PAdES – PDF Advanced Electronic SignatureFirma Electrónica de larga duración

2

Programa

Firma Electrónica de larga duración

INTRODUCCIÓN

CONCEPTOS PREVIOS

PAdES

3

“Lo bueno de Internet es que

nadie sabe que eres un perro”

Introducción

4

Algunas preguntas…

Introducción

En todo momento hay más de 1 billón de personas en la red

Más de 3 millones de usuarios nuevos semanales

Se crea un blog cada segundo

Se roba una identidad cada 79 segundos

Autenticidad

Certificados Digitales

Confidencialidad

No Repudio

Integridad

5

Algunas preguntas…

Introducción

Autenticación

¿La información ha sido enviada por la persona que dice que la ha enviado?

¿Quién accede a mi red es efectivamente quién dice ser?

Integridad

¿Alguien ha podido modificar el contenido?

Confidencialidad

¿La información ha sido leída por terceros?

Repudio (Negación de envío)

Si hay algún problema ¿podría el remitente negar la autoría del

documento?.

6

La firma electrónica hoy

Introducción

La factura electrónica es un elemento tractor de esta tecnología

Sin embargo, y a fin de fomentar el uso de la factura electrónica, las

exigencias de AEAT en esta materia son poco restrictivas y esto hace que

no se puedan extrapolar a otros procesos que requieran mayor seguridad y

confianza

‒ La variable “tiempo” complica los procesos electrónicos

Por este motivo aparecen otros nuevos soportes para documentos

electrónicos (PDF/A) y nuevos conceptos de firma electrónica:

– Completa

– Longeva

– PAdES

7

Introducción

8

Programa

Firma Electrónica de larga duración

CONCEPTOS PREVIOS

9

Certificados Digitales

Introducción

Es un archivo electrónico que identifica a un usuario

Es el equivalente electrónico a un Documento de Identidad.

Asocia una clave única a una identidad,

– Cada certificado está identificado por un número de serie único y tiene un

periodo de validez que está incluido en el certificado

– De tal forma que ésta queda fehacientemente ligada a los documentos

electrónicos sobre la que se aplica.

10

Certificados Digitales

Introducción

Un certificado electrónico consta de dos partes diferenciadas:

Clave pública: es la que le posibilita al destinatario verificar quien es el

autor del mensaje y la integridad de los datos enviados.

– Esta clave se comparte (al enviar documentos firmados) y es conocida por

otras Personas

– Contiene datos como el nombre, apellidos, razón social, CIF, e-mail…

Clave privada: nivel de seguridad para posibilitar el uso del certificado

– Debe permanecer bajo el exclusivo control de su propietario.

– Esta característica permite que una firma digital identifique en forma unívoca

al firmante.

Conocida una NO se obtiene la otra

11

Certificados Digitales

Confianza en el certificado

Podremos confiar en el certificado digital de una persona a la que no

conocemos, si dicho certificado está avalado por una entidad en la que sí

confiamos; es decir, si está avalado por un Prestador de Servicios de

Certificación en el que confiemos.

– El Prestador de Servicios de Certificación garantiza que el certificado es de fiar

mediante su firma digital en el mismo.

12

Certificados Digitales

Funciones de la Autoridad de Certificación

Gestionar el servicio de certificación digital

Definir las Políticas de certificación

Gestionar el directorio de certificados emitidos

Gestionar las listas de revocación (CRL) Cubrir la responsabilidad Civil.

Inscripción en el registro de entidades de certificación

Auditar las Autoridades de Registro (RA)

Gestionar la seguridad del sistema

Negociar el reconocimiento de los certificados mediante acuerdos con otras entidades de

certificación

Definir la estrategia del servicio de certificación actual y futuro.

Proporcionar un servicio de Hot-line 24/horas* 365días, de información, gestión y revocación.

13

Certificados Digitales

Datos que contiene el certificado

Cada certificado contiene información:

Del Titular: la identidad y su clave pública

De la autoridad certificadora: la identidad y la firma

Del propio certificado: número de serie, caducidad, etc.

