índice. 5 Aplicación practica. Criptografía. Autoridades de Certificación. Certificados Digitales. Firma Electrónica.

Autoridades de Certificación.

2

3

4

Certificados Digitales.

Firma Electrónica.

5

Aplicación practica.

Al final del siglo XX se ha iniciado una nueva revolución que ha cambiado las estructuras empresariales y sociales a nivel mundial.

LA DIGITALIZACIÓN

Paralelamente a la revolución nació una red global de intercomunicación de la información que conocemos como INTERNET.

Durante el transcurso de la historia la divulgación de la información se ha realizado de diversas maneras.

• Gracias a Internet en la actualidad podemos realizar diversas

operaciones online: consulta y gestión de nuestras cuentas

bancarias, compras (libros, viajes, …), e incluso podemos

realizar gestiones administrativas.

• Las tramitaciones administrativas, se realizan mediante la

presentación telemática de documentación y solicitudes a

través de las sedes electrónicas de las instituciones.

SEGURIDAD

¿QUIÉN ESTÁ AL OTRO LADO?

EL MÉTODO CESAR

Consistía en desplazar cada letra del alfabeto en un número de posiciones.

 Si en el alfabeto desplazamos 13 veces la letra ”A”, ésta se convierte en la “M”; la “B” en la “N”….

 Este desplazamiento de 13 letras es la clave utilizada para cifrar el mensaje.  La misma clave es usada para descifrarlo.

EL MÉTODO DE CIFRADO DE CÉSAR INTRODUCE EL CONCEPTO

DE

“CLAVE CRIPOGRÁFICA”

¿QUÉ ES LA CRIPTOGRAFIA?

Es la ciencia que se encarga de estudiar las técnicas de cifrado y descifrado de la

información utilizando elementos que hagan posible el intercambio de mensajes

CRIPTOGRAFÍA SIMÉTRICA. Técnica de encriptación que UTILIZA LA MISMA CLAVE PARA CIFRAR Y DESCIFRAR LOS MENSAJES. Para la correcta comunicación, las dos partes deben ponerse de acuerdo previamente sobre cuál es la clave que se va a utilizar. Tras tener acceso a esa clave, el remitente cifra un mensaje usándola, lo envía a un destinatario y usando la clave acordada lo descifra.

Esta forma de cifrado no ofrece problema de seguridad, ya que tras el intercambio de las claves las comunicaciones son seguras. Pero no garantiza la seguridad del canal utilizado para la transmisión de las claves. En caso de un potencial ataque, sería más fácil realizarlo intentando interceptar la clave que probando las combinaciones posibles.

CRIPTOGRAFÍA

ASIMÉTRICA

.

Esta

técnica

se

caracteriza

por

la

UTILIZACIÓN DE DOS CLAVES

para

enviar

mensajes.

Estas

claves

pertenecen a la persona a la que se le

envía el mensaje.

UNA

de ellas es

PÚBLICA

,

pudiéndose

entregar

a

cualquier persona. Mientras, la

OTRA

es

PRIVADA

y debe ser guardada de forma

segura, sin que nadie pueda acceder a

ella.

CRIPTOGRAFÍA ASIMÉTRICA

CRIPTOGRAFÍA ASIMÉTRICA: USO DE LA CLAVES

FUNCIÓN

TIPO DE CLAVE

LA CLAVE DE

Cifrar datos para un receptor.

Pública

Receptor

Firmar datos.

Privada

Emisor

Descifrar datos recibidos.

Privada

Receptor

¡CONCEPTOS CLAVES!

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

CERTIFICADOS DIGITALES

1

2

PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS ELECTRÓNICOS DE

CONFIANZA”

A. Autoridades de Certificación. Certification Authority (CA)

• Entidad de confianza responsable

 Emitir Certificados.

 Revocar certificados

A-1 Autoridades de Registro (RA).

• Las CA delegan en la RA la recepción de solicitudes de emisión de certificado.

• La RA se encarga de asegurarse que el solicitante es lícito.

B. Autoridad de Validación. Suministra información sobre la vigencia de los certificados

electrónicos.

