PAdES – PDF Advanced Electronic Signature Firma Electrónica de larga duración

Programa

Firma Electrónica de larga duración

 INTRODUCCIÓN  CONCEPTOS PREVIOS  PAdES

2

Introducción

“Lo bueno de Internet es que nadie sabe que eres un perro” 3

Introducción Algunas preguntas…  En todo momento hay más de 1 billón de personas en la red  Más de 3 millones de usuarios nuevos semanales  Se crea un blog cada segundo

 Se roba una identidad cada 79 segundos

No Repudio Confidencialidad Autenticidad

Integridad

Certificados Digitales 4

Introducción Algunas preguntas… Autenticación ¿La información ha sido enviada por la persona que dice que la ha enviado? ¿Quién accede a mi red es efectivamente quién dice ser?

Integridad ¿Alguien ha podido modificar el contenido?

Confidencialidad ¿La información ha sido leída por terceros?

Repudio (Negación de envío) Si hay algún problema ¿podría el remitente negar la autoría del documento?. 5

Introducción La firma electrónica hoy  La factura electrónica es un elemento tractor de esta tecnología  Sin embargo, y a fin de fomentar el uso de la factura electrónica, las exigencias de AEAT en esta materia son poco restrictivas y esto hace que no se puedan extrapolar a otros procesos que requieran mayor seguridad y confianza ‒ La variable “tiempo” complica los procesos electrónicos

 Por este motivo aparecen otros nuevos soportes para documentos electrónicos (PDF/A) y nuevos conceptos de firma electrónica: – Completa – Longeva – PAdES

6

Introducción

7

Programa

Firma Electrónica de larga duración

CONCEPTOS PREVIOS

8

Certificados Digitales Introducción

Es un archivo electrónico que identifica a un usuario Es el equivalente electrónico a un Documento de Identidad.

Asocia una clave única a una identidad, – Cada certificado está identificado por un número de serie único y tiene un periodo de validez que está incluido en el certificado – De tal forma que ésta queda fehacientemente ligada a los documentos electrónicos sobre la que se aplica. 9

Certificados Digitales Introducción Un certificado electrónico consta de dos partes diferenciadas:

 Clave pública: es la que le posibilita al destinatario verificar quien es el autor del mensaje y la integridad de los datos enviados. – Esta clave se comparte (al enviar documentos firmados) y es conocida por otras Personas – Contiene datos como el nombre, apellidos, razón social, CIF, e-mail…

 Clave privada: nivel de seguridad para posibilitar el uso del certificado – Debe permanecer bajo el exclusivo control de su propietario. – Esta característica permite que una firma digital identifique en forma unívoca al firmante.

Conocida una NO se obtiene la otra 10

Certificados Digitales Confianza en el certificado  Podremos confiar en el certificado digital de una persona a la que no conocemos, si dicho certificado está avalado por una entidad en la que sí confiamos; es decir, si está avalado por un Prestador de Servicios de Certificación en el que confiemos. – El Prestador de Servicios de Certificación garantiza que el certificado es de fiar mediante su firma digital en el mismo.

11

Certificados Digitales Funciones de la Autoridad de Certificación   

Gestionar el servicio de certificación digital Definir las Políticas de certificación Gestionar el directorio de certificados emitidos

 Gestionar las listas de revocación (CRL)       

Cubrir la responsabilidad Civil. Inscripción en el registro de entidades de certificación Auditar las Autoridades de Registro (RA) Gestionar la seguridad del sistema Negociar el reconocimiento de los certificados mediante acuerdos con otras entidades de certificación Definir la estrategia del servicio de certificación actual y futuro. Proporcionar un servicio de Hot-line 24/horas* 365días, de información, gestión y revocación.

12

Certificados Digitales Datos que contiene el certificado

Cada certificado contiene información: Del Titular: la identidad y su clave pública De la autoridad certificadora: la identidad y la firma Del propio certificado: número de serie, caducidad, etc. Construidos según el estándar X.509 v3

13

Certificados Digitales Usos  Clave de acceso a áreas restringidas – Áreas físicas: para acceder a una Empresa, un Departamento, un PC, máquina de café o para “fichar” a la entrada y salida de la Persona – Acceso a web: Mayor seguridad que “usuario y contraseña”

 Firma de documentos – El emisor del documento se asegura que el documento no puede ser modificado (integridad) – El receptor puede comprobar de forma inequívoca la identidad del firmante, y este no puede negar su autoría. – Se puede firmar cualquier tipo de documento o mensaje (e-mail)

 Cifrar una comunicación – Garantiza que el documento sólo puede ser leído por su destinatario (confidencialidad) 14

