Este artículo explica cómo verificar firmas electrónicas usando TrustedX.

Descripción del proceso de verificación de firma electrónica

El procedimiento de verificación de las firmas electrónicas se detalla en los estándares de ETSI (www.etsi.org), W3C (www.w3.org) e IETF (www.ietf.org). Para cada firma electrónica el proceso de verificación puede dar como resultado:

  • Firma válida
  • Firma inválida
  • Verificación incompleta

El procedimiento de verificación de firmas electrónicas incluye los siguientes pasos:

  • Verificar la fecha en la que se realizó la firma electrónica.
  • Obtener y validar los certificados en el momento de la firma electrónica.
  • Obtener la información del estado de los certificados en el momento de la firma electrónica (p.e. CRL u OCSP) para comprobar que éstos no estaban revocados.
  • Verificar la integridad de los datos electrónicos mediante los algoritmos criptográficos reconocidos.
  • Comprobar el significado legal/contractual, expresado mediante un conjunto de políticas de firma electrónica.
  • Comprobar el “rol” del firmante (por ejemplo: director comercial), qué tipo de compromisos adquiere (por ejemplo: es el autor del documento, es el aprobador del documento o que únicamente lo ha enviado, distribuido o recibido) y/o donde se ha realizado la firma electrónica (por ejemplo: en qué ciudad).
  • Determinar los datos completos del firmante (p.e. nombre, apellidos, organización, tipo de persona, NIF/CIF/VAT, etc.).
  • Determinar la fiabilidad que las CAs, VAs y/o TSAs merecen en el contexto corporativo para determinar el nivel de confianza de la firma electrónica .

Uno de los problemas que conlleva la implantación del procedimiento de verificación de firmas electrónicas es la gestión de la confianza. Entre otros, la gestión de las CAs reconocidas es uno de los parámetros de confianza críticos; no todas las CAs ofrecen las mismas garantías de seguridad técnica ni jurídicas y por lo tanto no todas las firmas electrónicas electrónicas tienen el mismo valor para los distintos procesos de negocio.

Tradicionalmente, las herramientas usadas para la implantación de los mecanismos de seguridad no aportan toda la funcionalidad necesaria, por lo que su uso repercute en la complejidad de la aplicación. Uno de los requisitos fundamentales para la implantación los mecanismos de seguridad que las herramientas de integración aporten toda la información en un formato fácil de manejar, de forma uniforme e inteligible para las aplicaciones, independientemente del formato y perfil de firma electrónica.

Por otra parte, habitualmente, el proceso de verificación de la firma electrónica debe poder repetirse, incluso años después de su generación. Para ésto, las herramientas de firma electrónica deben ser capaces de preservar las propiedades de las firmas electrónicas a lo largo del tiempo tal y como se especifica en los estándares de ETSI e IETF. Para saber cómo gestionar la longevidad de las firmas electrónicas con TrustedX, ver "No repudio y firmas digitales longevas (XAdES, CAdES y PAdES)".

Implementación del proceso de verificación de firma electrónica con TrustedX

El uso de TrustedX permite a la aplicación delegar por completo la lógica del proceso de verificación de la firma electrónica en un servicio de confianza corporativo. De esta manera, será TrustedX quien se encargue de la gestión de las políticas de firma electrónica, la gestión de la confianza de terceras partes (TTP) y ofrezca un sistema de auditoría único.

Desde la perspectiva de la aplicación, la verificación de una firma electrónica consistirá en enviar a TrustedX los documentos a verificar para obtener una declaración de validez de la firma electrónica (válida, inválida o incompleta) y su grado de confiabilidad. Los formatos de firma electrónica de documentos pueden ser PKCS#7/CMS, PDF signature, S/MIME, CAdES, XAdES, PAdES y WS-Security.

Si únicamente se requiere la validación de un certificado digital, se procederá de igual forma (ver “Validación de certificados digitales (X.509v3)”).

Tal y como ya se ha dicho, TrustedX actúa como un proveedor de confianza que permite centralizar y aplicar a nivel corporativo las políticas de firma electrónica. Por ejemplo, el hecho de confiar, y en qué grado, en un conjunto de CAs, de TSAs o en determinados algoritmos criptográficos de firma electrónica y cómo se debe validar el certificado digital no será una decisión de la aplicación, sino corporativa y por lo tanto gestionada por TrustedX.

En este sentido, TrustedX proporciona a las aplicaciones un informe de confianza uniforme acerca de una firma electrónica independientemente del formato de ésta y ajustado a las políticas establecidas corporativamente. Esto mejora notablemente la gestión de la confianza en la corporación ya que se centraliza ésta en TrustedX y no en las múltiples aplicaciones de forma individual.

Los servicios de TrustedX se ofrecen como servicios web y utilizables mediante SOAP/WS, REST/WS o la API de Java de TrustedX. Para conocer las diferentes arquitecturas de integración de TrustedX, consultar “Arquitecturas de Integración con TrustedX”.

A continuación se muestra un ejemplo de solicitud de verificación de firmas electrónicas en formato PKCS#7/CMS usando el estándar DSS de OASIS, donde los documentos a verificar se incluyen el elemento :

<SOAP-ENV:Envelope Attributes>
<SOAP-ENV:Header>
...
</SOAP-ENV:Header>
<SOAP-ENV:Body Attributes>
<dss:VerifyRequest Profile="urn:safelayer:tws:dss:1.0:profiles:cmspkcs7sig:1.0:verify" Attributes>
<dss:OptionalInputs>…</dss:OptionalInputs>
<dss:InputDocuments>…</dss:InputDocuments>
<dss:SignatureObject>…</dss:SignatureObject>
</dss:VerifyRequest>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope> 

La respuesta de TrustedX será un documento XML indicando los resultados de la verificación de la firma electrónica. Dicho documento también informa de los datos relacionados con el firmante (por ejemplo: nombre, departamento, “rol”, etc…) y opcionalmente los datos completos de los certificados digitales, sellos de tiempo y respuestas CRL/OCSP utilizadas. Tras la verificación de la firma electrónica, TrustedX puede también devolver la firma electrónica actualizada con un sello de tiempo y las evidencias electrónicas del estado de los certificados digitales según los formatos de ES-T, ES-C y ES-A definidos en CAdES/XAdES.

De la información de respuesta de verificación de una firma electrónica, TrustedX incluye un diagnóstico concreto del nivel de confianza que el sistema resuelve acerca de la firma electrónica. Este diagnóstico se expresa en un valor decimal 0 (de poca confianza), 1 (de confianza media), 2 (de confianza) o 3 (de confianza alta), y en un valor textual denominado etiqueta de confianza (por ejemplo, DNIe, FNMT Class2, Verisign Class3, etc.). De esta forma, las aplicaciones pueden ignorar cualquier indicio de complejidad asociada a la confianza de la firma electrónica (formatos de firma electrónica, Certificados, CRLs, etc.) y fijarse única y exclusivamente en un valor decimal y una cadena de texto.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio