Validación de Firmas

Validación de Firmas

La validación de una firma electrónica es el proceso por el que se comprueba:

  • La identidad del firmante
  • La integridad del documento firmado
  • La validez temporal del certificado utilizado

Sabemos que en el proceso de firma, el firmante utiliza su certificado electrónico, en concreto su clave privada, para obtener la firma electrónica.

Las dos primeras verificaciones se pueden realizar desde una aplicación sin conexión a internet simplemente utilizando el certificado incluido en la misma firma.

Pero, ¿cómo sabemos si ese certificado es válido?, ¿estaba revocado en el momento de la firma? O ¿si la Autoridad que lo emitió es de confianza?

El proceso de validación de la firma no puede separarse del proceso de validación del certificado usado para la firma. Y por eso, la validación de la firma, implica también la validación del certificado.

El certificado electrónico solamente se puede validar mientras esté activo, ya que una vez caducado desaparece de las listas de revocación de la Autoridad de Certificación y ya no se puede comprobar cuál era el estado en el momento de la firma.

Si el certificado no es válido, o está caducado o revocado, la firma no puede ser validade correctamente puesto que no podemos saber cuál era el estado del certificado en el momento de la firma.

Por tanto, las tres validaciones dependen de la capacidad de validar el certificado, para lo cual es necesaria una conexión a internet que permita acceder a una plataforma de validación de certificados.

Plataformas de Validación

Las plataformas de validación son sistemas online que permiten validar los certificados electrónicos.

La Autoridad de Validación es el componente que suministra información sobre la vigencia de los certificados electrónicos que han sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificación. En general, la Autoridad de Certificación es también Autoridad de Validación, aunque ambas figuras pueden estar representadas por entidades diferentes.

La información sobre los Certificados electrónicos revocados (no vigentes) se almacena en las denominadas listas de revocación de certificados (CRL) mantenidos por las Autoridades de Validación.

La validación o verificación del estado de un certificado se puede realizar a través de internet accediendo al servicio que proporciona las Autoridad de Validación o de Certificación que ha emitido el certificado. Por ejemplo, para el caso de los certificados de Clase 2 emitidos por la FNMT puedes verificar el estado del certificado accediendo a la página Comprobar Estado de Certificado.

VALIDe

Como hemos visto, la verificación de cada certificado debe realizarse accediendo directamente a los servicios de la Autoridad de Validación o de Registro que lo ha emitido. Esto puede ser un inconveniente cuando el número de certificados a verificar es elevado y, además, han podido ser emitidos por Autoridades de Certificación diferentes.

Las plataformas de validación surgen para ayudar en estas operaciones de verificación de certificados. Centralizan los servicios de validación actuando como frontales que reciben cada petición y la redirigen a la Autoridad de Validación correspondiente. De esta forma, el usuario del servicio puede olvidarse de la tarea de conocer los mecanismos específicos de cada una de las Autoridades de Validación.

Valide inicio

VALIDe (Aplicación de Validación de firma y certificados Online de @firma) es la plataforma de validación que la Administración General del Estado pone a disposición de las Administraciones y de los ciudadanos para la validación de certificados y, además, ofrece los siguientes servicios:

  • Validación de firmas electrónicas
  • Generación de firmas electrónicas en múltiples formatos
  • Visualización de firmas con la ayuda del Visor

Visor de Firmas Electrónicas

El visor es una herramienta que permite generar un informe de la firma y ver información de la propia firma electrónica y del documento firmado.

El documento que se genera no tiene el mismo valor legal que la firma. De hecho, puede ser válido en los términos que se determine para su uso. En general, en este caso, el documento impreso debará contener un CSV o Código Seguro de Verificación que permite contrastar la copia impresa con la original electrónica.