Autoridades de Certificación.
2
3
4
Certificados Digitales.
Firma Electrónica.
5
Aplicación practica.
Al final del siglo XX se ha iniciado una nueva revolución que ha cambiado las estructuras empresariales y sociales a nivel mundial.
LA DIGITALIZACIÓN
Paralelamente a la revolución nació una red global de intercomunicación de la información que conocemos como INTERNET.
Durante el transcurso de la historia la divulgación de la información se ha realizado de diversas maneras.
• Gracias a Internet en la actualidad podemos realizar diversas
operaciones online: consulta y gestión de nuestras cuentas
bancarias, compras (libros, viajes, …), e incluso podemos
realizar gestiones administrativas.
• Las tramitaciones administrativas, se realizan mediante la
presentación telemática de documentación y solicitudes a
través de las sedes electrónicas de las instituciones.
SEGURIDAD
¿QUIÉN ESTÁ AL OTRO LADO?
EL MÉTODO CESAR
Consistía en desplazar cada letra del alfabeto en un número de posiciones.
Si en el alfabeto desplazamos 13 veces la letra ”A”, ésta se convierte en la “M”; la “B” en la “N”….
Este desplazamiento de 13 letras es la clave utilizada para cifrar el mensaje. La misma clave es usada para descifrarlo.
EL MÉTODO DE CIFRADO DE CÉSAR INTRODUCE EL CONCEPTO
DE
“CLAVE CRIPOGRÁFICA”
¿QUÉ ES LA CRIPTOGRAFIA?
Es la ciencia que se encarga de estudiar las técnicas de cifrado y descifrado de la
información utilizando elementos que hagan posible el intercambio de mensajes
CRIPTOGRAFÍA SIMÉTRICA. Técnica de encriptación que UTILIZA LA MISMA CLAVE PARA CIFRAR Y DESCIFRAR LOS MENSAJES. Para la correcta comunicación, las dos partes deben ponerse de acuerdo previamente sobre cuál es la clave que se va a utilizar. Tras tener acceso a esa clave, el remitente cifra un mensaje usándola, lo envía a un destinatario y usando la clave acordada lo descifra.
Esta forma de cifrado no ofrece problema de seguridad, ya que tras el intercambio de las claves las comunicaciones son seguras. Pero no garantiza la seguridad del canal utilizado para la transmisión de las claves. En caso de un potencial ataque, sería más fácil realizarlo intentando interceptar la clave que probando las combinaciones posibles.
CRIPTOGRAFÍA
ASIMÉTRICA
.
Esta
técnica
se
caracteriza
por
la
UTILIZACIÓN DE DOS CLAVES
para
enviar
mensajes.
Estas
claves
pertenecen a la persona a la que se le
envía el mensaje.
UNA
de ellas es
PÚBLICA
,
pudiéndose
entregar
a
cualquier persona. Mientras, la
OTRA
es
PRIVADA
y debe ser guardada de forma
segura, sin que nadie pueda acceder a
ella.
CRIPTOGRAFÍA ASIMÉTRICA
CRIPTOGRAFÍA ASIMÉTRICA: USO DE LA CLAVES
FUNCIÓN
TIPO DE CLAVE
LA CLAVE DE
Cifrar datos para un receptor.
Pública
Receptor
Firmar datos.
Privada
Emisor
Descifrar datos recibidos.
Privada
Receptor
¡CONCEPTOS CLAVES!
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
CERTIFICADOS DIGITALES
1
2
PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS ELECTRÓNICOS DE
CONFIANZA”
A. Autoridades de Certificación. Certification Authority (CA)
• Entidad de confianza responsable
Emitir Certificados.
Revocar certificados
A-1 Autoridades de Registro (RA).
• Las CA delegan en la RA la recepción de solicitudes de emisión de certificado.
• La RA se encarga de asegurarse que el solicitante es lícito.
B. Autoridad de Validación. Suministra información sobre la vigencia de los certificados
electrónicos.
• Sistemas de comprobación de revocación:
CRL (listas de Revocación de Certificados)
OCSP (Online Certificate Service Protocol)
SCVP (Server-based Certificate Validation Protocol)
RFC 5055
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS DE CERTIFICACIÓN”
C. Autoridades de Sellado de Tiempo. Proporcionan certeza sobre la preexistencia de
determinados documentos electrónicos a un momento dado.
