Download - PAdES PDF Advanced Electronic Signature
PAdES – PDF Advanced Electronic SignatureFirma Electrónica de larga duración
2
Programa
Firma Electrónica de larga duración
INTRODUCCIÓN
CONCEPTOS PREVIOS
PAdES
3
“Lo bueno de Internet es que
nadie sabe que eres un perro”
Introducción
4
Algunas preguntas…
Introducción
En todo momento hay más de 1 billón de personas en la red
Más de 3 millones de usuarios nuevos semanales
Se crea un blog cada segundo
Se roba una identidad cada 79 segundos
Autenticidad
Certificados Digitales
Confidencialidad
No Repudio
Integridad
5
Algunas preguntas…
Introducción
Autenticación
¿La información ha sido enviada por la persona que dice que la ha enviado?
¿Quién accede a mi red es efectivamente quién dice ser?
Integridad
¿Alguien ha podido modificar el contenido?
Confidencialidad
¿La información ha sido leída por terceros?
Repudio (Negación de envío)
Si hay algún problema ¿podría el remitente negar la autoría del
documento?.
6
La firma electrónica hoy
Introducción
La factura electrónica es un elemento tractor de esta tecnología
Sin embargo, y a fin de fomentar el uso de la factura electrónica, las
exigencias de AEAT en esta materia son poco restrictivas y esto hace que
no se puedan extrapolar a otros procesos que requieran mayor seguridad y
confianza
‒ La variable “tiempo” complica los procesos electrónicos
Por este motivo aparecen otros nuevos soportes para documentos
electrónicos (PDF/A) y nuevos conceptos de firma electrónica:
– Completa
– Longeva
– PAdES
7
Introducción
8
Programa
Firma Electrónica de larga duración
CONCEPTOS PREVIOS
9
Certificados Digitales
Introducción
Es un archivo electrónico que identifica a un usuario
Es el equivalente electrónico a un Documento de Identidad.
Asocia una clave única a una identidad,
– Cada certificado está identificado por un número de serie único y tiene un
periodo de validez que está incluido en el certificado
– De tal forma que ésta queda fehacientemente ligada a los documentos
electrónicos sobre la que se aplica.
10
Certificados Digitales
Introducción
Un certificado electrónico consta de dos partes diferenciadas:
Clave pública: es la que le posibilita al destinatario verificar quien es el
autor del mensaje y la integridad de los datos enviados.
– Esta clave se comparte (al enviar documentos firmados) y es conocida por
otras Personas
– Contiene datos como el nombre, apellidos, razón social, CIF, e-mail…
Clave privada: nivel de seguridad para posibilitar el uso del certificado
– Debe permanecer bajo el exclusivo control de su propietario.
– Esta característica permite que una firma digital identifique en forma unívoca
al firmante.
Conocida una NO se obtiene la otra
11
Certificados Digitales
Confianza en el certificado
Podremos confiar en el certificado digital de una persona a la que no
conocemos, si dicho certificado está avalado por una entidad en la que sí
confiamos; es decir, si está avalado por un Prestador de Servicios de
Certificación en el que confiemos.
– El Prestador de Servicios de Certificación garantiza que el certificado es de fiar
mediante su firma digital en el mismo.
12
Certificados Digitales
Funciones de la Autoridad de Certificación
Gestionar el servicio de certificación digital
Definir las Políticas de certificación
Gestionar el directorio de certificados emitidos
Gestionar las listas de revocación (CRL) Cubrir la responsabilidad Civil.
Inscripción en el registro de entidades de certificación
Auditar las Autoridades de Registro (RA)
Gestionar la seguridad del sistema
Negociar el reconocimiento de los certificados mediante acuerdos con otras entidades de
certificación
Definir la estrategia del servicio de certificación actual y futuro.
Proporcionar un servicio de Hot-line 24/horas* 365días, de información, gestión y revocación.
13
Certificados Digitales
Datos que contiene el certificado
Cada certificado contiene información:
Del Titular: la identidad y su clave pública
De la autoridad certificadora: la identidad y la firma
Del propio certificado: número de serie, caducidad, etc.
