Mòdul 5. La signatura electrònica

Mòdul 5. La signatura electrònica

Objectius del mòdul 5

Després de fer aquest mòdul sereu capaços de:

� Conèixer els tipus de signatura. � Conèixer com funciona el procés de signatura, de quins mitjans disposam per

fer-la i quins són els diferents tipus de fitxers resultants. � Utilitzar dos programes de signatura electrònica.

Tema1. Què significa i en què consisteix la signatura de documents.

Introducció Fins ara, quan l’autor d’un document volia identificar-se i assegurar la seva identitat, ho feia estampant una signatura manuscrita. Aquesta signatura és única i és la mateixa que consta al seu DNI. Amb l’arribada de les noves tecnologies, s’ha aconseguit posar a l’abast de tots els ciutadans la manera de poder signar documents de manera electrònica. Tipus de signatura electrònica A continuació repassarem el que s’ha vist al mòdul 1 sobre els tipus de signatura electrònica. Segons la Llei 59/2003, hi ha tres tipus de signatura electrònica:

Avui en dia, la signatura electrònica reconeguda té el mateix valor legal que la signatura manuscrita.

Procés de signatura de documents El procés bàsic que se segueix per a la signatura electrònica és el següent:

1. L’usuari disposa d’un document electrònic (un full de càlcul, un PDF, una

imatge, fins i tot un formulari en una pàgina web) i d’un certificat que li

pertany i l’identifica (amb clau privada).

2. L’aplicació utilitzada per a la signatura fa un resum del document

(coneguda com a funció hash). Aquest resum és únic i qualsevol

modificació del document implica també una modificació del resum.

3. L’aplicació utilitza la clau privada del certificat per xifrar el resum i li

afegeix la part pública del certificat.

4. L’aplicació pot fer dues coses:

a. Ajuntar el document original i la signatura electrònica en un sol

document electrònic (per Exemple: PAdES amb signatura

incrustada).

b. Deixar el document original i la signatura electrònica per

separat.

El document electrònic obtingut en aquest procés es forma a partir de la combinació d’un document original i la clau privada de la persona signant. Per tant, es considera signatura electrònica el document resultant del procés de signatura, ja sigui el document que du la signatura incrustada o bé el conjunt de document original més document de signatura. Mitjans per fer la signatura electrònica La signatura s’ha de fer obligatòriament per mitjans electrònics i es pot fer de diferents formes:

1. Amb una aplicació instal·lada a l’ordinador, la qual executarem de forma local per

poder signar els documents.

2. A través d’un portal d’Internet. Aquesta opció s’utilitza sobretot en l’Administració

electrònica quan es firmen formularis, sol·licituds o enviaments. Però, també, es

poden signar documents propis amb l’ajuda d’una aplicació web executada des

del mateix navegador. Un exemple seria el que ofereix el web VALIDe

(https://valide.redsara.es/valide/).

En ambdós casos cal disposar d’un certificat electrònic o DNIe. Alguns exemples d’operacions que es poden fer a través d’Internet fent ús de la signatura digital són:

Tipus de documents resultants del procés de signatura A l’hora de signar un document de forma electrònica es pot fer de dues maneres, sempre que el format de fitxer que volem signar ens ho permeti:

- Incloure el document original en el fitxer de signatura.

- Crear un fitxer de signatura que ha d’estar acompanyat del document

original.

El fitxer de signatura que acompanya el document conté informació sobre el document

original, el signant, la data de la signatura, algoritmes utilitzats i possible caducitat de la

signatura.

Hi ha diferents formats segons com s’estructura aquesta informació:

Validació d’un document signat Un document signat també es pot validar, és a dir, es pot comprovar que les dades signades es corresponen amb les dades originals, que el certificat amb el qual s’ha signat és vàlid i que l’estructura del fitxer és correcta. Per comprovar un document signat es pot fer a través de l’Acrobat Reader, a través de VALIDe o també a través d’alguna de les aplicacions instal·lades a l’ordinador que s’ha fet servir per signar documents. En l’exemple següent podem veure el procés bàsic per verificar que un document signat no ha estat modificat des que es va signar:

Per verificar una signatura cal:

Per saber si el certificat d’un document signat era vigent a la data en què es va signar i per poder validar o verificar una signatura en el futur, encara que estigui caducat el certificat, s’hauria d’incorporar a les signatures electròniques informació addicional que garanteixi la validesa d’una signatura a llarg termini, un cop vençut el període de validesa del certificat. Aquests formats permeten afegir a la signatura evidències de terceres persones (d’autoritats de certificació) i certificats de temps que, realment, certifiquen quin era l’estat del certificat en el moment de la signatura. El segellat de temps és un mètode per provar que un conjunt de dades va existir abans d’un moment donat i que cap d’aquestes dades han estat modificades des de llavors.

El segellat de temps proporciona un valor afegit a la signatura digital, ja que la signatura per si sola no proporciona cap informació sobre el moment en què es va crear i, en el cas que el signant inclogui la informació, aquesta hauria estat proporcionada per una de les parts, quan el recomanable és que la marca de temps sigui proporcionada per una tercera part de confiança.

Tema 2. Programari per signar documents( XolidoSign i eCoFirma)

En aquest tema veurem dues aplicacions que serveixen per signar fitxers de forma electrònica.

XolidoSign

L’aplicació es pot descarregar de la pàgina http://www.xolido.com/lang/ i actualment només és disponible per a la plataforma Windows.