•
Emite una firma electrónica sobre dos elementos.
Un documento existente.
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
FUNCIONAMIENTO BÁSICO DE LAS “AUTORIDADES DE CERTIFICACIÓN”
• Las RA reciben solicitudes de
certificado.
• Validan que el solicitante es el sujeto
que dice ser.
• Solicitan a la CA que emita un
certificado.
• La CA emite un certificado al
solicitante,
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
GENERALISTAS
• Aquellas que se encuentran en la
mayoría de los sistemas, por lo que los
certificados que emiten validan sin
problemas.
• Suelen ser empresas y el coste suele ser
alto.
• Emiten certificados de servidor para
utilizar SSL con cuota anual.
Verisign
Thawte
Equifax
GlobalSign
Geotrust
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
NACIONALES
•
El Ministerio de Industria, Comercio y Turismo es el encargado de aceptar las
autoridades certificadoras reconocidas y en general los prestadores de servicios.
•
La Policia Nacional dispone de una CA que solo emite DNIe de forma gratuita.
•
FNMT emite certificados gratuitos de persona física y jurídica, pero cobra por su
verificación.
•
Camerfirma
•
Existen varias CAs propias de comunidades autónomas (Cataluña, Valencia, Pais Vasco.)
•
También existen alguna iniciativa de colectivos laborales como colegios profesionales.
•
También han nacido empresas como Firmaprofesional S.A. centradas en este sector de
PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA
https://sedeaplicaciones2.minetur.gob.es/prestadores/busquedaPrestadores.jsp
CERTIFICADOS DIGITALES
Un certificado electrónico es un conjunto de datos que permiten
la identificación del titular del Certificado, intercambiar
información con otras personas y entidades, de manera segura, y
firmar electrónicamente los datos que se envían de tal forma que
se pueda comprobar su integridad y procedencia.
Un certificado es un documento firmado electrónicamente por
un prestador de servicios electrónicos de confianza que vincula
unos datos de verificación de firma a un firmante y confirma su
identidad.
DATOS UN CERTIFICADO CUALIFICADO
– La indicación de que se expiden como tales. – El código identificativo único del certificado. – La identificación del PSC…
– La firma electrónica avanzada del PSC…
– La identificación … nombre y apellidos y su número de documento nacional de identidad … del firmante
– Los datos de verificación de firma …
– El comienzo y el fin del período de validez del certificado. – Los límites de uso del certificado, si se establecen.
– Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.
SOPORTE DE LOS CERTIFICADOS DIGITALES
HARDWARE
SOFTWARE
NO REQUIERE INSTALACIÓN REQUIERE INSTALACIÓN
RUTA DE CERTIFICACIÓN
CA Raíz CA Secundaria Certificado de UsuarioConsiste en validar el emisor de un
certificado en cadena (el emisor del emisor
y así continuamente) hasta el certificado
raíz (autofirmado) y en el cual confiaremos.
CERTIFICADOS MÁS HABITUALES
Certificado de Persona Fisica.
Certificado de Sello (Orientado a personas jurídicas).
1
2
Orientado a la identificación y firma de personas físicas
El certificado electrónico para actuaciones automatizadas es un certificado
técnico que permite dotar de garantías de autenticidad e integridad a los
documentos sobre los que se aplica
Certificado de Representante de Persona Jurídica.
3
Este certificado se expide a las personas físicas como representantes de las
personas jurídicas para su uso en sus relaciones con aquellas Administraciones
Públicas, Entidades y Organismos Públicos, vinculados o dependientes de las
mismas.
CERTIFICADOS MÁS HABITUALES
Certificado de Empleado Público.
4
Certificado de Servidor Seguro.
6
Garantiza la integridad y confidencialidad de las comunicaciones de datos entre
el cliente y el servidor es totalmente confidencial y que no podrá ser
interceptada ni modificada por un tercero.
El certificado digital de empleado público garantiza la identidad de la persona
física titular del certificado, así como su vinculación a una determinada entidad
pública en virtud del cargo que ocupa en la misma. Este certificado no otorgará
por si mismo mayores facultades a su titular que las que posee por el
desempeño de su actividad habitual.
Certificado de Autenticación Web.
3
CERTIFICADOS DE EMPLEADO PÚBLICO
Para su validez la firma se
generara en un dispositivo
CERTIFICADOS DE SERVIDOR SEGURO
• El servidor con el que me voy a comunicar y mi ordenador se ponen en contacto.
• El servidor genera una clave de sesión con la que luego encriptara las comunicaciones.
• Para enviar la clave de sesión y garantizar que soy el único que la conoce, el servidor la
¿QUÉ SIGNIFICA?
CICLO DE VIDA DE UN CERTIFICADO
Emisión
Habilitación
Revocación
Caducidad
Suspensión
Renovación
Caducado
Revocado
Suspendido
Artículo 8. Extinción de la vigencia de los certificados electrónicos. Artículo 9. Suspensión de la vigencia de los certificados electrónicos. Artículo 12. Obligaciones previas Artículo 13. Comprobación de la identidad …¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Autentificar la identidad del usuario, de forma electrónica, ante
terceros.
B. Firmar electrónicamente de forma que se garantice la
integridad de los datos trasmitidos y su procedencia. Un
documento firmado no puede ser manipulado, ya que la firma
está asociada matemáticamente tanto al documento como al
firmante.
C. Cifrar datos para que sólo el destinatario del documento pueda
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Autentificar la identidad del usuario, de forma electrónica, ante
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Firmar electrónicamente de forma que se garantice la
integridad de los datos trasmitidos y su procedencia. Un
documento firmado no puede ser manipulado, ya que la firma
está asociada matemáticamente tanto al documento como al
firmante.
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Cifrar datos para que sólo el destinatario del documento pueda
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Cifrar datos para que sólo el destinatario del documento pueda
¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?
A. Cifrar datos para que sólo el destinatario del documento pueda
TIPOS DE FIRMA
Firma Manuscrita
DEFINICIÓN DE FIRMA
La firma es el nombre y
apellido, o título, que una
persona
escribe
de
su
propia
mano
en
un
documento,
para
darle
AUTENTICIDAD
o
para
expresar que APRUEBA SU
CONTENIDO.
DEFINICIÓN DE FIRMA
La firma es el nombre y
apellido, o título, que una
persona
escribe
de
su
propia
mano
en
un
documento,
para
darle
AUTENTICIDAD
o
para
expresar que APRUEBA SU
CONTENIDO.
Firma
Electrónica
Firma
Electrónica Avanzada
Firma
Electrónica Cualificada
• «firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
• «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos: estar vinculada al firmante de manera única.
permitir la identificación del firmante.
haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
• «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica
¿ Y QUÉ APORTA LEGALMENTE A LA FIRMA ELECTRÓNICA EL HECHO DE QUE SEA
FIRMA ELECTRÓNICA “CUALIFICADA"?
La firma electrónica CUALIFICADA tiene respecto de los datos
consignados
en
forma
electrónica
el
MISMO
VALOR
que
la FIRMA MANUSCRITA en relación con los consignados en papel.“
• Basado en un certificado cualificado.
• Generada mediante dispositivo cualificado de creación de firmas electrónicas.
• Emitido por un prestador de cualificado de servicios de confianza.
AUTENTICIDAD:
La firma digital a diferencia de la firma escaneada no puede ser copiada, de esta forma se garantiza que es imposible de falsificar.
INTEGRIDAD:
La firma digital se elimina automáticamente del documento al más mínimo cambio en el contenido.
NO REPUDIO:
La persona que firma digitalmente no puede alegar el no haber firmado.
ASPECTO
FIRMA MANUSCRITA
FIRMA ELECTRONICA
RECONOCIDA
AUTENTICIDAD
Puede ser falsificada
Quien firma el documento es
quien dice ser
INTEGRIDAD
Puede ser alterada la
información después de
firmar
La mínima alteración del
documento provoca que la firma
se elimine.
