la firma incrustada en PDF no es la firma electrónica.

“Formación práctica en usos de herramientas de Administración Electrónica”

• Aspectos que se deben cumplir -Hacer firmas electrónicas reales: - No a las transformaciones textuales / gráficas que simulan firmas o sellos.

- Utilizar formatos estándar: - Compatibilidad con terceros. - Esquema Nacional de Interoperabilidad.

- Indicar qué información se ha firmado electrónicamente o sellado de tiempo: - Evitar que un tercero se pierda buscando los datos a contrastar.

- Firmar incluyendo certificado del firmante y su cadena de confianza: - Permitir descifrar la firma electrónica en verificación. - Permitir la construcción de la cadena de confianza y obtención de la revocación.

“Formación práctica en usos de herramientas de Administración Electrónica”

• Aspectos que recomendamos cumplir -Utilizar siempre que sea posible el Sellado de Tiempo: - Es vital que el momento de la firma tenga garantías legales. - Funcionalidad del Sellado de Tiempo independiente.

- Incrustar información de revocación en las firmas electrónicas: - Verificación completa de las firmas electrónicas sin conexión a Internet. - Firmas electrónicas perduran en el tiempo, aun cuando la CA no proporciona para el certificado firmante su estado de revocación por estar caducado.

- Utilizar programas de escritorio para verificaciones independientes:

- Descárgatelo gratis en www.xolidosign.com

“Formación práctica en usos de herramientas de Administración Electrónica”

Javier Peña Alonso E. Mail: [email protected] Twiter: @japealonso https://es.linkedin.com/in/japealonso