• Sistemas de comprobación de revocación:

 CRL (listas de Revocación de Certificados)

 OCSP (Online Certificate Service Protocol)

 SCVP (Server-based Certificate Validation Protocol)

 RFC 5055

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

PRINCIPALES COMPONENTES DE UN “PRESTADOR DE SERVICIOS DE CERTIFICACIÓN”

C. Autoridades de Sellado de Tiempo. Proporcionan certeza sobre la preexistencia de

determinados documentos electrónicos a un momento dado.

•

Emite una firma electrónica sobre dos elementos.

 Un documento existente.

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

FUNCIONAMIENTO BÁSICO DE LAS “AUTORIDADES DE CERTIFICACIÓN”

• Las RA reciben solicitudes de

certificado.

• Validan que el solicitante es el sujeto

que dice ser.

• Solicitan a la CA que emita un

certificado.

• La CA emite un certificado al

solicitante,

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

GENERALISTAS

• Aquellas que se encuentran en la

mayoría de los sistemas, por lo que los

certificados que emiten validan sin

problemas.

• Suelen ser empresas y el coste suele ser

alto.

• Emiten certificados de servidor para

utilizar SSL con cuota anual.

 Verisign

 Thawte

 Equifax

 GlobalSign

 Geotrust

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

NACIONALES

•

El Ministerio de Industria, Comercio y Turismo es el encargado de aceptar las

autoridades certificadoras reconocidas y en general los prestadores de servicios.

•

La Policia Nacional dispone de una CA que solo emite DNIe de forma gratuita.

•

FNMT emite certificados gratuitos de persona física y jurídica, pero cobra por su

verificación.

•

Camerfirma

•

Existen varias CAs propias de comunidades autónomas (Cataluña, Valencia, Pais Vasco.)

•

También existen alguna iniciativa de colectivos laborales como colegios profesionales.

•

También han nacido empresas como Firmaprofesional S.A. centradas en este sector de

PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

https://sedeaplicaciones2.minetur.gob.es/prestadores/busquedaPrestadores.jsp

CERTIFICADOS DIGITALES

Un certificado electrónico es un conjunto de datos que permiten

la identificación del titular del Certificado, intercambiar

información con otras personas y entidades, de manera segura, y

firmar electrónicamente los datos que se envían de tal forma que

se pueda comprobar su integridad y procedencia.

Un certificado es un documento firmado electrónicamente por

un prestador de servicios electrónicos de confianza que vincula

unos datos de verificación de firma a un firmante y confirma su

identidad.

DATOS UN CERTIFICADO CUALIFICADO

– La indicación de que se expiden como tales. – El código identificativo único del certificado. – La identificación del PSC…

– La firma electrónica avanzada del PSC…

– La identificación … nombre y apellidos y su número de documento nacional de identidad … del firmante

– Los datos de verificación de firma …

– El comienzo y el fin del período de validez del certificado. – Los límites de uso del certificado, si se establecen.

– Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

SOPORTE DE LOS CERTIFICADOS DIGITALES

HARDWARE

SOFTWARE

NO REQUIERE INSTALACIÓN REQUIERE INSTALACIÓN

RUTA DE CERTIFICACIÓN

CA Raíz CA Secundaria Certificado de Usuario

Consiste en validar el emisor de un

certificado en cadena (el emisor del emisor

y así continuamente) hasta el certificado

raíz (autofirmado) y en el cual confiaremos.

CERTIFICADOS MÁS HABITUALES

Certificado de Persona Fisica.

Certificado de Sello (Orientado a personas jurídicas).

1

2

Orientado a la identificación y firma de personas físicas

El certificado electrónico para actuaciones automatizadas es un certificado

técnico que permite dotar de garantías de autenticidad e integridad a los

documentos sobre los que se aplica

Certificado de Representante de Persona Jurídica.

3

Este certificado se expide a las personas físicas como representantes de las

personas jurídicas para su uso en sus relaciones con aquellas Administraciones

Públicas, Entidades y Organismos Públicos, vinculados o dependientes de las

mismas.

CERTIFICADOS MÁS HABITUALES

Certificado de Empleado Público.

4

Certificado de Servidor Seguro.

6

Garantiza la integridad y confidencialidad de las comunicaciones de datos entre

el cliente y el servidor es totalmente confidencial y que no podrá ser

interceptada ni modificada por un tercero.