Construidos según el estándar X.509 v3
14
Certificados Digitales
Usos
Clave de acceso a áreas restringidas
– Áreas físicas: para acceder a una Empresa, un Departamento, un PC, máquina
de café o para “fichar” a la entrada y salida de la Persona
– Acceso a web: Mayor seguridad que “usuario y contraseña”
Firma de documentos
– El emisor del documento se asegura que el documento no puede ser modificado
(integridad)
– El receptor puede comprobar de forma inequívoca la identidad del firmante, y
este no puede negar su autoría.
– Se puede firmar cualquier tipo de documento o mensaje (e-mail)
Cifrar una comunicación
– Garantiza que el documento sólo puede ser leído por su destinatario
(confidencialidad)
15
Certificados Digitales
Acceso restringido a webs
Se utiliza para controlar el acceso a un sitio Web o a determinadas páginas del
mismo
Mayor seguridad que login+password
Al intentar acceder, se solicita un certificado a quien visita la página
Se puede filtrar el acceso según los datos que contenga el certificado, si está
revocado,…
En el sitio Web es necesario tener instalado un certificado de servidor Web seguro
*SSL (Secure Sockets Layer)
16
Certificados Digitales
17
Certificados Digitales
Otros usos
Caixa Galicia y Caja Madrid fueron los primeros en incorporar el uso
del DNI-e a sus cajeros automáticos
Se podrá retirar efectivo, consultar saldo, solicitar préstamos y
realizar gestiones con la administración
18
Certificados Digitales
Tipos de Certificados Digitales: personal
Acredita la identidad de la persona firmante que siempre será una persona
física
No contiene datos de vinculación a ninguna entidad.
Usos indicados:
– Firma de correos electrónicos (asegurar la identidad del remitente, evitar
fraudes)
– Validación para accesos a zonas Web
– Trámites on-line que lo requieran
19
Certificados Digitales
Tipos de Certificados Digitales: de pertenencia a empresa
Garantiza la identidad de la persona física titular del certificado, así como
su vinculación a una determinada entidad en función del cargo que ocupa
en la misma.
Lo puede solicitar la propia persona física titular del certificado siempre que
disponga de la autorización de un representante de la empresa para la que
trabaja.
Usos indicados:
– Los mismos que el certificado personal
– Tramitaciones con las Administraciones.
20
Certificados Digitales
Tipos de Certificados Digitales: de persona jurídica
A nombre de una entidad, no de una persona
– Similar a un “sello de empresa”
En la solicitud ha de figurar un solicitante (“custodio”)
Quién puede ser solicitante (casos comunes: S.A., S.L.)
– Representante legal:
• Administrador Único / Solidario / Mancomunado
• Consejero Delegado
– Representante voluntario: Resto de casos
• IMPORTANTE: Necesario poder notarial específico para este caso
Usos indicados:
– Fundación Tripartita (bonificación por acciones de formación)
– Agencia Estatal Tributaria (declaraciones de la empresa)
21
Certificados Digitales
Tipos de Certificados Digitales: DNI electrónico
Acredita a una persona, no a su vinculación con una entidad
El chip electrónico contiene los mismos datos que aparecen impresos en la tarjeta
(datos personales, fotografía, Firma Electrónica, huella dactilar digitalizada) junto
con los certificados de Autenticación y de Firma Electrónica.
Capacidad de autenticación y firma pero no de cifrado
Únicamente en soporte tarjeta
El DNI electrónico estará disponible en toda España desde el 2008.
22
Certificados Digitales
Tipos de Certificados Digitales: para factura electrónica
A nombre de una entidad, no de una persona
– Similar a un “sello de empresa”
En la solicitud ha de figurar una persona física, titular del certificado, con
capacidad de representación dentro de la empresa ó autorizado por un
representante de la empresa para realizar facturación electrónica en nombre de
la misma.
Uso exclusivo para facturación electrónica
23
Llaves biométricas
Opciones adicionales a la de almacenar certificados digitales.
