A través de la firma electrónica podemos ser capaces de reconocer quién ha originado un documento firmado y comprobar si se han realizado cambios sobre este. Por este motivo, el incorporar firma electrónica a nuestras aplicaciones puede ser muy útil, pero es necesario conocer los posibles tipos de firma según aspectos judiciales, técnicos, funcionales, etc…:
Según la legislación
Una de las primeras clasificaciones que nos encontramos de la firma electrónica es la que nos proporciona la ley 59/2003, diferencia entre firma electrónica, firma electrónica avanzada y firma electrónica reconocida. Solo la última tiene el mismo valor que la firma manuscrita siendo necesario hasta entonces usar dispositivos seguros de creación de firma (principalmente hardware).
En el Reglamento 910/2014 se define la firma electrónica avanzada como la que cumple los siguientes puntos:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
También habla de la firma electrónica cualificada en lugar de la firma electrónica reconocida, y además se añaden los siguientes efectos jurídicos:
- No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
- Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
- Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.
Este reglamento hace que la firma electrónica avanzada sea la más adecuada en la mayoría de los casos, pues que su nivel de seguridad es parecido al de la firma cualificada, pero sin la necesidad de usar un dispositivo cualificado de creación de firmas. Por otro lado, frente a la firma electrónica simple añade la seguridad jurídica que añade el reglamento.
¿Qué tipo de firma necesitaremos?
Será una decisión que deberán tomar los responsables jurídicos y de negocio del proyecto con la ayuda de los responsable técnicos del proyecto y de seguridad de la empresa.
Será necesario estudiar la necesidad legal de incluir firma electrónica avanzada o cualificada en el negocio en el que nos movamos, por ejemplo, en el sector público. Otro punto de vista es la necesidad de asumir o no la autenticidad de un contenido, por ejemplo, la firma de un contrato de alta de un cliente.
Formatos AdES
Los formatos AdES son aquellos que cumplen la regulación del eIDAS (set de estadares europeos) pensados para afrontar el problema de la validez de las firmas. Soporta varios formatos de documentos a firmar, XML, PDF, CMS…, con lo que nos encontraremos con XAdES, PAdES o CAdES…
El formato del documento a firmar lo elegiremos según necesitemos interoperabilidad (XML), trabajar con ficheros grandes (CMS) o legibilidad por parte de los usuarios (PDF).
Existen diferentes problemas con la perdurabilidad de las firmas, por ejemplo, el validar una firma de un documento cuyos certificados relacionados ya están caducados. Para ello, se añaden a la firma electrónica sellos de tiempo, referencias a las firmas y a los certificados para permitir validar la validez sin ayuda externa. Por consiguiente, dentro de un formato AdES, nos encontramos con distintos tipos de niveles que añaden mayor validez a las firmas necesarias:
- AdES-BES (Basic), firma básica para satisfacer los requerimientos de la firma electrónica avanzada de la directiva.
- AdES-T (timestamp), añade sello de tiempo.
- AdES-C (complete), añade referencias a las firmas para su verificación futura.
- AdES-X (extended), añade sellos de tiempo a las referencias creadas por –C o a las referencias y la firma.
- AdES-X-L (extended long-term), añade certificados e información de revocación actual para su validación a largo plazo.
- AdES-A (archival), permite la adición de sellos de tiempo periódicos para garantizar el archivo de las firmas.
Siendo esta última la más adecuada cuando queremos guardar los documentos con la máxima validez durante el mayor periodo de tiempo posible.
Firmas con múltiples usuarios
Por último, cabe destacar que también nos podemos encontrar con múltiples firmas en un documento electrónico, igual que ocurre con los manuscritos. Si un documento electrónico contiene varias firmas nos podemos encontrar en cualquiera de los dos siguientes casos:
- Cofirma o firma en línea: Los firmantes están al mismo nivel y el orden de las firmas no es relevante.
- Contrafirma o firma en cascada: Importa el orden en el que se firma ya que cada firma refrenda la anterior.
En el caso de contrafirma no difiere apenas del caso de una firma simple en la mayoría de los casos. Bastará con realizar una nueva firma del documento anteriormente firmado. En el caso de cofirma si será necesario llamar a los servicios específicos de cofirma de la plataforma de firma que estemos utilizando, siendo por tanto más crítico identificar en los flujos de la aplicación cuando se puede dar el caso de Cofirma.
Recursos
Ley 59/2003, de 19 de diciembre, de firma electrónica: https://www.boe.es/buscar/act.php?id=BOE-A-2003-23399
REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014: http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32014R0910&from=ES
Firma AdES: http://www.w3.org/TR/XAdES/ https://en.wikipedia.org/wiki/XAdES
Javier Sanz
.NET Architect | Soluciones Microsoft | SOGETI ESPAÑA
Artículos y tendencias sobre soluciones tecnológicas 
0 comments on “Tipos de firma electrónica más utilizados”