El certificado digital de empleado público garantiza la identidad de la persona

física titular del certificado, así como su vinculación a una determinada entidad

pública en virtud del cargo que ocupa en la misma. Este certificado no otorgará

por si mismo mayores facultades a su titular que las que posee por el

desempeño de su actividad habitual.

Certificado de Autenticación Web.

3

CERTIFICADOS DE EMPLEADO PÚBLICO

Para su validez la firma se

generara en un dispositivo

CERTIFICADOS DE SERVIDOR SEGURO

• El servidor con el que me voy a comunicar y mi ordenador se ponen en contacto.

• El servidor genera una clave de sesión con la que luego encriptara las comunicaciones.

• Para enviar la clave de sesión y garantizar que soy el único que la conoce, el servidor la

¿QUÉ SIGNIFICA?

CICLO DE VIDA DE UN CERTIFICADO

Emisión

Habilitación

Revocación

Caducidad

Suspensión

Renovación

Caducado

Revocado

Suspendido

Artículo 8. Extinción de la vigencia de los certificados electrónicos. Artículo 9. Suspensión de la vigencia de los certificados electrónicos. Artículo 12. Obligaciones previas Artículo 13. Comprobación de la identidad …

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Autentificar la identidad del usuario, de forma electrónica, ante

terceros.

B. Firmar electrónicamente de forma que se garantice la

integridad de los datos trasmitidos y su procedencia. Un

documento firmado no puede ser manipulado, ya que la firma

está asociada matemáticamente tanto al documento como al

firmante.

C. Cifrar datos para que sólo el destinatario del documento pueda

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Autentificar la identidad del usuario, de forma electrónica, ante

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Firmar electrónicamente de forma que se garantice la

integridad de los datos trasmitidos y su procedencia. Un

documento firmado no puede ser manipulado, ya que la firma

está asociada matemáticamente tanto al documento como al

firmante.

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Cifrar datos para que sólo el destinatario del documento pueda

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Cifrar datos para que sólo el destinatario del documento pueda

¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

A. Cifrar datos para que sólo el destinatario del documento pueda

TIPOS DE FIRMA

Firma Manuscrita

DEFINICIÓN DE FIRMA

La firma es el nombre y

apellido, o título, que una

persona

escribe

de

su

propia

mano

en

un

documento,

para

darle

AUTENTICIDAD

o

para

expresar que APRUEBA SU

CONTENIDO.

DEFINICIÓN DE FIRMA

La firma es el nombre y

apellido, o título, que una

persona

escribe

de

su

propia

mano

en

un

documento,

para

darle

AUTENTICIDAD

o

para

expresar que APRUEBA SU

CONTENIDO.

Firma

Electrónica

Firma

Electrónica Avanzada

Firma

Electrónica Cualificada

• «firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

• «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:  estar vinculada al firmante de manera única.

 permitir la identificación del firmante.

 haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

 estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

• «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica

¿ Y QUÉ APORTA LEGALMENTE A LA FIRMA ELECTRÓNICA EL HECHO DE QUE SEA

FIRMA ELECTRÓNICA “CUALIFICADA"?

La firma electrónica CUALIFICADA tiene respecto de los datos

consignados

en

forma

electrónica

el

MISMO

VALOR

que

la FIRMA MANUSCRITA en relación con los consignados en papel.“

• Basado en un certificado cualificado.

• Generada mediante dispositivo cualificado de creación de firmas electrónicas.

• Emitido por un prestador de cualificado de servicios de confianza.

AUTENTICIDAD:

La firma digital a diferencia de la firma escaneada no puede ser copiada, de esta forma se garantiza que es imposible de falsificar.

INTEGRIDAD:

La firma digital se elimina automáticamente del documento al más mínimo cambio en el contenido.

NO REPUDIO:

La persona que firma digitalmente no puede alegar el no haber firmado.

ASPECTO

FIRMA MANUSCRITA

FIRMA ELECTRONICA

RECONOCIDA

AUTENTICIDAD

Puede ser falsificada

Quien firma el documento es

quien dice ser

INTEGRIDAD

Puede ser alterada la

información después de

firmar

La mínima alteración del

documento provoca que la firma

se elimine.