NO REPUDIO
Necesita un grafólogo
Quien firma no puede alegar no
haberlo hecho
¿COMO FUNCIONA UN SISTEMA DE FIRMA ELECTRÓNICA?
B
A
Técnicamente lo que ocurre es que al firmar se genera un código HASH o
diggest a partir del
documento/fichero firmado que se cifra.
Éste código cifrado se adjunta al documento, junto con el certificado del
firmante.
Para comprobar la firma del documento
se generará de nuevo este código HASH;
por otra parte, se usa la clave pública para cifrar el cófigo hash que generó el
firmante y se comprueba si ambos coinciden. Si es así,
no hay duda de que ha sido el firmante
quien ha firmado el documento
Un Hash es una función matemática para resumir o identificar probabilísticamente un gran conjunto de
La longitud de los códigos hash es fija, no depende de la longitud de los
documentos originales por muy grandes que estos sean, sirve para identificarlos
unívocamente y no permite deducir el documento original a partir del cual se
han generado.
VALIDACIÓN DE CERTIFICADOS Y FIRMAS ELECTRÓNICAS
En los apartados anteriores ha quedado claro que los certificados electrónicos proporcionan las garantías de la autenticidad de la identidad del firmante y la integridad de un documento electrónico y de cualquier otro tipo de fichero electrónico como lo podría ser perfectamente, por ejemplo, un fichero de música o video.
Para poder confiar plenamente en un certificado electrónico usado en una firma electrónica ha de comprobarse principalmente que éste cumpla una serie de condiciones.
Emitido por una autoridad de certificación valida.
Que la firma se realizó dentro del tiempo de vigencia del certificado. Que el certificado no haya sido revocado.
De forma automática. De forma manual.
Acudiremos a las listas de revocación que son archivos que contienen listas con los números de serie de los certificados que han sido evocados
¡CONCEPTOS CLAVES!
FORMATOS DE FIRMA ELECTRÓNICA
1
COFIRMAS Y CONTRAFIRMAS
2
FIRMAS LONGEVAS
3
MARCA DE TIEMPO/SELLO DE TIEMPO
4
FORMATOS DE FIRMA (I)
El formato de firma corresponde al tipo de fichero generado tras aplicar la firma y se
caracteriza por su estructura, por su incrustación o no en el documento original, por la
posibilidad de incluir varias firmas y por la longevidad de la firma y del sello de tiempo.
Como ya sabemos, una firma electrónica contiene información sobre el documento
original, el firmante, la fecha de firma, los algoritmos utilizados y sobre la caducidad o
no de ésta. La estructuración de esta información es característica de cada formato.
• CAdES (CMS Avanzado).
Es la evolución del primer formato de firma estandarizado. Es apropiado para
firmar ficheros grandes, especialmente si la firma contiene el documento original
porque optimiza el espacio de la información. Tras firmar, no podrás ver la información
firmada, porque la información se guarda de forma binaria.
• XAdES (XML Avanzado).
El resultado es un fichero de texto XML, un formato de texto muy similar al HTML que
utiliza etiquetas. Los documentos obtenidos suelen ser más grandes que en el caso de
CAdES, por eso no es adecuado cuando el fichero original es muy grande. Aplicaciones
como eCoFirma del Ministerio de Industria y Comercio, sólo firman en XAdES.
• PAdES (PDF Avanzado).
Este es el formato más adecuado cuando el documento original es un pdf. El
destinatario de la firma puede comprobar fácilmente la firma y el documento firmado.
Con los formatos anteriores esto no es posible si no se utilizan herramientas externas.
• OOXML y ODF.
Son los formatos de firma que utilizan Microsoft Office y Open Office,
respectivamente.
• Firma Básica (AdES - BES), es el formato básico para satisfacer los requisitos de la firma electrónica avanzada.
• AdES T, se añade un sellado de tiempo (T de TimeStamp) con el fin de situar en el tiempo el instante en que se firma un documento.
• AdES C, añade un conjunto de referencias a los certificados de la cadena de certificación y su estado, como base para una verificación longeva (C de Cadena).
• AdES X, añade sellos de tiempo a las referencias creadas en el paso anterior (X de eXtendida).