Certificados Digitales Acceso restringido a webs

 Se utiliza para controlar el acceso a un sitio Web o a determinadas páginas del mismo  Mayor seguridad que login+password  Al intentar acceder, se solicita un certificado a quien visita la página  Se puede filtrar el acceso según los datos que contenga el certificado, si está revocado,…  En el sitio Web es necesario tener instalado un certificado de servidor Web seguro

*SSL (Secure Sockets Layer)

15

Certificados Digitales

16

Certificados Digitales Otros usos  Caixa Galicia y Caja Madrid fueron los primeros en incorporar el uso del DNI-e a sus cajeros automáticos  Se podrá retirar efectivo, consultar saldo, solicitar préstamos y realizar gestiones con la administración

17

Certificados Digitales Tipos de Certificados Digitales: personal  Acredita la identidad de la persona firmante que siempre será una persona física  No contiene datos de vinculación a ninguna entidad.  Usos indicados: – Firma de correos electrónicos (asegurar la identidad del remitente, evitar fraudes) – Validación para accesos a zonas Web – Trámites on-line que lo requieran

18

Certificados Digitales Tipos de Certificados Digitales: de pertenencia a empresa  Garantiza la identidad de la persona física titular del certificado, así como su vinculación a una determinada entidad en función del cargo que ocupa en la misma.  Lo puede solicitar la propia persona física titular del certificado siempre que disponga de la autorización de un representante de la empresa para la que trabaja.  Usos indicados: – Los mismos que el certificado personal – Tramitaciones con las Administraciones.

19

Certificados Digitales Tipos de Certificados Digitales: de persona jurídica  A nombre de una entidad, no de una persona – Similar a un “sello de empresa”

 En la solicitud ha de figurar un solicitante (“custodio”)  Quién puede ser solicitante (casos comunes: S.A., S.L.) – Representante legal: • Administrador Único / Solidario / Mancomunado • Consejero Delegado

– Representante voluntario: Resto de casos • IMPORTANTE: Necesario poder notarial específico para este caso

 Usos indicados: – Fundación Tripartita (bonificación por acciones de formación) – Agencia Estatal Tributaria (declaraciones de la empresa)

20

Certificados Digitales Tipos de Certificados Digitales: DNI electrónico  Acredita a una persona, no a su vinculación con una entidad  El chip electrónico contiene los mismos datos que aparecen impresos en la tarjeta (datos personales, fotografía, Firma Electrónica, huella dactilar digitalizada) junto con los certificados de Autenticación y de Firma Electrónica.  Capacidad de autenticación y firma pero no de cifrado  Únicamente en soporte tarjeta

El DNI electrónico estará disponible en toda España desde el 2008. 21

Certificados Digitales Tipos de Certificados Digitales: para factura electrónica  A nombre de una entidad, no de una persona – Similar a un “sello de empresa”

 En la solicitud ha de figurar una persona física, titular del certificado, con capacidad de representación dentro de la empresa ó autorizado por un representante de la empresa para realizar facturación electrónica en nombre de la misma.  Uso exclusivo para facturación electrónica

22

Certificados Digitales Soportes para certificados Software El certificado está instalado dentro del equipo. Se pueden proteger mediante PIN. Se permite la exportación a otros equipos

Tarjetas  Permiten realizar una personalización  Requieren un lector USB o PCMCIA  Acceso protegido mediante PIN

Llaves USB  Diseñado para aplicaciones portátiles,  Conectividad sin cables adicionales.  Posibilidad de incorporar otros certificados, passwords,..

Llaves biométricas  Opciones adicionales a la de almacenar certificados digitales.  Identifican al usuario mediante medidas biométricas (huella dactilar) 23

Certificados Digitales Validez de un certificado/firma en el tiempo  La capacidad de revocar un certificado es un derecho que asiste al titular del mismo, o a las entidades que representa, – Si el certificado es obtenido por terceros en conocimiento del PIN, podrían quedar comprometidos por firmas no realizadas bajo su voluntad.

Vigencia del certificado

Firma

No Repudio Tiempo

Firma

Vigencia del certificado

Repudio Tiempo

24

Certificados Digitales Validez de un certificado

 La validez de un Certificado depende primeramente de la credibilidad de quien lo emite, es decir de la Autoridad de certificación.  Depende también del método y los recursos utilizados para su emisión: soporte, identificación, seguridad, etc.  Finalmente la validez también depende del ámbito de reconocimiento

de este certificado.

25

Certificados Digitales Proceso de emisión

Comisaría

DNI

Certificado Digital

Ministerio de Interior

Ministerio de Industria

Dirección General de Policía

Autoridad de Certificación

Comisaría

Autoridad de Registro

Comisaría

26

Autoridad de Registro

Autoridad de Registro

Certificados Digitales Ventajas de los certificados  Eliminación del papel en procesos empresariales (contratos, solicitudes de vacaciones, ofertas, pedidos, ...).  Correspondencia instantánea con validez legal.  Trámites telemáticos con la Administración y otros organismos.

27

Firma Electrónica Firma Electrónica  La firma electrónica es un conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.  La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

 Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. –

La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

28

Firma Electrónica Firma Electrónica: proceso de firma  La firma electrónica identifica al firmante y garantiza la integridad del contenido del documento

Documento

Herramienta de Firma Certificado

Clave privada

29

Documento Firmado

Firma Electrónica Cómo es un documento e-firmado (word)

30

Firma Electrónica Cómo es un documento e-firmado (PDF)

31

Firma Electrónica Cómo se comprueba una firma “sencilla”

Se debe comprobar :     

Autenticidad del firmante Integridad del contenido del documento Reconocimiento del certificado utilizado Caducidad del certificado utilizado Estado de revocación del certificado utilizado - online

32

Firma Electrónica Cómo se comprueba una firma

33

Firma Electrónica Ejemplos de usos empresariales  Factura electrónica  Firma de actas/informes/ofertas/pedidos: ‒ ‒ ‒ ‒

Los términos se acuerdan sobre sucesivas versiones del documento Una vez acordado, se Firma Electrónicamente por ambas partes. Al estar firmado, la información ya no puede ser modificada sin perder la firma Ahorro en tiempo y costes (más rápido que remitirlo en papel, no hay necesidad de mensajería …)

 Acceso restringido a una página web: ‒ Trámites con la Administración ‒ Identificación en Intranet y Extranet ‒ Realización y gestión de pedidos

 Firmas de documentación de sistemas de calidad  Formulario Electrónico: ‒ ‒ ‒ ‒

El proveedor pone a disposición del Cliente un formulario dónde puede solicitar el pedido. El formulario ayuda al Cliente en el momento de informar los datos correspondientes. Evita errores. Los datos se integran fácilmente en el Sistema de Gestión del Proveedor 34

Firma Electrónica Validez legal

 Ley 59/2003  Misma validez que una firma manuscrita siempre que cumpla unas condiciones: – Sistema reconocido como tecnológicamente seguro – Procedimiento debe cumplir con los requisitos establecidos por ley

35

Firma Electrónica ¿Hace falta originales en papel?

36

Programa

Firma Electrónica de larga duración

PAdES

37

PAdES Introducción  La firma electrónica puede tener lagunas legales  Hoy en día, para la realización de trámites se requiere métodos de firma mucho más seguros y fiables  Ejemplo: documento electrónico

38

PAdES Qué es?  PAdES es un conjunto de normas publicadas por el ETSI para apoyar a los requisitos europeos para la firma electrónica. PAdES se basa en las firmas existentes en PDF tal como se especifica en la norma ISO 32 000.  Incluye funciones de apoyo a la validación de las firmas que se almacenan durante años o incluso décadas.  Firma digital longeva: aquella que tiene toda la información necesaria para ser validada a largo plazo ‒ PAdES (Disponible desde Julio 2009) Homólogo al CAdES y XAdES. Soporte AdES en documentos PDF. ‒ TS 102 778 (5 Partes) – Publicado por el ETSI

 ETSI: (European Telecommunications Standards Institute) 39

PAdES Qué es?  PDF Advanced Electronic Signature. PAdES es una norma que estandariza la incorporación de firmas electrónicas a documentos PDF con prestaciones similares a las firmas XAdES y CAdES.  Prestaciones fundamentales: ‒ ‒

Time-stamp Estado de revocación de un certificado en el momento de la firma

 Otras prestaciones: ‒ ‒ ‒ ‒ ‒

La posibilidad de incorporar una referencia explícita a una política de firma La razón por la que se ha generado la firma El rol asumido por el firmante El lugar en el que se ha realizado la firma .... 40

PAdES

Vigencia del certificado

Firma

No Repudio Tiempo

Firma

Vigencia del certificado

Repudio Tiempo

41

PAdES Familia AdES - CAdES  Puede firmar cualquier dato  2 métodos de firma: ‒Detached: Los datos firmados están separados de la firma ‒Encapsulado: La firma se encapsula junto con los datos

 A menudo requiere adaptaciones del software o realizar la firma con una aplicación externa  Soporta múltiples firmas en serie o en paralelo  La apariencia depende del software utilizado  Validez a largo plazo

42

PAdES Familia AdES - XAdES

 Proporciona una solución XML  Puede firmar cualquier dato  A menudo requiere adaptaciones del software o realizar la firma con una aplicación externa  Soporta múltiples firmas en serie o en paralelo  La apariencia depende del software utilizado  Validez a largo plazo

43

PAdES Familia AdES – PDF - PAdES

 Firmas contenidas en el PDF  Incluido en el estándar ISO 32000-1  Firma y verificación incluida en el software de PDF – no es necesaria adaptación o programación