NO REPUDIO

Necesita un grafólogo

Quien firma no puede alegar no

haberlo hecho

¿COMO FUNCIONA UN SISTEMA DE FIRMA ELECTRÓNICA?

B

A

Técnicamente lo que ocurre es que al firmar se genera un código HASH o

diggest a partir del

documento/fichero firmado que se cifra.

Éste código cifrado se adjunta al documento, junto con el certificado del

firmante.

Para comprobar la firma del documento

se generará de nuevo este código HASH;

por otra parte, se usa la clave pública para cifrar el cófigo hash que generó el

firmante y se comprueba si ambos coinciden. Si es así,

no hay duda de que ha sido el firmante

quien ha firmado el documento

Un Hash es una función matemática para resumir o identificar probabilísticamente un gran conjunto de

La longitud de los códigos hash es fija, no depende de la longitud de los

documentos originales por muy grandes que estos sean, sirve para identificarlos

unívocamente y no permite deducir el documento original a partir del cual se

han generado.

VALIDACIÓN DE CERTIFICADOS Y FIRMAS ELECTRÓNICAS

En los apartados anteriores ha quedado claro que los certificados electrónicos proporcionan las garantías de la autenticidad de la identidad del firmante y la integridad de un documento electrónico y de cualquier otro tipo de fichero electrónico como lo podría ser perfectamente, por ejemplo, un fichero de música o video.

Para poder confiar plenamente en un certificado electrónico usado en una firma electrónica ha de comprobarse principalmente que éste cumpla una serie de condiciones.

 Emitido por una autoridad de certificación valida.

 Que la firma se realizó dentro del tiempo de vigencia del certificado.  Que el certificado no haya sido revocado.

 De forma automática.  De forma manual.

Acudiremos a las listas de revocación que son archivos que contienen listas con los números de serie de los certificados que han sido evocados

¡CONCEPTOS CLAVES!

FORMATOS DE FIRMA ELECTRÓNICA

1

COFIRMAS Y CONTRAFIRMAS

2

FIRMAS LONGEVAS

3

MARCA DE TIEMPO/SELLO DE TIEMPO

4

FORMATOS DE FIRMA (I)

El formato de firma corresponde al tipo de fichero generado tras aplicar la firma y se

caracteriza por su estructura, por su incrustación o no en el documento original, por la

posibilidad de incluir varias firmas y por la longevidad de la firma y del sello de tiempo.

Como ya sabemos, una firma electrónica contiene información sobre el documento

original, el firmante, la fecha de firma, los algoritmos utilizados y sobre la caducidad o

no de ésta. La estructuración de esta información es característica de cada formato.

• CAdES (CMS Avanzado).

Es la evolución del primer formato de firma estandarizado. Es apropiado para

firmar ficheros grandes, especialmente si la firma contiene el documento original

porque optimiza el espacio de la información. Tras firmar, no podrás ver la información

firmada, porque la información se guarda de forma binaria.

• XAdES (XML Avanzado).

El resultado es un fichero de texto XML, un formato de texto muy similar al HTML que

utiliza etiquetas. Los documentos obtenidos suelen ser más grandes que en el caso de

CAdES, por eso no es adecuado cuando el fichero original es muy grande. Aplicaciones

como eCoFirma del Ministerio de Industria y Comercio, sólo firman en XAdES.

• PAdES (PDF Avanzado).

Este es el formato más adecuado cuando el documento original es un pdf. El

destinatario de la firma puede comprobar fácilmente la firma y el documento firmado.

Con los formatos anteriores esto no es posible si no se utilizan herramientas externas.

• OOXML y ODF.

Son los formatos de firma que utilizan Microsoft Office y Open Office,

respectivamente.

• Firma Básica (AdES - BES), es el formato básico para satisfacer los requisitos de la firma electrónica avanzada.

• AdES T, se añade un sellado de tiempo (T de TimeStamp) con el fin de situar en el tiempo el instante en que se firma un documento.

• AdES C, añade un conjunto de referencias a los certificados de la cadena de certificación y su estado, como base para una verificación longeva (C de Cadena).

• AdES X, añade sellos de tiempo a las referencias creadas en el paso anterior (X de eXtendida).