Característiques:

La verificació digital de documents es fa seguint les pautes de control de seguretat corresponents i es mostra sempre a l’usuari la informació completa amb el resultat de cadascuna de les verificacions fetes. El funcionament és molt senzill. Per signar un document, s’ha de triar l’opció Signar del menú de l’esquerra i seguir les passes següents:

1. Seleccionar el document o els diferents documents que es vulguin

signar.

2. Triar el certificat que es vol fer servir (certificat programari o bé DNIe).

3. Seleccionar la carpeta de destí on es gravarà la signatura electrònica.

Aquesta carpeta no pot ser la mateixa on està ubicat el document

original, ja que la signatura electrònica pot tenir el mateix nom que el

document original.

4. Seleccionar si es vol signar amb segell de temps i quin servidor es vol

fer servir. Si es vol incloure un nou servidor de segellat de temps, s’ha

d’anar al menú opcions, configuració, servidors de segell de temps i

afegir o modificar els servidors de segell de temps.

5. Aquesta opció permet incrustar la signatura en el document, sempre

que es tracti d’un document PDF. A l’apartat motiu es pot incloure un

text que apareixerà en els camps de la signatura. També es pot triar la

ubicació del segell incrustat al document.

6. Finalment, es pot iniciar l’operació de signatura.

Per verificar un document, s’ha triar l’opció Verificar del menú de l’esquerra i seguir les passes següents:

1. Seleccionar el document o els diferents documents que es vulguin

verificar.

2. Iniciar l’operació de verificació.

Un cop feta la verificació, l’aplicació ens mostra l’estat de la signatura:

En aquesta pantalla veurem informació de:

- Nom del fitxer i directori on es troba - Nom i NIF de la persona signant - Estat de la confiança del certificat - Estat de la revocació del certificat - Integritat del certificat - Format de signatura - Nom de l’arxiu associat i si aquest es correspon amb el fitxer de

signatura electrònica. Per ampliar la informació que ens mostra aquesta pantalla, podem pitjar el botó Veure informe i ens obrirà una nova finestra amb tota la informació detallada de la signatura.

eCoFirma

L’aplicació està feta amb el llenguatge JAVA i és necessari tenir la màquina virtual de JAVA instal·lada correctament a l’ordinador. En el mòdul 4 vàrem veure com s’havia de fer per instal·lar-la.

Aquesta aplicació presenta tres aspectes molt interessants:

L’aplicació permet generar documents en format XAdES (fitxers XML). Aquest format mostra les dades de forma estructurada i amb informació de metadades i això permet fer cerques avançades sobre els documents i processos automatitzats sobre les dades, sense perdre les funcions de la signatura digital avançada. La plataforma és Multi-PKI, la qual cosa permet utilitzar qualsevol tipus de certificat electrònic X509 v3 emès per entitats proveïdores de serveis de certificació de confiança que es considerin ara o en el futur. L’aplicació cobreix tot el necessari per treballar amb el DNI electrònic. Abans de fer la signatura, podem personalitzar l’aplicació. Per això, haurem de triar l’opció Configuración que hi ha a la barra de menú de la part superior:

Dins aquesta opció de configuració destacarem 5 punts interessants:

Una vegada tenim l’aplicació configurada, podrem signar documents. Per signar un document, haurem de seguir les següents passes:

1. Seleccionar el fitxer que es vol signar

2. Seleccionar el certificat que es vol fer servir

3. Seleccionar la carpeta de destí on es desarà la signatura electrònica

4. Un cop signat, surt una finestra amb el resum del resultat de la

signatura:

5. Si volem més detalls sobre la signatura, haurem d’anar a la pestanya

Información i ens mostrarà informació sobre la data de la signatura, el

certificat i els detalls, el format que s’ha fet servir, etc.

6. A la pestanya de Documentos hi ha informació del document signat i

tres opcions:

1. Visualització del document original

2. Visualització del document amb marca de signatura

3. Descàrrega del document original

Síntesi del Mòdul 5

� Hi ha tres tipus de signatura electrònica: bàsica, avançada i reconeguda.

� La signatura reconeguda s’ha de fer amb un dispositiu segur de creació de signatura (targeta criptogràfica) i és l’única que té el mateix valor legal que la signatura manuscrita.

� En el procés bàsic de signatura de documents, l’aplicació de signatura fa les operacions següents:

- Un resum amb la funció hash del document original. - Xifra el resum utilitzant la clau privada del signant. - Crea un document resultant amb el resum xifrat, el document

original i una còpia del certificat sense la clau privada.

� En el procés de verificació, l’aplicació fa les operacions següents: - Un resum amb la funció hash del document original. - Desxifra el resum utilitzant la clau pública del certificat del

signant i obté el resum desxifrat. - Compara els dos resums obtinguts i, si són idèntics, la signatura

és vàlida,

� Es poden signar electrònicament documents utilitzant una aplicació instal·lada en l’ordinador o bé des d’un portal d’Internet.

� Hi ha diferents formats segons com s’estructura la informació del fitxer de signatura: CAdES (CDM avançat), XAdES (XML avançat), PAdES (PDF avançat), OOXML (documents signats amb el Microsoft Office: DOCX, XLSX, etc.) i ODF (documents signats amb l’Open Office: ODT, ODS, etc.)

� L’aplicació XolidoSign és una aplicació propietària que té una versió gratuïta que pot generar fitxers de signatura amb els formats CAdES i PAdES. També pot incloure segellat de temps.

� L’aplicació eCoFirma és del Ministeri d’Indústria i Comerç i genera fitxers de signatura amb format XAdES. També pot incloure segellat de temps i permet signar a diversos actors.