• AdES XL, añade los certificados y la información de revocación de los mismos, para su validación a largo plazo (XL de eXtendido Largo plazo).
• AdES A, permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma archivada o guardada para futuras verificaciones (A de Archivo).
Dentro de las distintas clases de formatos XAdES, CAdES y PAdES se podrán aplicar los
estándares AdES
C. COFIRMAS Y CONTRAFIRMAS.
En el mundo del papel y de la firma manuscrita, un documento puede contener la firma de
varias personas:
• En un caso, las firmas pueden tener el mismo peso o valor legal, por lo que da igual el
orden en el que se estampen las firmas en el documento.
• Otro caso, es el que unas firmas sirven para refrendar o certificar otras firmas
anteriores, por lo que el orden en el que se estampan las firmas es importante.
El equivalente a esas firmas en el mundo electrónico son las firmas múltiples. e.
• Co-firma o firma en línea. Es la firma múltiple en la que todos los firmantes están al
mismo nivel y en la que no importa el orden en el que se firma. La co-firma se utiliza en
la firma de documentos que son resultados de reuniones, conferencias o comités.
• Contra-firma o firma en cascada. Firma múltiple en la que el orden en el que se firma
es importante, ya que cada firma debe refrendar o certificar la firma del firmante
Para verificar una firma es necesario:
• Comprobar la integridad de los datos firmados asegurando que éstos no hayan sufrido ninguna modificación. • Comprobar que el estado del certificado con el que se firmó era el correcto, es decir, era vigente en el momento
de la operación.
En el caso de la firma electrónica básica, si el certificado está caducado automáticamente se da la firma como no válida.
Entonces, ¿cómo sabemos que el certificado estaba vigente o no en la fecha en la que se firmó? Y ¿qué debe hacerse para que cuando se quiera validar o verificar una firma en el futuro la validación sea posible aunque esté caducado
el certificado?
Para dar respuesta a estas preguntas, los estándares AdES contemplan la posibilidad de incorporar a las firmas electrónicas generadas en los formatos CAdES, XAdES y PAdES información adicional que garantiza la validez de una
firma a largo plazo, una vez vencido el periodo de validez del certificado.
Estos formatos añaden a la firma evidencias de terceros (de autoridades de certificación) y certificaciones de
El sellado de tiempo es un método para probar que un conjunto de datos existió antes de un momento dado y que
ninguno de estos datos ha sido modificado desde entonces.
El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo (TSA), que actúa como tercera parte de
confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.
El sellado de tiempo proporciona un valor añadido a la utilización de firma digital, ya que la firma por sí sola no proporciona ninguna información acerca del momento de creación de la firma, y en el caso de que el firmante la incluyese, ésta habría sido proporcionada por una de las partes, cuando lo recomendable es que la marca de tiempo sea proporcionada por una tercera parte de confianza.
Resellado
Puesto que el Sello de Tiempo es una firma realizada con el certificado electrónico de la Autoridad de Sellado, cuando ese certificado caduca, el sello y, por tanto, la firma dejan de ser válidas.
Por eso, antes de que el certificado de la TSA caduque es necesario resellar o aplicar de nuevo el Sello Temporal
¿Cómo se obtiene una fuente de tiempo fiable?
En el estándar que especifica los requerimientos que deben tener todas las autoridades de sellado de tiempo, se indica que el sistema deberá contar con una fuente de tiempo fiable.
Los TS@ españoles la obtención de la fuente de tiempo fiable la realizan sincronizando sus servidores con el Real Instituto y Observatorio de la Armada (ROA) a través del protocolo NTP. A partir de esta fuente de tiempo fiable las generan los sellos de tiempo.
Tal y como establece el Esquema Nacional de Interoperabilidad en su artículo 15:
1. Los sistemas o aplicaciones implicadas en la provisión de un servicio público por vía electrónica se sincronizarán
con la hora oficial, con una precisión y desfase que garanticen la certidumbre de los plazos establecidos en el
trámite administrativo que satisfacen.