• AdES XL, añade los certificados y la información de revocación de los mismos, para su validación a largo plazo (XL de eXtendido Largo plazo).

• AdES A, permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma archivada o guardada para futuras verificaciones (A de Archivo).

Dentro de las distintas clases de formatos XAdES, CAdES y PAdES se podrán aplicar los

estándares AdES

C. COFIRMAS Y CONTRAFIRMAS.

En el mundo del papel y de la firma manuscrita, un documento puede contener la firma de

varias personas:

• En un caso, las firmas pueden tener el mismo peso o valor legal, por lo que da igual el

orden en el que se estampen las firmas en el documento.

• Otro caso, es el que unas firmas sirven para refrendar o certificar otras firmas

anteriores, por lo que el orden en el que se estampan las firmas es importante.

El equivalente a esas firmas en el mundo electrónico son las firmas múltiples. e.

• Co-firma o firma en línea. Es la firma múltiple en la que todos los firmantes están al

mismo nivel y en la que no importa el orden en el que se firma. La co-firma se utiliza en

la firma de documentos que son resultados de reuniones, conferencias o comités.

• Contra-firma o firma en cascada. Firma múltiple en la que el orden en el que se firma

es importante, ya que cada firma debe refrendar o certificar la firma del firmante

Para verificar una firma es necesario:

• Comprobar la integridad de los datos firmados asegurando que éstos no hayan sufrido ninguna modificación. • Comprobar que el estado del certificado con el que se firmó era el correcto, es decir, era vigente en el momento

de la operación.

En el caso de la firma electrónica básica, si el certificado está caducado automáticamente se da la firma como no válida.

Entonces, ¿cómo sabemos que el certificado estaba vigente o no en la fecha en la que se firmó? Y ¿qué debe hacerse para que cuando se quiera validar o verificar una firma en el futuro la validación sea posible aunque esté caducado

el certificado?

Para dar respuesta a estas preguntas, los estándares AdES contemplan la posibilidad de incorporar a las firmas electrónicas generadas en los formatos CAdES, XAdES y PAdES información adicional que garantiza la validez de una

firma a largo plazo, una vez vencido el periodo de validez del certificado.

Estos formatos añaden a la firma evidencias de terceros (de autoridades de certificación) y certificaciones de

El sellado de tiempo es un método para probar que un conjunto de datos existió antes de un momento dado y que

ninguno de estos datos ha sido modificado desde entonces.

El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo (TSA), que actúa como tercera parte de

confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.

El sellado de tiempo proporciona un valor añadido a la utilización de firma digital, ya que la firma por sí sola no proporciona ninguna información acerca del momento de creación de la firma, y en el caso de que el firmante la incluyese, ésta habría sido proporcionada por una de las partes, cuando lo recomendable es que la marca de tiempo sea proporcionada por una tercera parte de confianza.

Resellado

Puesto que el Sello de Tiempo es una firma realizada con el certificado electrónico de la Autoridad de Sellado, cuando ese certificado caduca, el sello y, por tanto, la firma dejan de ser válidas.

Por eso, antes de que el certificado de la TSA caduque es necesario resellar o aplicar de nuevo el Sello Temporal

¿Cómo se obtiene una fuente de tiempo fiable?

En el estándar que especifica los requerimientos que deben tener todas las autoridades de sellado de tiempo, se indica que el sistema deberá contar con una fuente de tiempo fiable.

Los TS@ españoles la obtención de la fuente de tiempo fiable la realizan sincronizando sus servidores con el Real Instituto y Observatorio de la Armada (ROA) a través del protocolo NTP. A partir de esta fuente de tiempo fiable las generan los sellos de tiempo.

Tal y como establece el Esquema Nacional de Interoperabilidad en su artículo 15:

1. Los sistemas o aplicaciones implicadas en la provisión de un servicio público por vía electrónica se sincronizarán

con la hora oficial, con una precisión y desfase que garanticen la certidumbre de los plazos establecidos en el

trámite administrativo que satisfacen.

2. La sincronización de la fecha y la hora se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se

declara al Laboratorio del Real Instituto y Observatorio de la Armada, como laboratorio depositario del patrón nacional de Tiempo y laboratorio asociado al Centro Español de Metrología y, cuando sea posible, con la hora oficial a nivel europeo.

https://www.xolido.com/lang/productosxolidosign/xolidosignescritorio/

¿Qué necesitamos para firmar?

¿Para qué sirve?

1. Una Autoridad de Sellado de Tiempo (TSA) nos

proporciona la prueba fehaciente de la existencia de un

documento o archivo en un momento determinado.

2. Firma con Sello de Tiempo. Garantizamos la referencia

temporal de esa firma electrónica.

¿Qué necesitamos?

1. Aplicación XolidoSign.

2. Archivos para verificar, Firmas Electrónicas, Sellos de Tiempo. 3. Recomendable: Conexión a Internet (Consultas de Revocación).

¿Qué nos proporciona?

1. Información acerca de si los datos originales han sido modificados.

* Si la información está firmada: Quién realizó la firma. Autoría.

* Si la información está sellada de tiempo: Que el documento o archivo existía en el momento indicado.

Verificación Manual

Contraste explícito

1. Tenemos un archivo y sus “supuestas” firmas electrónicas y sellos de tiempo.

XolidoSign realiza las operaciones necesarias para determinar: 1. Grado de correspondencia con el archivo escogido.

2. Estado de validez de cada una de las firmas electrónicas y sellos de tiempo contrastados.

Verificación Inteligente

XolidoSign trabaja por nosotros

1. Tenemos múltiples archivos, firmas electrónicas y sellos de tiempo.

XolidoSign calcula de forma óptima los emparejamientos para determinar: 1. En las firmas electrónicas y sellos de tiempo, qué documentos se

corresponden con ellos.

2. En los documentos o archivos, las firmas electrónicas y sellos de tiempo que tienen asociados.

Criterios de Verificación

¿Cuándo se considera una firma electrónica o sello de tiempo válido?

5 Criterios de Verificación

1. Momento de la Firma 2. Confianza 3. Revocación 4. Integridad 5. Correspondencia

- Iconos de validez global:

Criterios de Verificación

1. Momento de la firma

1. Es importante disponer de un momento de realización de la firma electrónica confiable.

2. Firmas con Sello de Tiempo.

2. Confianza

1. Podemos reconstruir la cadena de confianza íntegra.

2. Confiamos en el certificado raíz de la cadena, certificado de la CA. 3. Se realizó la firma en el periodo de validez del certificado.

Criterios de Verificación

3. Revocación

1. La entidad certificadora nos confirma que NO se ha revocado. 2. No todos los certificados disponen de revocación.

3. Necesitamos conexión a Internet.

4. Integridad:

1. Correcta estructura interna de la firma electrónica o sello de tiempo.

5. Correspondencia:

1. El resumen o hash único que se ha firmado electrónicamente o sellado de tiempo se corresponde con el archivo o documento verificado.

• Aspectos básicos que hay que tener muy claros

-El contenido de un archivo es independiente de su nombre.

- Verificar una firma o sello de tiempo no es sólo validar el certificado electrónico.

• Aspectos que se deben cumplir

-Hacer firmas electrónicas reales:

- No a las transformaciones textuales / gráficas que simulan firmas o sellos. - Utilizar formatos estándar:

- Compatibilidad con terceros.

- Esquema Nacional de Interoperabilidad.

- Indicar qué información se ha firmado electrónicamente o sellado de tiempo: - Evitar que un tercero se pierda buscando los datos a contrastar.

- Firmar incluyendo certificado del firmante y su cadena de confianza: - Permitir descifrar la firma electrónica en verificación.

• Aspectos que recomendamos cumplir

-Utilizar siempre que sea posible el Sellado de Tiempo: - Es vital que el momento de la firma tenga garantías legales. - Funcionalidad del Sellado de Tiempo independiente.

- Incrustar información de revocación en las firmas electrónicas:

- Verificación completa de las firmas electrónicas sin conexión a Internet.

- Firmas electrónicas perduran en el tiempo, aun cuando la CA no proporciona para el certificado firmante su estado de revocación por estar caducado.

- Utilizar programas de escritorio para verificaciones independientes: - Descárgatelo gratis en www.xolidosign.com

Javier Peña Alonso

E. Mail:

japealonso@gmail.com

Twiter: @japealonso