Formats de signatura

• El format de signatura és la forma com es genera el document de signatura i com es guarda o estructura la informació de signatura en el document generat.
• La existència de múltiples formats de signatura es deu a raons històriques, a com s'ha anat introduint la signatura en formats de documents ja existents i a com s'han anat afegint funcionalitats al llarg del temps.
• Un fitxer de signatura té un format que ve determinat per aquests aspectes:
• Estructura del fitxer: formats CAdES, XAdES, PAdES, OOXML, ODF…
• On es guarda el document original?
• Firmas amb múltiples usuaris.
• Longevitat de la signatura i segell de temps

Una signatura electrònica és un fitxer que conté informació sobre el document original, el signant, la data de la signatura, algorismes utilitzats i possible caducitat de la signatura.

Cómo s'estructura aquesta informació (l'ordre d'aquesta informació dins del fitxer, les etiquetes que indiquen quan comença un camp i quan acaba, l'opcionalidad d'aquests camps, etc.) ve determinat per diferents formats:

• CAdES (CMS Avançat).

  Es l'evolució del primer format de signatura estandarditzat. És apropiat per a signar fitxers grans, especialment si la signatura conté el document original perquè optimitza l'espai de la informació. Després de signar, no podràs veure la informació signada, perquè la informació es guarda de manera binària.

• XAdES (XML Avançat).

  El resultat és un fitxer de text XML, un format de text molt similar a l'HTML que utilitza etiquetes. Els documents obtinguts solen ser més grans que en el cas de CAdES, per això no és adequat quan el fitxer original és molt gran. Aplicaciones com eCoFirma del Ministeri d'Indústria i Comerç, només signen en XAdES.

• PAdES (PDF Avançat).

  Aquest és el format més adequat quan el document original és un pdf. El destinatari de la signatura pot comprovar fàcilment la signatura i el document signat. Amb els formats anteriors això no és possible si no s'utilitzen eines externes.

• OOXML i ODF.

  Son els formats de signatura que utilitzen Microsoft Office i Open Office, respectivament.

La aplicació client AutoFirma permet configurar el format a utilitzar.

Segons com es referenciï o on es guardi el document original en el fitxer de signatura, podem tenir dos casos:

• El document original s'inclou en el fitxer de signatura.

En el cas de CAdES aquestes signatures es diuen signatures implícites.

En el cas de signatures XAdES XML, l'habitual és que el document estigui inclòs en el fitxer de signatura. Parlem de signatures enlairades (detached), envolupants (enveloping) i embolicades (enveloped) segons en quin lloc del propi fitxer de signatura es guardi el document original.

En la pràctica, se sol utilitzar el cas 1, que és la manera de funcionar per defecte de les aplicacions de signatura. S'obtenen fitxers de signatura més grans però, com a contrapartida, no requereix emmagatzemar el fitxer original com un altre document a part al costat del de signatura.

• El document no s'inclou en la signatura.

En aquest cas, el document no s'inclou en el resultat de signatura o solament s'inclou una referència al lloc en el qual es troba perquè el document pugui ser localitzat.Per tant, s'obtenen fitxers de grandària més reduïda, però, per contra, el document original sempre cal guardar-lo al costat de la signatura.

En el cas de CAdES aquestes signatures es diuen signatures explícites.

En el cas de signatures XAdES XML, només per a les signatures enlairades (detached), el document pot estar fos.

En el món del paper i de la signatura manuscrita, un document pot contenir la signatura de diverses persones:

• En un cas, les signatures poden tenir el mateix pes o valor legal, per la qual cosa és igual l'ordre en el qual s'estampin les signatures en el document.
• Otro cas, és el que unes signatures serveixen per a confirmar o certificar altres signatures anteriors, per la qual cosa l'ordre en el qual s'estampen les signatures és important.

El equivalent a aquestes signatures en el món electrònic són les signatures múltiples. Atès del criteri del nombre de signants podem tenir:

• Firmas simples. Son les signatures bàsiques que contenen la signatura d'un sol signant.
• Co-signatura o signatura en línia. És la signatura múltiple en la qual tots els signants estan al mateix nivell i en la qual no importa l'ordre en el qual se signa. La co-signatura s'utilitza en la signatura de documents que són resultats de reunions, conferències o comitès.
• Contra-signatura o signatura en cascada. Signatura múltiple en la qual l'ordre en el qual se signa és important, ja que cada signatura ha de confirmar o certificar la signatura del signant anterior. La contra-signatura s'utilitza especialment en aplicacions com els Porta Signatures, en els quals un document ha de seguir una línia específica a través de diversos signants fins que tot el procés és aprovat.

La aplicació de signatura AutoFirma permet els tres tipus de signatura. L'usuari pot configurar el tipus de signatura múltiple que desitja realitzar.

L'aplicació FirmaFácil automàticament selecciona la co-signatura quan se li presenta per a signar un document signat prèviament.

Per a verificar una signatura és necessari:

• Comprobar la integritat de les dades signades assegurant que aquests no hagin sofert cap modificació.
• Comprobar que l'estat del certificat amb el qual es va signar era el correcte, és a dir, era vigent en el moment de l'operació.

En el cas de la signatura electrònica bàsica, si el certificat està caducat automàticament es dóna la signatura com no vàlida.

Entonces, com sabem que el certificat estava vigent o no en la data en la qual es va signar? I què ha de fer-se perquè quan es vulgui validar o verificar una signatura en el futur la validació sigui possible encara que estigui caducat el certificat?

Per a donar resposta a aquestes preguntes, els formats AdES (forma genèrica de cridar als formats CAdES, XAdES i PAdES) contemplen la possibilitat d'incorporar a les signatures electròniques informació addicional que garanteix la validesa d'una signatura a llarg termini, una vegada vençut el període de validesa del certificat.

Estos formats afegeixen a la signatura evidencies de tercers (d'autoritats de certificació) i certificacions de temps,que realment certifiquen quin era l'estat del certificat en el moment de la signatura.

Concretamente, existeixen diferents formats de signatura que van incrementant la qualitat de la mateixa fins a aconseguir una signatura que pugui ser verificada a llarg termini (de manera indefinida) amb plenes garanties jurídiques:

• Signatura Bàsica (AdES - BES), és el format bàsic per a satisfer els requisits de la signatura electrònica avançada.
• AdES T, s'afegeix un segellament de temps (T de TimeStamp) amb la finalitat de situar en el temps l'instant en què se signa un document.
• AdES C, afegeix un conjunt de referències als certificats de la cadena de certificació i el seu estat, com a base per a una verificació longeva (C de Cadena).
• AdES X, afegeix segells de temps a les referències creades en el pas anterior (X d'estesa).
• AdES XL, afegeix els certificats i la informació de revocació d'aquests, per a la seva validació a llarg termini (XL d'estès Largo termini).
• AdES A, permet l'addició de segells de temps periòdics per a garantir la integritat de la signatura arxivada o guardada per a futures verificacions (A d'Arxiu).

La normativa de desenvolupament del Reglament (UE) núm. 910/2014 (eIDAS) defineix els nous tipus de signatura Baseline. Aquests tipus són tan vàlids com els formats tradicionals si compleixen una sèrie de requisits.

Aquest nou format és més genèric i serveix per a assegurar la interoperabilitat transfronterera de les signatures electròniques, en línia amb la Directiva 2006/123/CE del Parlament Europeu i del Consell. Aquest canvi normatiu es recolza en el Reglament (UE) núm. 910/2014, en concret en la Decisió d'Execució (UE) 2015/1506 de la Comissió, de 8 de setembre de 2015. Aquesta decisió estableix les especificacions dels formats de signatures electròniques avançades i segells avançats que han de reconèixer els organismes del sector públic. En essència, s'estableix que:

• Els Estats membres han de reconèixer signatures electròniques avançades en format XML, CMS o PDF en els seus diferents nivells (B, T o LT).
• Lo mateix aplica als segells electrònics avançats en aquests formats.

I en l'annex del qual s'inclou la llista d'especificacions tècniques per a les signatures electròniques avançades XML, CMS o PDF i el contenidor amb signatura/segello associada/o:

• Perfil de base XAdES (ETSI TS 103171 v2.1.1).
• Perfil de base CAdES (ETSI TS 103173 v2.2.1).
• Perfil de base PAdES (ETSI TS 103172 v2.2.2).
• Perfil de base del contenidor (ETSI TS 103174 v2.2.1).

A manera informativa, s'estableixen les següents equivalències entre els formats tradicionals i els nous formats 'Baseline':

Els perfils Baseline són en molts casos un subconjunt dels formats tradicionals.

Como s'ha vist en l'apartat anterior, el segellament de temps és un mètode per a provar que un conjunt de dades va existir abans d'un moment donat i que cap d'aquestes dades ha estat modificat des de llavors.

El Sello de Tiempo és una signatura d'una Autoritat de Segellament de Temps (TSA), que actua com a tercera part de confiança atestant l'existència d'aquestes dades electròniques en una data i hora concrets.

El segellament de temps afegeix informació rellevant a la signatura, perquè indica quan es va crear. Si el signant inclogués aquesta dada, l'aportaria una de les parts implicades. L'ideal és que la marca de temps provingui d'una tercera part de confiança.

Resellado

Com que el Segell de Temps és una signatura realitzada amb el certificat electrònic de l'Autoritat de Segellament, quan aquest certificat caduca, el segell i, per tant, la signatura deixen de ser vàlides.

Per això, abans que el certificat de la TSA caduqui és necessari resellar o aplicar de nou el Segell Temporal per a mantenir la validesa temporal de la signatura.