Formats de signatura

• El format de signatura és la forma com es genera el document de signatura i com es guarda o estructura la informació de signatura en el document generat.
• La existència de múltiples formats de signatura es deu a raons històriques, a com s'ha anat introduint la signatura en formats de documents ja existents i a com s'han anat afegint funcionalitats al llarg del temps.
• Un fitxer de signatura té un format que ve determinat per estos aspectes:
• Estructura del fitxer: formats CAdES, XAdES, PAdES, OOXML, ODF…
• On es guarda el document original?
• Firmas amb múltiples usuaris.
• Longevitat de la signatura i segell de temps

Una signatura electrònica és un fitxer que conté informació sobre el document original, el signant, la data de la signatura, algorismes utilitzats i possible caducitat de la signatura.

Cómo s'estructura esta informació (l'ordre d'eixa informació dins del fitxer, les etiquetes que indiquen quan comença un camp i quan acaba, l'opcionalidad d'eixos camps, etc.) ve determinat per diferents formats:

• CAdES (CMS Avançat).

  Es l'evolució del primer format de signatura estandarditzat. És apropiat per a signar fitxers grans, especialment si la signatura conté el document original perquè optimitza l'espai de la informació. Després de signar, no podràs veure la informació signada, perquè la informació es guarda de manera binària.

• XAdES (XML Avançat).

  El resultat és un fitxer de text XML, un format de text molt similar a l'HTML que utilitza etiquetes. Els documents obtinguts solen ser més grans que en el cas de CAdES, per això no és adequat quan el fitxer original és molt gran. Aplicaciones com eCoFirma del Ministeri d'Indústria i Comerç, només signen en XAdES.

• PAdES (PDF Avançat).

  Este és el format més adequat quan el document original és un pdf. El destinatari de la signatura pot comprovar fàcilment la signatura i el document signat. Amb els formats anteriors això no és possible si no s'utilitzen eines externes.

• OOXML i ODF.

  Son els formats de signatura que utilitzen Microsoft Office i Open Office, respectivament.

La aplicació client AutoFirma permet configurar el format a utilitzar.

Segons com es referencie o on es guarde el document original en el fitxer de signatura, podem tindre dos casos:

• El document original s'inclou en el fitxer de signatura.

En el cas de CAdES estes signatures es diuen signatures implícites.

En el cas de signatures XAdES XML, l'habitual és que el document estiga inclòs en el fitxer de signatura. Parlem de signatures enlairades (detached), envolupants (enveloping) i embolicades (enveloped) segons en quin lloc del propi fitxer de signatura es guarde el document original.

En la pràctica, se sol utilitzar el cas 1, que és la manera de funcionar per defecte de les aplicacions de signatura. S'obtenen fitxers de signatura més grans però, com a contrapartida, no requereix emmagatzemar el fitxer original com un altre document a part al costat del de signatura.

• El document no s'inclou en la signatura.

En este cas, el document no s'inclou en el resultat de signatura o solament s'inclou una referència al lloc en el qual es troba perquè el document puga ser localitzat.Per tant, s'obtenen fitxers de grandària més reduïda, però, per contra, el document original sempre cal guardar-lo al costat de la signatura.

En el cas de CAdES estes signatures es diuen signatures explícites.

En el cas de signatures XAdES XML, només per a les signatures enlairades (detached), el document pot estar fóra.

En el món del paper i de la signatura manuscrita, un document pot contindre la signatura de diverses persones:

• En un cas, les signatures poden tindre el mateix pes o valor legal, per la qual cosa és igual l'ordre en el qual s'estampen les signatures en el document.
• Otro cas, és el que unes signatures serveixen per a confirmar o certificar altres signatures anteriors, per la qual cosa l'ordre en el qual s'estampen les signatures és important.

El equivalent a eixes signatures en el món electrònic són les signatures múltiples. Atés del criteri del nombre de signants podem tindre:

• Firmas simples. Son les signatures bàsiques que contenen la signatura d'un sol signant.
• Co-signatura o signatura en línia. És la signatura múltiple en la qual tots els signants estan al mateix nivell i en la qual no importa l'ordre en el qual se signa. La co-signatura s'utilitza en la signatura de documents que són resultats de reunions, conferències o comités.
• Contra-signatura o signatura en cascada. Signatura múltiple en la qual l'ordre en el qual se signa és important, ja que cada signatura ha de confirmar o certificar la signatura del signant anterior. La contra-signatura s'utilitza especialment en aplicacions com els Porta Signatures, en els quals un document ha de seguir una línia específica a través de diversos signants fins que tot el procés és aprovat.

La aplicació de signatura AutoFirma permet els tres tipus de signatura. L'usuari pot configurar el tipus de signatura múltiple que desitja realitzar.

L'aplicació FirmaFácil automàticament selecciona la co-signatura quan se li presenta per a signar un document signat prèviament.