Identifican al usuario mediante medidas biométricas (huella dactilar)
Certificados Digitales
Soportes para certificados
Tarjetas
Permiten realizar una personalización
Requieren un lector USB o PCMCIA
Acceso protegido mediante PIN
Llaves USB
Diseñado para aplicaciones portátiles,
Conectividad sin cables adicionales.
Posibilidad de incorporar otros certificados, passwords,..
Software
El certificado está instalado dentro del equipo. Se pueden proteger mediante PIN.
Se permite la exportación a otros equipos
24
Certificados Digitales
Validez de un certificado/firma en el tiempo
Tiempo
Vigencia del certificadoFirma No Repudio
Tiempo
Vigencia del certificadoFirma Repudio
La capacidad de revocar un certificado es un derecho que asiste al titular del
mismo, o a las entidades que representa,
– Si el certificado es obtenido por terceros en conocimiento del PIN, podrían quedar
comprometidos por firmas no realizadas bajo su voluntad.
25
Certificados Digitales
Validez de un certificado
La validez de un Certificado depende primeramente de la credibilidad
de quien lo emite, es decir de la Autoridad de certificación.
Depende también del método y los recursos utilizados para su emisión:
soporte, identificación, seguridad, etc.
Finalmente la validez también depende del ámbito de reconocimiento
de este certificado.
26
Certificados Digitales
Proceso de emisión
Ministerio
de Interior
Dirección General
de Policía
ComisaríaComisaría Comisaría
DNI
Ministerio
de Industria
Autoridad
de Certificación
Autoridad
de Registro
Autoridad
de Registro
Autoridad
de Registro
Certificado Digital
27
Certificados Digitales
Ventajas de los certificados
Eliminación del papel en procesos empresariales (contratos, solicitudes
de vacaciones, ofertas, pedidos, ...).
Correspondencia instantánea con validez legal.
Trámites telemáticos con la Administración y otros organismos.
28
Firma Electrónica
Firma Electrónica
La firma electrónica es un conjunto de datos en forma electrónica, consignados
junto a otros o asociados con ellos, que pueden ser utilizados como medio de
identificación del firmante.
La firma electrónica avanzada es la firma electrónica que permite identificar al
firmante y detectar cualquier cambio ulterior de los datos firmados, que está
vinculada al firmante de manera única y a los datos a que se refiere y que ha sido
creada por medios que el firmante puede mantener bajo su exclusivo control.
Se considera firma electrónica reconocida la firma electrónica avanzada basada
en un certificado reconocido y generada mediante un dispositivo seguro de
creación de firma.
– La firma electrónica reconocida tendrá respecto de los datos consignados en forma
electrónica el mismo valor que la firma manuscrita en relación con los consignados
en papel.
29
Firma Electrónica
Firma Electrónica: proceso de firma
Clave privada
Documento
Certificado
Documento
Firmado
Herramienta
de Firma
La firma electrónica identifica al firmante y garantiza la integridad del
contenido del documento
30
Firma Electrónica
Cómo es un documento e-firmado (word)
31
Firma Electrónica
Cómo es un documento e-firmado (PDF)
32
Firma Electrónica
Cómo se comprueba una firma “sencilla”
Se debe comprobar :
Autenticidad del firmante
Integridad del contenido del documento
Reconocimiento del certificado utilizado
Caducidad del certificado utilizado
Estado de revocación del certificado utilizado - online
33
Cómo se comprueba una firma
Firma Electrónica
34
Firma Electrónica
Ejemplos de usos empresariales
Factura electrónica
Firma de actas/informes/ofertas/pedidos:‒ Los términos se acuerdan sobre sucesivas versiones del documento
‒ Una vez acordado, se Firma Electrónicamente por ambas partes.
‒ Al estar firmado, la información ya no puede ser modificada sin perder la firma
‒ Ahorro en tiempo y costes (más rápido que remitirlo en papel, no hay necesidad de
mensajería …)
Acceso restringido a una página web:‒ Trámites con la Administración
‒ Identificación en Intranet y Extranet
‒ Realización y gestión de pedidos
Firmas de documentación de sistemas de calidad
Formulario Electrónico:‒ El proveedor pone a disposición del Cliente un formulario dónde puede solicitar el pedido.