Construidos según el estándar X.509 v3

14

Certificados Digitales

Usos

Clave de acceso a áreas restringidas

– Áreas físicas: para acceder a una Empresa, un Departamento, un PC, máquina

de café o para “fichar” a la entrada y salida de la Persona

– Acceso a web: Mayor seguridad que “usuario y contraseña”

Firma de documentos

– El emisor del documento se asegura que el documento no puede ser modificado

(integridad)

– El receptor puede comprobar de forma inequívoca la identidad del firmante, y

este no puede negar su autoría.

– Se puede firmar cualquier tipo de documento o mensaje (e-mail)

Cifrar una comunicación

– Garantiza que el documento sólo puede ser leído por su destinatario

(confidencialidad)

15

Certificados Digitales

Acceso restringido a webs

Se utiliza para controlar el acceso a un sitio Web o a determinadas páginas del

mismo

Mayor seguridad que login+password

Al intentar acceder, se solicita un certificado a quien visita la página

Se puede filtrar el acceso según los datos que contenga el certificado, si está

revocado,…

En el sitio Web es necesario tener instalado un certificado de servidor Web seguro

*SSL (Secure Sockets Layer)

16

Certificados Digitales

17

Certificados Digitales

Otros usos

Caixa Galicia y Caja Madrid fueron los primeros en incorporar el uso

del DNI-e a sus cajeros automáticos

Se podrá retirar efectivo, consultar saldo, solicitar préstamos y

realizar gestiones con la administración

18

Certificados Digitales

Tipos de Certificados Digitales: personal

Acredita la identidad de la persona firmante que siempre será una persona

física

No contiene datos de vinculación a ninguna entidad.

Usos indicados:

– Firma de correos electrónicos (asegurar la identidad del remitente, evitar

fraudes)

– Validación para accesos a zonas Web

– Trámites on-line que lo requieran

19

Certificados Digitales

Tipos de Certificados Digitales: de pertenencia a empresa

Garantiza la identidad de la persona física titular del certificado, así como

su vinculación a una determinada entidad en función del cargo que ocupa

en la misma.

Lo puede solicitar la propia persona física titular del certificado siempre que

disponga de la autorización de un representante de la empresa para la que

trabaja.

Usos indicados:

– Los mismos que el certificado personal

– Tramitaciones con las Administraciones.

20

Certificados Digitales

Tipos de Certificados Digitales: de persona jurídica

A nombre de una entidad, no de una persona

– Similar a un “sello de empresa”

En la solicitud ha de figurar un solicitante (“custodio”)

Quién puede ser solicitante (casos comunes: S.A., S.L.)

– Representante legal:

• Administrador Único / Solidario / Mancomunado

• Consejero Delegado

– Representante voluntario: Resto de casos

• IMPORTANTE: Necesario poder notarial específico para este caso

Usos indicados:

– Fundación Tripartita (bonificación por acciones de formación)

– Agencia Estatal Tributaria (declaraciones de la empresa)

21

Certificados Digitales

Tipos de Certificados Digitales: DNI electrónico

Acredita a una persona, no a su vinculación con una entidad

El chip electrónico contiene los mismos datos que aparecen impresos en la tarjeta

(datos personales, fotografía, Firma Electrónica, huella dactilar digitalizada) junto

con los certificados de Autenticación y de Firma Electrónica.

Capacidad de autenticación y firma pero no de cifrado

Únicamente en soporte tarjeta

El DNI electrónico estará disponible en toda España desde el 2008.

22

Certificados Digitales

Tipos de Certificados Digitales: para factura electrónica

A nombre de una entidad, no de una persona

– Similar a un “sello de empresa”

En la solicitud ha de figurar una persona física, titular del certificado, con

capacidad de representación dentro de la empresa ó autorizado por un

representante de la empresa para realizar facturación electrónica en nombre de

la misma.

Uso exclusivo para facturación electrónica

23

Llaves biométricas

Opciones adicionales a la de almacenar certificados digitales.