2. La sincronización de la fecha y la hora se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se
declara al Laboratorio del Real Instituto y Observatorio de la Armada, como laboratorio depositario del patrón nacional de Tiempo y laboratorio asociado al Centro Español de Metrología y, cuando sea posible, con la hora oficial a nivel europeo.
https://www.xolido.com/lang/productosxolidosign/xolidosignescritorio/
¿Qué necesitamos para firmar?
¿Para qué sirve?
1. Una Autoridad de Sellado de Tiempo (TSA) nos
proporciona la prueba fehaciente de la existencia de un
documento o archivo en un momento determinado.
2. Firma con Sello de Tiempo. Garantizamos la referencia
temporal de esa firma electrónica.
¿Qué necesitamos?
1. Aplicación XolidoSign.
2. Archivos para verificar, Firmas Electrónicas, Sellos de Tiempo. 3. Recomendable: Conexión a Internet (Consultas de Revocación).
¿Qué nos proporciona?
1. Información acerca de si los datos originales han sido modificados.
* Si la información está firmada: Quién realizó la firma. Autoría.
* Si la información está sellada de tiempo: Que el documento o archivo existía en el momento indicado.
Verificación Manual
Contraste explícito
1. Tenemos un archivo y sus “supuestas” firmas electrónicas y sellos de tiempo.
XolidoSign realiza las operaciones necesarias para determinar: 1. Grado de correspondencia con el archivo escogido.
2. Estado de validez de cada una de las firmas electrónicas y sellos de tiempo contrastados.
Verificación Inteligente
XolidoSign trabaja por nosotros
1. Tenemos múltiples archivos, firmas electrónicas y sellos de tiempo.
XolidoSign calcula de forma óptima los emparejamientos para determinar: 1. En las firmas electrónicas y sellos de tiempo, qué documentos se
corresponden con ellos.
2. En los documentos o archivos, las firmas electrónicas y sellos de tiempo que tienen asociados.
Criterios de Verificación
¿Cuándo se considera una firma electrónica o sello de tiempo válido?
5 Criterios de Verificación
1. Momento de la Firma 2. Confianza 3. Revocación 4. Integridad 5. Correspondencia- Iconos de validez global:
Criterios de Verificación
1. Momento de la firma
1. Es importante disponer de un momento de realización de la firma electrónica confiable.
2. Firmas con Sello de Tiempo.
2. Confianza
1. Podemos reconstruir la cadena de confianza íntegra.
2. Confiamos en el certificado raíz de la cadena, certificado de la CA. 3. Se realizó la firma en el periodo de validez del certificado.
Criterios de Verificación
3. Revocación
1. La entidad certificadora nos confirma que NO se ha revocado. 2. No todos los certificados disponen de revocación.
3. Necesitamos conexión a Internet.
4. Integridad:
1. Correcta estructura interna de la firma electrónica o sello de tiempo.
5. Correspondencia:
1. El resumen o hash único que se ha firmado electrónicamente o sellado de tiempo se corresponde con el archivo o documento verificado.
• Aspectos básicos que hay que tener muy claros
-El contenido de un archivo es independiente de su nombre.
- Verificar una firma o sello de tiempo no es sólo validar el certificado electrónico.
• Aspectos que se deben cumplir
-Hacer firmas electrónicas reales:- No a las transformaciones textuales / gráficas que simulan firmas o sellos. - Utilizar formatos estándar:
- Compatibilidad con terceros.
- Esquema Nacional de Interoperabilidad.
- Indicar qué información se ha firmado electrónicamente o sellado de tiempo: - Evitar que un tercero se pierda buscando los datos a contrastar.
- Firmar incluyendo certificado del firmante y su cadena de confianza: - Permitir descifrar la firma electrónica en verificación.
• Aspectos que recomendamos cumplir
-Utilizar siempre que sea posible el Sellado de Tiempo: - Es vital que el momento de la firma tenga garantías legales. - Funcionalidad del Sellado de Tiempo independiente.
- Incrustar información de revocación en las firmas electrónicas:
- Verificación completa de las firmas electrónicas sin conexión a Internet.
- Firmas electrónicas perduran en el tiempo, aun cuando la CA no proporciona para el certificado firmante su estado de revocación por estar caducado.
- Utilizar programas de escritorio para verificaciones independientes: - Descárgatelo gratis en www.xolidosign.com