‒ El formulario ayuda al Cliente en el momento de informar los datos correspondientes.
‒ Evita errores.
‒ Los datos se integran fácilmente en el Sistema de Gestión del Proveedor
35
Firma Electrónica
Validez legal
Ley 59/2003
Misma validez que una firma manuscrita siempre que cumpla unas
condiciones:
– Sistema reconocido como tecnológicamente seguro
– Procedimiento debe cumplir con los requisitos establecidos por
ley
36
Firma Electrónica
¿Hace falta originales en papel?
37
Programa
Firma Electrónica de larga duración
PAdES
38
Introducción
PAdES
La firma electrónica puede tener lagunas legales
Hoy en día, para la realización de trámites se requiere métodos de
firma mucho más seguros y fiables
Ejemplo: documento electrónico
39
Qué es?
PAdES
PAdES es un conjunto de normas publicadas por el ETSI para apoyar a
los requisitos europeos para la firma electrónica. PAdES se basa en las
firmas existentes en PDF tal como se especifica en la norma ISO 32 000.
Incluye funciones de apoyo a la validación de las firmas que se
almacenan durante años o incluso décadas.
Firma digital longeva: aquella que tiene toda la información necesaria para
ser validada a largo plazo
‒ PAdES (Disponible desde Julio 2009) Homólogo al CAdES y XAdES. Soporte
AdES en documentos PDF.
‒ TS 102 778 (5 Partes) – Publicado por el ETSI
ETSI: (European Telecommunications Standards Institute)
40
Qué es?
PAdES
PDF Advanced Electronic Signature. PAdES es una norma que
estandariza la incorporación de firmas electrónicas a documentos PDF
con prestaciones similares a las firmas XAdES y CAdES.
Prestaciones fundamentales:
‒ Time-stamp
‒ Estado de revocación de un certificado en el momento de la firma
Otras prestaciones:
‒ La posibilidad de incorporar una referencia explícita a una política de firma
‒ La razón por la que se ha generado la firma
‒ El rol asumido por el firmante
‒ El lugar en el que se ha realizado la firma
‒ ....
41
PAdES
Tiempo
Vigencia del certificadoFirma No Repudio
Tiempo
Vigencia del certificadoFirma Repudio
42
Familia AdES - CAdES
PAdES
Puede firmar cualquier dato
2 métodos de firma:‒Detached: Los datos firmados están separados de la firma
‒Encapsulado: La firma se encapsula junto con los datos
A menudo requiere adaptaciones del software o realizar la firma con una
aplicación externa
Soporta múltiples firmas en serie o en paralelo
La apariencia depende del software utilizado
Validez a largo plazo
43
Familia AdES - XAdES
PAdES
Proporciona una solución XML
Puede firmar cualquier dato
A menudo requiere adaptaciones del software o realizar la firma con
una aplicación externa
Soporta múltiples firmas en serie o en paralelo
La apariencia depende del software utilizado
Validez a largo plazo
44
Familia AdES – PDF - PAdES
PAdES
Firmas contenidas en el PDF
Incluido en el estándar ISO 32000-1
Firma y verificación incluida en el software de PDF – no es necesaria
adaptación o programación
Soporta rellenado y firma secuencial para workflows de aprobación
Las firmas tienen un aspecto visual dentro del PDF
Validez a largo plazo
45
Dónde encontrar las especificaciones de PAdES?