Per a verificar una signatura és necessari:

• Comprobar la integritat de les dades signades assegurant que aquests no hagen patit cap modificació.
• Comprobar que l'estat del certificat amb el qual es va signar era el correcte, és a dir, era vigent en el moment de l'operació.

En el cas de la signatura electrònica bàsica, si el certificat està caducat automàticament es dóna la signatura com no vàlida.

Entonces, com sabem que el certificat estava vigent o no en la data en la qual es va signar? I què ha de fer-se perquè quan es vulga validar o verificar una signatura en el futur la validació siga possible encara que estiga caducat el certificat?

Per a donar resposta a estes preguntes, els formats AdES (forma genèrica de cridar als formats CAdES, XAdES i PAdES) contemplen la possibilitat d'incorporar a les signatures electròniques informació addicional que garanteix la validesa d'una signatura a llarg termini, una vegada vençut el període de validesa del certificat.

Estos formats afigen a la signatura evidencies de tercers (d'autoritats de certificació) i certificacions de temps,que realment certifiquen quin era l'estat del certificat en el moment de la signatura.

Concretamente, existeixen diferents formats de signatura que van incrementant la qualitat de la mateixa fins a aconseguir una signatura que puga ser verificada a llarg termini (de manera indefinida) amb plenes garanties jurídiques:

• Signatura Bàsica (AdES - BES), és el format bàsic per a satisfer els requisits de la signatura electrònica avançada.
• AdES T, s'afig un segellament de temps (T de TimeStamp) amb la finalitat de situar en el temps l'instant en què se signa un document.
• AdES C, afig un conjunt de referències als certificats de la cadena de certificació i el seu estat, com a base per a una verificació longeva (C de Cadena).
• AdES X, afig segells de temps a les referències creades en el pas anterior (X d'estesa).
• AdES XL, afig els certificats i la informació de revocació d'aquests, per a la seua validació a llarg termini (XL d'estés Largo termini).
• AdES A, permet l'addició de segells de temps periòdics per a garantir la integritat de la signatura arxivada o guardada per a futures verificacions (A d'Arxiu).

La normativa de desenvolupament del Reglament (UE) núm. 910/2014 (eIDAS) defineix els nous tipus de signatura Baseline. Estos tipus són tan vàlids com els formats tradicionals si complixen una sèrie de requisits.

Este nou format és més genèric i serveix per a assegurar la interoperabilitat transfronterera de les signatures electròniques, en línia amb la Directiva 2006/123/CE del Parlament Europeu i del Consell. Este canvi normatiu es recolza en el Reglament (UE) núm. 910/2014, en concret en la Decisió d'Execució (UE) 2015/1506 de la Comissió, de 8 de setembre de 2015. Aquesta decisió establix les especificacions dels formats de signatures electròniques avançades i segells avançats que han de reconéixer els organismes del sector públic. En essència, s'establix que:

• Els Estats membres han de reconéixer signatures electròniques avançades en format XML, CMS o PDF en els seus diferents nivells (B, T o LT).
• Lo mateix aplica als segells electrònics avançats en estos formats.

I en l'annex del qual s'inclou la llista d'especificacions tècniques per a les signatures electròniques avançades XML, CMS o PDF i el contenidor amb signatura/segelle associada/o:

• Perfil de base XAdES (ETSI TS 103171 v2.1.1).
• Perfil de base CAdES (ETSI TS 103173 v2.2.1).
• Perfil de base PAdES (ETSI TS 103172 v2.2.2).
• Perfil de base del contenidor (ETSI TS 103174 v2.2.1).

A manera informativa, s'establixen les següents equivalències entre els formats tradicionals i els nous formats 'Baseline':

Els perfils Baseline són en molts casos un subconjunt dels formats tradicionals.

Como s'ha vist en l'apartat anterior, el segellament de temps és un mètode per a provar que un conjunt de dades va existir abans d'un moment donat i que cap d'estes dades ha sigut modificat des de llavors.

El Sello de Tiempo és una signatura d'una Autoritat de Segellament de Temps (TSA), que actua com a tercera part de confiança testificant l'existència d'aquestes dades electròniques en una data i hora concrets.

El segellament de temps afig informació rellevant a la signatura, perquè indica quan es va crear. Si el signant incloguera esta dada, l'aportaria una de les parts implicades. L'ideal és que la marca de temps provinga d'una tercera part de confiança.

Resellado

Com que el Segell de Temps és una signatura realitzada amb el certificat electrònic de l'Autoritat de Segellament, quan eixe certificat caduca, el segell i, per tant, la signatura deixen de ser vàlides.

Per això, abans que el certificat de la TSA caduque és necessari resellar o aplicar de nou el Segell Temporal per a mantindre la validesa temporal de la signatura.