Identifican al usuario mediante medidas biométricas (huella dactilar)

Certificados Digitales

Soportes para certificados

Tarjetas

Permiten realizar una personalización

Requieren un lector USB o PCMCIA

Acceso protegido mediante PIN

Llaves USB

Diseñado para aplicaciones portátiles,

Conectividad sin cables adicionales.

Posibilidad de incorporar otros certificados, passwords,..

Software

El certificado está instalado dentro del equipo. Se pueden proteger mediante PIN.

Se permite la exportación a otros equipos

24

Certificados Digitales

Validez de un certificado/firma en el tiempo

Tiempo

Vigencia del certificadoFirma No Repudio

Tiempo

Vigencia del certificadoFirma Repudio

La capacidad de revocar un certificado es un derecho que asiste al titular del

mismo, o a las entidades que representa,

– Si el certificado es obtenido por terceros en conocimiento del PIN, podrían quedar

comprometidos por firmas no realizadas bajo su voluntad.

25

Certificados Digitales

Validez de un certificado

La validez de un Certificado depende primeramente de la credibilidad

de quien lo emite, es decir de la Autoridad de certificación.

Depende también del método y los recursos utilizados para su emisión:

soporte, identificación, seguridad, etc.

Finalmente la validez también depende del ámbito de reconocimiento

de este certificado.

26

Certificados Digitales

Proceso de emisión

Ministerio

de Interior

Dirección General

de Policía

ComisaríaComisaría Comisaría

DNI

Ministerio

de Industria

Autoridad

de Certificación

Autoridad

de Registro

Autoridad

de Registro

Autoridad

de Registro

Certificado Digital

27

Certificados Digitales

Ventajas de los certificados

Eliminación del papel en procesos empresariales (contratos, solicitudes

de vacaciones, ofertas, pedidos, ...).

Correspondencia instantánea con validez legal.

Trámites telemáticos con la Administración y otros organismos.

28

Firma Electrónica

Firma Electrónica

La firma electrónica es un conjunto de datos en forma electrónica, consignados

junto a otros o asociados con ellos, que pueden ser utilizados como medio de

identificación del firmante.

La firma electrónica avanzada es la firma electrónica que permite identificar al

firmante y detectar cualquier cambio ulterior de los datos firmados, que está

vinculada al firmante de manera única y a los datos a que se refiere y que ha sido

creada por medios que el firmante puede mantener bajo su exclusivo control.

Se considera firma electrónica reconocida la firma electrónica avanzada basada

en un certificado reconocido y generada mediante un dispositivo seguro de

creación de firma.

– La firma electrónica reconocida tendrá respecto de los datos consignados en forma

electrónica el mismo valor que la firma manuscrita en relación con los consignados

en papel.

29

Firma Electrónica

Firma Electrónica: proceso de firma

Clave privada

Documento

Certificado

Documento

Firmado

Herramienta

de Firma

La firma electrónica identifica al firmante y garantiza la integridad del

contenido del documento

30

Firma Electrónica

Cómo es un documento e-firmado (word)

31

Firma Electrónica

Cómo es un documento e-firmado (PDF)

32

Firma Electrónica

Cómo se comprueba una firma “sencilla”

Se debe comprobar :

Autenticidad del firmante

Integridad del contenido del documento

Reconocimiento del certificado utilizado

Caducidad del certificado utilizado

Estado de revocación del certificado utilizado - online

33

Cómo se comprueba una firma

Firma Electrónica

34

Firma Electrónica

Ejemplos de usos empresariales

Factura electrónica

Firma de actas/informes/ofertas/pedidos:‒ Los términos se acuerdan sobre sucesivas versiones del documento

‒ Una vez acordado, se Firma Electrónicamente por ambas partes.

‒ Al estar firmado, la información ya no puede ser modificada sin perder la firma

‒ Ahorro en tiempo y costes (más rápido que remitirlo en papel, no hay necesidad de

mensajería …)

Acceso restringido a una página web:‒ Trámites con la Administración

‒ Identificación en Intranet y Extranet

‒ Realización y gestión de pedidos

Firmas de documentación de sistemas de calidad

Formulario Electrónico:‒ El proveedor pone a disposición del Cliente un formulario dónde puede solicitar el pedido.

