Formatos de firma

• O formato de firma é a forma como se xera o documento de firma e como se garda ou estrutura a información de firma no documento xerado.
• A existencia de múltiples formatos de firma débese a razóns históricas, a como se foi introducindo a firma en formatos de documentos xa existentes e a como se foron engadindo funcionalidades ao longo do tempo.
• Un ficheiro de firma ten un formato que vén determinado por estes aspectos:
• Estrutura do ficheiro: formatos CAdES, XAdES, PAdES, OOXML, ODF…
• Onde se garda o documento orixinal?
• Firmas con múltiples usuarios.
• Lonxevidade da firma e selo de tempo

Unha firma electrónica é un ficheiro que contén información sobre o documento orixinal, o asinante, a data da firma, algoritmos utilizados e posible caducidade da firma.

Como se estrutura esta información (a orde desa información dentro do ficheiro, as etiquetas que indican cando empeza un campo e cando termina, a opcionalidad deses campos, etc.) vén determinado por distintos formatos:

• CAdES (CMS Avanzado).

  É a evolución do primeiro formato de firma estandarizado. É apropiado para asinar ficheiros grandes, especialmente se a firma contén o documento orixinal porque optimiza o espazo da información. Tras asinar, non poderás ver a información asinada, porque a información se garda de forma binaria.

• XAdES (XML Avanzado).

  O resultado é un ficheiro de texto XML, un formato de texto moi similar ao HTML que utiliza etiquetas. Os documentos obtidos adoitan ser máis grandes que no caso de CAdES, por iso non é adecuado cando o ficheiro orixinal é moi grande. Aplicacións como eCoFirma do Ministerio de Industria e Comercio, só asinan en XAdES.

• PAdES (PDF Avanzado).

  Este é o formato máis adecuado cando o documento orixinal é un pdf. O destinatario da firma pode comprobar facilmente a firma e o documento asinado. Cos formatos anteriores isto non é posible se non se utilizan ferramentas externas.

• OOXML e ODF.

  Son os formatos de firma que utilizan Microsoft Office e Open Office, respectivamente.

A aplicación cliente AutoFirma permite configurar o formato a utilizar.

Segundo como se referencie ou onde se garde o documento orixinal no ficheiro de firma, podemos ter dous casos:

O documento orixinal inclúese no ficheiro de firma.

No caso de CAdES estas firmas chámanse firmas implícitas.

No caso de firmas XAdES XML, o habitual é que o documento estea incluído no ficheiro de firma. Falamos de firmas despegadas (detached), envolventes (enveloping) e envoltas (enveloped) segundo en que sitio do propio ficheiro de firma gárdese o documento orixinal.

Na práctica, adóitase utilizar o caso 1, que é a forma de funcionar por defecto das aplicacións de firma. Obtéñense ficheiros de firma máis grandes pero, como contrapartida, non require almacenar o ficheiro orixinal como outro documento aparte xunto ao de firma.

• O documento non se inclúe na firma.

Neste caso, o documento non se inclúe no resultado de firma ou soamente inclúese unha referencia ao lugar no que se atopa para que o documento poida ser localizado.Por tanto, obtéñense ficheiros de tamaño máis reducido, pero, pola contra, o documento orixinal sempre hai que gardar xunto á firma.

No caso de CAdES estas firmas chámanse firmas explícitas.

No caso de firmas XAdES XML, só para as firmas despegadas (detached), o documento pode estar fose.

No mundo do papel e da firma manuscrita, un documento pode conter a sinatura de varias persoas:

• Nun caso, as firmas poden ter o mesmo peso ou valor legal, polo que dá igual a orde no que se estampen as firmas no documento.
• Outro caso, é o que unhas firmas serven para referendar ou certificar outras firmas anteriores, polo que a orde no que se estampan as firmas é importante.

O equivalente a esas firmas no mundo electrónico son as firmas múltiples. Atendendo ao criterio do número de asinantes podemos ter:

• Firmas simples. Son as firmas básicas que conteñen a sinatura dun só asinante.
• Cou-firma ou firma en liña. É a firma múltiple na que todos os asinantes están ao mesmo nivel e na que non importa a orde no que se asina. A co-firma utilízase na sinatura de documentos que son resultados de reunións, conferencias ou comités.
• Contra-firma ou firma en fervenza. Firma múltiple na que a orde no que se asina é importante, xa que cada sinatura debe referendar ou certificar a sinatura do asinante anterior. A contra-firma utilízase especialmente en aplicacións como os Porta Firmas, nos que un documento debe seguir unha liña específica a través de varios asinantes ata que todo o proceso é aprobado.

A aplicación de firma AutoFirma permite os tres tipos de firma. O usuario pode configurar o tipo de firma múltiple que desexa realizar.

A aplicación FirmaFácil automaticamente selecciona a co-firma cando se lle presenta para asinar un documento asinado previamente.

Para verificar unha firma é necesario:

• Comprobar a integridade dos datos asinados asegurando que estes non sufrisen ningunha modificación.
• Comprobar que o estado do certificado co que se asinou era o correcto, é dicir, era vixente no momento da operación.

No caso da firma electrónica básica, se o certificado está caducado automaticamente dáse a firma como non válida.