PAdES
PADES especificación está formada por 5 partes, cuyos títulos se enumeran
a continuación. Una copia de las especificaciones PADES se pueden descargar
siguiendo estos enlaces:
1. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles; Parte 1: Información general PADES - un documento
marco para PADES
2. ETSI TS 102 778 PDF Firma Electrónica Avanzada perfiles Parte 2: Básico PADES - perfil basado en ISO 32000-1
3. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 3: PADES reforzada - PADES-BES y-EPES
perfiles PADES
4. ETSI TS 102 778 PDF avanzada Firma Electrónica perfiles; Parte 4: PADES a Largo Plazo - LTV-PADES perfil
5. ETSI TS 102 778 102 778 ETSI TS PDF Firma Electrónica Avanzada perfiles; Parte 5: PADES de contenido XML -
Perfiles para la firma XAdES
46
Validación desde Acrobat
PAdES
47
Firma Electrónica
Cómo se comprueba una firma completa
Para realizar una comprobación completa de una firma electrónica
se deben verificar las siguientes propiedades:
Autenticidad del firmante
Integridad del contenido del documento
Reconocimiento del certificado utilizado
Caducidad del certificado utilizado
Estado de revocación del certificado utilizado en el momento
de la firma
Sello de tiempo certificado por una Autoridad homologada
48
Cómo se comprueba una firma
Firma Electrónica
Sin OCSP ni TSP Sin OCSP ni TSP
Sin OCSP ni TSP CON OCSP y TSP
49
Cómo se comprueba una firma
Firma Electrónica
Sin OCSP ni TSP Sin OCSP ni TSP
Sin OCSP (CRL Online) CON OCSP (CRL)
50
Cómo se comprueba una firma
Firma Electrónica
Sin OCSP ni TSP Sin OCSP ni TSP
Sin TSP CON TSP
51
Cómo se comprueba una firma
Firma Electrónica
52
En resumen, cómo se relacionan PDF/A y PAdES?
PAdES
PAdES está diseñado para apoyar documentos que pueden ser archivados
durante largos períodos, como es PDF/A-1.
PAdES y PDF/A-1 se puede aplicar independientes entre sí.
Sin embargo, se recomienda que los documentos que se van a archivar se
convierten en PDF/A-1 antes de firmar con PAdES.
53
PAdES
54
PAdES
Más sobre PAdES
Se recomienda la participación en el grupo STF364 (Specialist Task Force)
que generó la norma PAdES
Tienen un portal que permite dirigir nuevas preguntas. Éstas son discutidas
y respondidas por los componentes del STF 364 y, de considerarlo oportuno,
preguntas y respuestas pasan a engrosar la FAQ.
http://stf364ms.e.ac.upc.edu/phpmyfaq/index.php
55
Usos empresariales
Generación• Plantillas – Datos - Maquetación• Transformación a PDF/A• Anexar ficheros
Seguridad• Autenticación, Confidencialidad• Firma y validación• Timestamp
Envío • eMail• FTP – sFTP• Web Service
Custodio• Intranet / Extranet• Trazabilidad / Accesibilidad• Terceros de confianza: ej Metaposta
56
Usos empresariales
Metaposta
Se trata de un "buzón y caja fuerte electrónica en Internet" para que
la ciudadanía pueda recibir y almacenar documentos de manera gratuita,
segura y permanente
En Euskadi existen multitud de potenciales emisores de documentos:
administraciones, empresas, banca, seguros, instituciones educativas,
suministradores de electricidad, gas, agua, telefonía, etc.
METAPOSTA estará disponible cualquier día del año y desde cualquier lugar
del mundo, y ofrece ventajas sustanciales en cuanto a plazos de entrega,
desplazamientos y coste de los envíos.
Se trata de un proyecto incluido en el Plan Euskadi en la Sociedad de la
Información 2010, inspirado en iniciativas similares que ya funcionan con éxito en los
países con servicios on-line más desarrollados.
57
Usos empresariales
Conclusiones
Estas tecnologías: PDF/A, PAdES, Custodio, evidencias electrónicas, METAPOSTA…
Proporcionan a ciudadanos y empresas soluciones para la realización de transacciones y
gestiones seguras por medios exclusivamente electrónicos.
Se trata de tecnologías para agilizar procesos, reducir costes, garantizar la seguridad de los
trámites y convertir tediosas gestiones en operaciones cómodas, sencillas y fiables.
Las transacciones y trámites digitales entre empresas, administraciones públicas e incluso
particulares pueden ahorrar tiempo, papel, desplazamientos y dinero.
Se están desarrollado herramientas para:
Generación automatizada de documentos en el formato PDF/A
Firma electrónica PAdES en lotes
Envíos masivos a plataformas de custodia
58
Más Información
www.edatalia.com
edatalia data solutions, s.l.Tlf : 943 440 710