 Soporta rellenado y firma secuencial para workflows de aprobación  Las firmas tienen un aspecto visual dentro del PDF  Validez a largo plazo

44

PAdES Dónde encontrar las especificaciones de PAdES?  PADES especificación está formada por 5 partes, cuyos títulos se enumeran a continuación. Una copia de las especificaciones PADES se pueden descargar siguiendo estos enlaces: 1. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles; Parte 1: Información general PADES - un documento marco para PADES 2. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles Parte 2: Básico PADES - perfil basado en ISO 32000-1 3. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 3: PADES reforzada - PADES-BES y-EPES perfiles PADES 4. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 4: PADES a Largo Plazo - LTV-PADES perfil 5. ETSI TS 102 778 102 778 ETSI TS PDF Firma Electrónica Avanzada perfiles; Parte 5: PADES de contenido XML Perfiles para la firma XAdES

45

PAdES Validación desde Acrobat

46

Firma Electrónica Cómo se comprueba una firma completa

Para realizar una comprobación completa de una firma electrónica se deben verificar las siguientes propiedades: Autenticidad del firmante Integridad del contenido del documento Reconocimiento del certificado utilizado Caducidad del certificado utilizado Estado de revocación del certificado utilizado en el momento de la firma  Sello de tiempo certificado por una Autoridad homologada     

47

Firma Electrónica Cómo se comprueba una firma

Sin OCSP ni TSP

CON OCSP y TSP

Sin OCSP ni TSP

Sin OCSP ni TSP

48

Firma Electrónica Cómo se comprueba una firma Sin OCSP (CRL Online)

CON OCSP (CRL)

Sin OCSP ni TSP

Sin OCSP ni TSP

49

Firma Electrónica Cómo se comprueba una firma Sin TSP

CON TSP

Sin OCSP ni TSP

Sin OCSP ni TSP

50

Firma Electrónica Cómo se comprueba una firma

51

PAdES En resumen, cómo se relacionan PDF/A y PAdES?

 PAdES está diseñado para apoyar documentos que pueden ser archivados durante largos períodos, como es PDF/A-1.  PAdES y PDF/A-1 se puede aplicar independientes entre sí.  Sin embargo, se recomienda que los documentos que se van a archivar se convierten en PDF/A-1 antes de firmar con PAdES.

52

PAdES

53

PAdES Más sobre PAdES

 Se recomienda la participación en el grupo STF364 (Specialist Task Force) que generó la norma PAdES  Tienen un portal que permite dirigir nuevas preguntas. Éstas son discutidas y respondidas por los componentes del STF 364 y, de considerarlo oportuno, preguntas y respuestas pasan a engrosar la FAQ. http://stf364ms.e.ac.upc.edu/phpmyfaq/index.php

54

Usos empresariales Generación • Plantillas – Datos - Maquetación • Transformación a PDF/A • Anexar ficheros

Seguridad • Autenticación, Confidencialidad • Firma y validación • Timestamp

Envío • eMail • FTP – sFTP • Web Service

Custodio • Intranet / Extranet • Trazabilidad / Accesibilidad • Terceros de confianza: ej Metaposta

55

Usos empresariales Metaposta  Se trata de un "buzón y caja fuerte electrónica en Internet" para que la ciudadanía pueda recibir y almacenar documentos de manera gratuita, segura y permanente  En Euskadi existen multitud de potenciales emisores de documentos: administraciones, empresas, banca, seguros, instituciones educativas, suministradores de electricidad, gas, agua, telefonía, etc.  METAPOSTA estará disponible cualquier día del año y desde cualquier lugar del mundo, y ofrece ventajas sustanciales en cuanto a plazos de entrega, desplazamientos y coste de los envíos.  Se trata de un proyecto incluido en el Plan Euskadi en la Sociedad de la Información 2010, inspirado en iniciativas similares que ya funcionan con éxito en los países con servicios on-line más desarrollados.

56

Usos empresariales Conclusiones  Estas tecnologías: PDF/A, PAdES, Custodio, evidencias electrónicas, METAPOSTA…  Proporcionan a ciudadanos y empresas soluciones para la realización de transacciones y gestiones seguras por medios exclusivamente electrónicos.  Se trata de tecnologías para agilizar procesos, reducir costes, garantizar la seguridad de los trámites y convertir tediosas gestiones en operaciones cómodas, sencillas y fiables.  Las transacciones y trámites digitales entre empresas, administraciones públicas e incluso particulares pueden ahorrar tiempo, papel, desplazamientos y dinero.  Se están desarrollado herramientas para:   

Generación automatizada de documentos en el formato PDF/A Firma electrónica PAdES en lotes Envíos masivos a plataformas de custodia

57

Más Información

www.edatalia.com edatalia data solutions, s.l. Tlf : 943 440 710 [email protected]

58