Entón, como sabemos que o certificado estaba vixente ou non na data na que se asinou? E que debe facerse para que cando se queira validar ou verificar unha firma no futuro a validación sexa posible aínda que estea caducado o certificado?

Para dar resposta a estas preguntas, os formatos AdES (forma xenérica de chamar aos formatos CAdES, XAdES e PAdES) contemplan a posibilidade de incorporar ás firmas electrónicas información adicional que garante a validez dunha firma a longo prazo, unha vez vencido o período de validez do certificado.

Estes formatos engaden á firma evidencias de terceiros (de autoridades de certificación) e certificacións de tempo,que realmente certifican cal era o estado do certificado no momento da firma.

Concretamente, existen distintos formatos de firma que van incrementando a calidade da mesma ata conseguir unha firma que poida ser verificada a longo prazo (de forma indefinida) con plenas garantías xurídicas:

• Firma Básica (AdES - BES), é o formato básico para satisfacer os requisitos da firma electrónica avanzada.
• AdES T, engádese unha selaxe de tempo (T de TimeStamp) co fin de situar no tempo o instante en que se asina un documento.
• AdES C, engade un conxunto de referencias aos certificados da cadea de certificación e o seu estado, como base para unha verificación lonxeva (C de Cadea).
• AdES X, engade selos de tempo ás referencias creadas no paso anterior (X de estendida).
• AdES XL, engade os certificados e a información de revogación dos mesmos, para a súa validación a longo prazo (XL de estendido Longo prazo).
• AdES A, permite a adición de selos de tempo periódicos para garantir a integridade da firma arquivada ou gardada para futuras verificacións (A de Arquivo).

A normativa de desenvolvemento do Regulamento (UE) nº 910/2014 (eIDAS) inclúe a definición dos novos tipos de firma Baseline. Estes tipos son equivalentes aos formatos tradicionais a condición de que as firmas inclúan unha serie de requisitos determinados.

O novo formato representa un perfil máis xenérico e utilízase para garantir a interoperabilidade transfronteiriza das firmas electrónicas no contexto da Directiva 2006/123/CE do Parlamento Europeo e do Consello do 12 de decembro de 2006 relativo aos servizos no mercado interior. O cambio normativo vén referendado no Regulamento (UE) nº 910/2014, e máis concretamente na Decisión de Execución (UE) 2015/1506 da Comisión do 8 de setembro de 2015 pola que se establecen as especificacións relativas aos formatos das firmas electrónicas avanzadas e os selos avanzados que deben recoñecer os organismos do sector público. Na esta Decisión de Execución indícase nos artigos 1 e 3 respectivamente:

• (1) Os Estados membros que requiran unha firma electrónica avanzada ou unha firma electrónica avanzada baseada nun certificado cualificado como se prevé no artigo 27, apartados 1 e 2, do Regulamento (UE) non 910/2014, recoñecerán a firma electrónica avanzada XML, CMS ou PDF no nivel de conformidade B, T ou LT ou cun colector con firma asociada onde as firmas cumpran as especificacións técnicas que figuran no anexo.
• (3) Os Estados membros que requiran un selo electrónico avanzado ou un selo electrónico avanzado baseado nun certificado cualificado como se prevé no artigo 37, apartados 1 e 2, do Regulamento (UE) non 910/2014 recoñecerán o selo electrónico avanzado XML, CMS ou PDF no nivel de conformidade B, T ou LT ou cun colector con selo asociado que cumpra as especificacións técnicas que figuran no anexo.

E en cuxo anexo se inclúe a lista de especificacións técnicas para as firmas electrónicas avanzadas XML, CMS ou PDF e o colector con firma/selo asociada/ou:

• Perfil de base XAdES (ETSI TS 103171 v2.1.1).
• Perfil de base CAdES (ETSI TS 103173 v2.2.1).
• Perfil de base PAdES (ETSI TS 103172 v2.2.2).
• Perfil de base do colector (ETSI TS 103174 v2.2.1).

A modo informativo, establécense as seguintes equivalencias entre os formatos tradicionais e os novos formatos 'Baseline':

Os perfís Baseline son en moitos casos un subconjunto dos formatos tradicionais.

Como se viu no apartado anterior, a selaxe de tempo é un método para probar que un conxunto de datos existiu antes dun momento dado e que ningún destes datos foi modificado desde entón.

O Selo de Tempo é unha sinatura dunha Autoridade de Selaxe de Tempo (TSA), que actúa como terceira parte de confianza testificando a existencia dos estes datos electrónicos nunha data e hora concretos.

A selaxe de tempo proporciona un valor engadido á utilización de firma dixital, xa que a firma por si soa non proporciona ningunha información acerca do momento de creación da firma, e no caso de que o asinante a incluíse, esta sería proporcionada por unha das partes, cando o recomendable é que a marca de tempo sexa proporcionada por unha terceira parte de confianza.

Reselado

Posto que o Selo de Tempo é unha firma realizada co certificado electrónico da Autoridade de Selaxe, cando ese certificado caduca, o selo e, por tanto, a sinatura dejan de ser válidas.

Por iso, antes de que o certificado da TSA caduque é necesario resellar ou aplicar de novo o Selo Temporal para manter a validez temporal da firma.