accesskey_mod_content

Formats de Signatura

Què són els formats de signatura?

El format de signatura és la forma com es genera el document de signatura i com es guarda o estructura la informació de signatura en el document generat.

L'existència de múltiples formats de signatura es deu a raons històriques, a com s'ha anat introduint la signatura en formats de documents ja existents i a com s'han anat afegint funcionalitats al llarg del temps.

Un fitxer de signatura té un format que ve determinat per aquests aspectes:

  • Estructura del fitxer: formats CAdES, XAdES, PAdES, OOXML, ODF…
  • On es guarda el document original?
  • Signatures amb múltiples usuaris.
  • Longevitat de la signatura i segell de temps

Estructura de la signatura: CAdES, XAdES, PAdES, OOXML, ODF…

Una signatura electrònica és un fitxer que conté informació sobre el document original, el signant, la data de la signatura, algorismes utilitzats i possible caducitat de la signatura.

Com s'estructura aquesta informació (l'ordre d'aquesta informació dins del fitxer, les etiquetes que indiquen quan comença un camp i quan acaba, l'opcionalidad d'aquests camps, etc.) ve determinat per diferents formats:

És l'evolució del primer format de signatura estandarditzat. És apropiat per signar fitxers grans, especialment si la signatura conté el document original perquè optimitza l'espai de la informació. Després de signar, no podràs veure la informació signada, perquè la informació es guarda de forma binària.

El resultat és un fitxer de text XML, un format de text molt similar a l'HTML que utilitza etiquetes. Els documents obtinguts solen ser més grans que en el cas de CAdES, per això/per això no és adequat quan el fitxer original és molt gran. Aplicacions com eCoFirma del Ministeri d'Indústria i Comerç, només signen en XAdES.

Est és el format més adequat quan el document original és un pdf. El destinatari de la signatura pot comprovar fàcilment la signatura i el document signat. Amb els formats anteriors això no és possible si no s'utilitzen eines externes.

Són els formats de signatura que utilitzen Microsoft Office i Open Office, respectivament.

  • CAdES (CMS Avançat)
  • XAdES (XML Avançat)
  • PAdES (PDF Avançat)
  • OOXML i ODF

L'aplicació AutoFirma permet configurar el format a utilitzar.

On es guarda el document original?

Segons com es referenciï o on es guardi el document original en el fitxer de signatura, podem tenir dos casos:

El document original s'inclou en el fitxer de signatura.

Avantatge: No és necessari guardar sempre el document original i el document de signatura perquè aquell ja està inclòs en aquest. És, per tant, un format còmode d'emmagatzemar.

Desavantatge: Si la grandària del fitxer és elevat, es consumeix més espai d'emmagatzematge, perquè al final s'acaba tenint d'una banda el document original, que sempre caldrà guardar-ho, i per un altre, la signatura.

En el cas de CAdES aquestes signatures es diuen signatures implícites.

En el cas de signatures XAdES XML, l'habitual és que el document estigui inclòs en el fitxer de signatura. Parlem de signatures desenganxades (detached), envolupants (enveloping) i embolicades (enveloped) segons en quin lloc del propi fitxer de signatura es guardi el document original.

En la pràctica, se sol utilitzar el cas 1, que és la forma de funcionar per defecte de les aplicacions de signatura. S'obtenen fitxers de signatura més grans però, com a contrapartida, no requereix emmagatzemar el fitxer original com un altre document aparti al costat del de signatura.

El document no s'inclou en la signatura.

En aquest cas, el document no s'inclou en el resultat de signatura o solament s'inclou una referència al lloc en el qual es troba perquè el document pugui ser localitzat.Per tant, s'obtenen fitxers de grandària més reduïda, però, per contra, el document original sempre cal guardar-ho al costat de la signatura.

En el cas de CAdES aquestes signatures es diuen signatures explícites.

En el cas de signatures XAdES XML, només per a les signatures desenganxades (detached), el document pot estar fos.

Signatures amb múltiples usuaris

Al món del paper i de la signatura manuscrita, un document pot contenir la signatura de diverses persones:

  • En un cas, les signatures poden tenir el mateix pes o valor legal, per la qual cosa és igual l'ordre en el qual s'estampin les signatures en el document.
  • Un altre cas, és el que unes signatures serveixen per confirmar o certificar altres signatures anteriors, per la qual cosa l'ordre en el qual s'estampen les signatures és important.

L'equivalent a aquestes signatures al món electrònic són les signatures múltiples. Atenent al criteri del nombre de signants podem tenir:

  • Signatures simples. Són les signatures bàsiques que contenen la signatura d'un sol signatari.
  • Co-signatura o signatura en línia. És la signatura múltiple en la qual tots els signants estan al mateix nivell i en la qual no importa l'ordre en el qual se signa. La co-signatura s'utilitza en la signatura de documents que són resultats de reunions, conferències o comitès.
  • Contra-signatura o signatura en cascada. Signatura múltiple en la qual l'ordre en el qual se signa és important, ja que cada signatura ha de confirmar o certificar la signatura del signant anterior. La contra-signatura s'utilitza especialment en aplicacions com els Porta Signatures, en els quals un document ha de seguir una línia específica a través de diversos signants fins que tot el procés és aprovat.

L'aplicació de signatura AutoFirma permet els tres tipus de signatura. L'usuari pot configurar el tipus de signatura múltiple que desitja realitzar.

L'aplicació FirmaFácil automàticament selecciona la co-signatura quan se li presenta per signar un document signat prèviament.

Signatures Longeves i Segell de Temps

Per verificar una signatura és necessari:

  • Comprovar la integritat de les dades signades assegurant que aquests no hagin sofert cap modificació.
  • Comprovar que l'estat del certificat amb el qual es va signar era el correcte, és a dir, era vigent al moment de l'operació.

En el cas de la signatura electrònica bàsica, si el certificat està caducat automàticament es dona la signatura com no vàlida.

Llavors, com sabem que el certificat estava vigent o no en la data en la qual es va signar? I què ha de fer-se perquè quan es vulgui validar o verificar una signatura en el futur la validació sigui possible encara que estigui caducat el certificat?

Per donar resposta a aquestes preguntes, els formats AdES (forma genèrica de cridar als formats CAdES, XAdES i PAdES) contemplen la possibilitat d'incorporar a les signatures electròniques informació addicional que garanteix la validesa d'una signatura a llarg termini, una vegada vençut el període de validesa del certificat.

Aquests formats afegeixen a la signatura evidencies de tercers (d'autoritats de certificació) i certificacions de temps,que realment certifiquen quin era l'estat del certificat al moment de la signatura.

Concretament, existeixen diferents formats de signatura que van incrementant la qualitat de la mateixa fins a aconseguir una signatura que pugui ser verificada a llarg termini (de forma indefinida) amb plenes garanties jurídiques:

 

  • Signatura Bàsica (AdES - BES), és el format bàsic per satisfer els requisits de la signatura electrònica avançada.
  • AdES ­ T, s'afegeix un segellat de temps (T de TimeStamp) amb la finalitat de situar en el temps l'instant en què se signa un document
  • AdES ­ C, afegeix un conjunt de referències als certificats de la cadena de certificació i el seu estat, com a base per a una verificació longeva (C de Cadena)
  • AdES ­ X, afegeix segells de temps a les referències creades en el pas anterior (X d'estesa)
  • AdES ­ XL, afegeix els certificats i la informació de revocació dels mateixos, per a la seva validació a llarg termini (XL d'estès Llarg termini)
  • AdES ­ A, permet l'addició de segells de temps periòdics per garantir la integritat de la signatura arxivada o guardada per a futures verificacions (A de Arxiu)

La normativa de desenvolupament del Reglament (UE) nº 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior i per la qual es deroga la Directiva 1999/93/CE (eIDAS) inclou la definició dels nous tipus de signatura Baseline. Aquests tipus són equivalents als formats tradicionals sempre que les signatures incloguin una sèrie de requisits determinats.

El nou format representa un perfil més genèric i s'utilitza per garantir la interoperabilitat transfronterera de les signatures electròniques en el context de la Directiva 2006/123/CE del Parlament Europeu i del Consell del 12 de desembre de 2006 relatiu als serveis al mercat interior. El canvi normatiu ve confirmat en el Reglament (UE) nº 910/2014, i més concretament en la Decisió d'Execució (UE) 2015/1506 de la Comissió de 8 de setembre de 2015 per la qual s'estableixen les especificacions relatives als formats de les signatures electròniques avançades i els segells avançats que han de reconèixer els organismes del sector públic. En aquesta Decisió d'Execució s'indica en els articles 1 i 3 respectivament:

(1) Els Estats membres que requereixin una signatura electrònica avançada o una signatura electrònica avançada basada en un certificat qualificat com es preveu en l'article 27, apartats 1 i 2, del Reglament (UE) no 910/2014, reconeixeran la signatura electrònica avançada XML, CMS o PDF en el nivell de conformitat B, T o LT o amb un contenidor amb signatura associada on les signatures compleixin les especificacions tècniques que figuren en l'annex.

(3) Els Estats membres que requereixin un segell electrònic avançat o un segell electrònic avançat basat en un certificat qualificat com es preveu en l'article 37, apartats 1 i 2, del Reglament (UE) no 910/2014 reconeixeran el segell electrònic avançat XML, CMS o PDF en el nivell de conformitat B, T o LT o amb un contenidor amb segell associat que compleixi les especificacions tècniques que figuren en l'annex.

I en l'annex del qual s'inclou la llista d'especificacions tècniques per a les signatures electròniques avançades XML, CMS o PDF i el contenidor amb signatura/segello associada/o:

Perfil de base XAdES (ETSI TS 103171 v2.1.1).

Perfil de base CAdES (ETSI TS 103173 v2.2.1).

Perfil de base PAdES (ETSI TS 103172 v2.2.2).

Perfil de base del contenidor (ETSI TS 103174 v2.2.1).

A manera informativa, s'estableixen les següents equivalències entre els formats tradicionals i els nous formats 'Baseline':

CAdES-BES/-EPES CAdES B-Level
CAdES-T CAdES T-Level
XAdES-BES/-EPES XAdES B-Level
XAdES-T XAdES T-Level
XAdES-X-L XAdES LT-Level
XAdES-A XAdES LTA-Level
PAdES-BES/-EPES PAdES B-Level
PAdES-LTV PAdES T-Level/LT-Level/LTA-Level

Els perfils Baseline són en molts casos un subconjunt dels tradicionals.

Segell de Temps

Com s'ha vist a l'apartat anterior, el segellat de temps és un mètode per provar que un conjunt de dades va existir abans d'un moment donat i que cap d'aquestes dades ha estat modificat des de llavors.

El Segell de Temps és una signatura d'una Autoritat de Segellat de Temps (TSA), que actua com a tercera part de confiança atestant l'existència d'aquestes dades electròniques en una data i hora concrets.

El segellat de temps proporciona un valor afegit a la utilització de signatura digital, ja que la signatura per si sola no proporciona cap informació sobre el moment de creació de la signatura, i en el cas que el signant la inclogués, aquesta hauria estat proporcionada per una de les parts, quan el recomanable és que la marca de temps sigui proporcionada per una tercera part de confiança.


Resegellat

ja que el Segell de Temps és una signatura realitzada amb el certificat electrònic de l'Autoritat de Segellat, quan aquest certificat caduca, el segell i, per tant, la signatura deixen de ser vàlides.

Per això/Per això, abans que el certificat de la TSA caduqui és necessari resellar o aplicar de nou el Segell Temporal per mantenir la validesa temporal de la signatura.