‒ El formulario ayuda al Cliente en el momento de informar los datos correspondientes.

‒ Evita errores.

‒ Los datos se integran fácilmente en el Sistema de Gestión del Proveedor

35

Firma Electrónica

Validez legal

Ley 59/2003

Misma validez que una firma manuscrita siempre que cumpla unas

condiciones:

– Sistema reconocido como tecnológicamente seguro

– Procedimiento debe cumplir con los requisitos establecidos por

ley

36

Firma Electrónica

¿Hace falta originales en papel?

37

Programa

Firma Electrónica de larga duración

PAdES

38

Introducción

PAdES

La firma electrónica puede tener lagunas legales

Hoy en día, para la realización de trámites se requiere métodos de

firma mucho más seguros y fiables

Ejemplo: documento electrónico

39

Qué es?

PAdES

PAdES es un conjunto de normas publicadas por el ETSI para apoyar a

los requisitos europeos para la firma electrónica. PAdES se basa en las

firmas existentes en PDF tal como se especifica en la norma ISO 32 000.

Incluye funciones de apoyo a la validación de las firmas que se

almacenan durante años o incluso décadas.

Firma digital longeva: aquella que tiene toda la información necesaria para

ser validada a largo plazo

‒ PAdES (Disponible desde Julio 2009) Homólogo al CAdES y XAdES. Soporte

AdES en documentos PDF.

‒ TS 102 778 (5 Partes) – Publicado por el ETSI

ETSI: (European Telecommunications Standards Institute)

40

Qué es?

PAdES

PDF Advanced Electronic Signature. PAdES es una norma que

estandariza la incorporación de firmas electrónicas a documentos PDF

con prestaciones similares a las firmas XAdES y CAdES.

Prestaciones fundamentales:

‒ Time-stamp

‒ Estado de revocación de un certificado en el momento de la firma

Otras prestaciones:

‒ La posibilidad de incorporar una referencia explícita a una política de firma

‒ La razón por la que se ha generado la firma

‒ El rol asumido por el firmante

‒ El lugar en el que se ha realizado la firma

‒ ....

41

PAdES

Tiempo

Vigencia del certificadoFirma No Repudio

Tiempo

Vigencia del certificadoFirma Repudio

42

Familia AdES - CAdES

PAdES

Puede firmar cualquier dato

2 métodos de firma:‒Detached: Los datos firmados están separados de la firma

‒Encapsulado: La firma se encapsula junto con los datos

A menudo requiere adaptaciones del software o realizar la firma con una

aplicación externa

Soporta múltiples firmas en serie o en paralelo

La apariencia depende del software utilizado

Validez a largo plazo

43

Familia AdES - XAdES

PAdES

Proporciona una solución XML

Puede firmar cualquier dato

A menudo requiere adaptaciones del software o realizar la firma con

una aplicación externa

Soporta múltiples firmas en serie o en paralelo

La apariencia depende del software utilizado

Validez a largo plazo

44

Familia AdES – PDF - PAdES

PAdES

Firmas contenidas en el PDF

Incluido en el estándar ISO 32000-1

Firma y verificación incluida en el software de PDF – no es necesaria

adaptación o programación

Soporta rellenado y firma secuencial para workflows de aprobación

Las firmas tienen un aspecto visual dentro del PDF

Validez a largo plazo

45

Dónde encontrar las especificaciones de PAdES?

PAdES

PADES especificación está formada por 5 partes, cuyos títulos se enumeran

a continuación. Una copia de las especificaciones PADES se pueden descargar

siguiendo estos enlaces:

1. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles; Parte 1: Información general PADES - un documento

marco para PADES

2. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles Parte 2: Básico PADES - perfil basado en ISO 32000-1

3. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 3: PADES reforzada - PADES-BES y-EPES

perfiles PADES

4. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 4: PADES a Largo Plazo - LTV-PADES perfil

5. ETSI TS 102 778 102 778 ETSI TS PDF Firma Electrónica Avanzada perfiles; Parte 5: PADES de contenido XML -

Perfiles para la firma XAdES

46

Validación desde Acrobat

PAdES

47

Firma Electrónica

Cómo se comprueba una firma completa

Para realizar una comprobación completa de una firma electrónica

se deben verificar las siguientes propiedades:

Autenticidad del firmante

Integridad del contenido del documento

Reconocimiento del certificado utilizado

Caducidad del certificado utilizado

Estado de revocación del certificado utilizado en el momento

de la firma

Sello de tiempo certificado por una Autoridad homologada

48

Cómo se comprueba una firma

Firma Electrónica

Sin OCSP ni TSP Sin OCSP ni TSP

Sin OCSP ni TSP CON OCSP y TSP

49

Cómo se comprueba una firma

Firma Electrónica

Sin OCSP ni TSP Sin OCSP ni TSP

Sin OCSP (CRL Online) CON OCSP (CRL)

50

Cómo se comprueba una firma

Firma Electrónica

Sin OCSP ni TSP Sin OCSP ni TSP

Sin TSP CON TSP

51

Cómo se comprueba una firma

Firma Electrónica

52

En resumen, cómo se relacionan PDF/A y PAdES?

PAdES

PAdES está diseñado para apoyar documentos que pueden ser archivados

durante largos períodos, como es PDF/A-1.

PAdES y PDF/A-1 se puede aplicar independientes entre sí.

Sin embargo, se recomienda que los documentos que se van a archivar se

convierten en PDF/A-1 antes de firmar con PAdES.

53

PAdES

54

PAdES

Más sobre PAdES

Se recomienda la participación en el grupo STF364 (Specialist Task Force)

que generó la norma PAdES

Tienen un portal que permite dirigir nuevas preguntas. Éstas son discutidas

y respondidas por los componentes del STF 364 y, de considerarlo oportuno,

preguntas y respuestas pasan a engrosar la FAQ.

http://stf364ms.e.ac.upc.edu/phpmyfaq/index.php

55

Usos empresariales

Generación• Plantillas – Datos - Maquetación• Transformación a PDF/A• Anexar ficheros

Seguridad• Autenticación, Confidencialidad• Firma y validación• Timestamp

Envío • eMail• FTP – sFTP• Web Service

Custodio• Intranet / Extranet• Trazabilidad / Accesibilidad• Terceros de confianza: ej Metaposta

56

Usos empresariales

Metaposta

Se trata de un "buzón y caja fuerte electrónica en Internet" para que

la ciudadanía pueda recibir y almacenar documentos de manera gratuita,

segura y permanente

En Euskadi existen multitud de potenciales emisores de documentos:

administraciones, empresas, banca, seguros, instituciones educativas,

suministradores de electricidad, gas, agua, telefonía, etc.

METAPOSTA estará disponible cualquier día del año y desde cualquier lugar

del mundo, y ofrece ventajas sustanciales en cuanto a plazos de entrega,

desplazamientos y coste de los envíos.

Se trata de un proyecto incluido en el Plan Euskadi en la Sociedad de la

Información 2010, inspirado en iniciativas similares que ya funcionan con éxito en los

países con servicios on-line más desarrollados.

57

Usos empresariales

Conclusiones

Estas tecnologías: PDF/A, PAdES, Custodio, evidencias electrónicas, METAPOSTA…

Proporcionan a ciudadanos y empresas soluciones para la realización de transacciones y

gestiones seguras por medios exclusivamente electrónicos.

Se trata de tecnologías para agilizar procesos, reducir costes, garantizar la seguridad de los

trámites y convertir tediosas gestiones en operaciones cómodas, sencillas y fiables.

Las transacciones y trámites digitales entre empresas, administraciones públicas e incluso

particulares pueden ahorrar tiempo, papel, desplazamientos y dinero.

Se están desarrollado herramientas para:

Generación automatizada de documentos en el formato PDF/A

Firma electrónica PAdES en lotes

Envíos masivos a plataformas de custodia

58

Más Información

www.edatalia.com

edatalia data solutions, s.l.Tlf : 943 440 710

edatalia@edatalia.com