Firma Digital, Certificado Electrónico y Factura Electrónica

LA FIRMA ELECTRÓNICA

Régimen jurídico aplicable

La base legal de la firma electrónica está recogida en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica y se desarrolla en más profundidad en la sección Base legal de las Firmas que retomaremos en el punto 1.3. Tipos de firma. La sección también explora, bajo que circunstancias la ley equipara la firma electrónica a la firma manuscrita, añade notas respecto a la normativa europea y hace distintas referencias legales a firmas con sellos de tiempo y avanzadas.

Concepto

La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son:

Identificar al firmante de manera inequívoca.

Asegurar la integridad del documento firmado (Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación).

Asegurar el no repudio del documento firmado (Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no ha firmado el documento).

Tipos de firma

Según la Ley 59/2003, se distinguen entre tres tipos de firma, recogidas en los artículos 3.1) 3.2) y 3.3):

"La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".

"La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control".

Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Según el artículo 3.4) de la ley, la firma electrónica reconocida es la única que puede ser considerada equivalente a la firma manuscrita:

La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.

Usos

La firma electrónica aporta tres características en la comunicación por Internet: identificación del firmante, integridad de los datos y no repudio.

Las aplicaciones prácticas de la firma electrónica son muchas y variadas, generalmente, orientadas a realizar operaciones por Internet que en la vida cotidiana requieren de una firma para validarlas.

Algunos ejemplos de operaciones que se pueden realizar actualmente haciendo uso de la firma digital son:

Realización y presentación de la Declaración de la Renta a través de Internet.

Presentación de documentación en los registros electrónicos administrativos.

Petición y descarga on-line de la vida laboral.

Recepción y firma de notificaciones electrónicas de las Administraciones.

Firma de correos electrónicos.

Firma de facturas electrónicas.

Formatos

Se denomina formato de firma a como se genera el documento de firma y como se guarda o estructura la información de firma en el documento generado.

La existencia de múltiples formatos de firma se debe a razones históricas, a como se ha ido introduciendo la firma en formatos de documentos ya existentes y a como se han ido añadiendo funcionalidades a lo largo del tiempo.

Según las necesidades o escenarios específicos puede interesar realizar la firma electrónica mediante los diferentes formatos existentes de firma existentes.

Existen formatos básicos, que aportan todos los elementos necesarios para crear una firma electrónica avanzada o reconocida:

XML Signature: Es una especificación desarrollada bajo el amparo del w3c que permite la firma (completa o parcial) de documentos utilizando una notación XML estándar. XML Signature ofrece algunas ventajas frente a la firma tradicional ya que al estar basada en texto plano su estructura es legible por humanos. Funcionalmente, tiene mucho en común con PKCS#7, pero es más extensible y está orientada hacia la firma de documentos XML.

Las firmas XML se pueden utilizar para firmar datos o recursos de cualquier tipo, normalmente documentos XML, pero cualquier cosa que sea accesible a través de una URL puede firmarse. Una firma XML que se utiliza para firmar un recurso fuera del documento XML que la contiene se llama una firma separada (detached), figura 1.1. Si se utiliza para firmar una parte del documento que la contiene, se llama una firma envuelta (enveloped). Si contiene los datos firmados dentro de sí mismo se llama una firma envolvente (enveloping).

XML Detached

PDF-Signature: es una firma embebida en documentos PDF acordes a estándares ISO-32001. El que la firma embebida en un documento PDF hace que este formato sea el más accesible. Es decir, una firma embebida en un PDF podría ser visualizada por un usuario que disponga cualquier lector de PDF estándar, como pudiera ser Acrobat Reader.

CMS (Cryptographic Message Syntax) / PKCS#7: Formato binario usado para la firma, autenticación, resumen y encriptación de documentos. Fue diseñado, principalmente, para el intercambio de información a partir de correos electrónicos. Usa el estándar PKCS#7. Este formato además incorpora información de sellado de tiempo obtenidos por una TSA (Time Stamp Authority).

También existen formatos avanzados:

XAdES (Firma electrónica avanzada XML): Es una familia de firmas avanzadas, basadas en formatos XML. A diferencia que un formato embebido (como pudiera ser el PDF-Signature), es un lenguaje pensado para conversar entre máquinas, es decir, el intercambio de información entre sistemas automatizados es el propósito de usar un formato basado en XML. Dentro de este formato de firmas, se han ido evolucionando distintas extensiones que dan respuesta a distintas necesidades y escenarios, las extensiones descritas a continuación no tienen que considerarse de menos a más en el grado de robustez, fiabilidad o seguridad, sino que deben considerarse como evoluciones del formato que dan respuesta a escenarios distintos, y no por ello compiten entre sí.

XAdES-BES: Firma básica que simplemente cumple los requisitos legales de la Directiva para firma electrónica avanzada.

XAdES-EPES. XAdES-BES al que se le incorpora información sobre la política de firma, como pudiera ser aquella información sobre el certificado empleado y la CA que lo emitió.

XAdES-T (timestamp). Es un XAdES-EPES al que se le añade una segunda firma, pero en esta ocasión, una firma realizada por una TSA (Time Stamp Authority). Esta segunda firma aporta información específica sobre la fecha y hora exacta de la firma.

XAdES-C (complete). Es un XAdES-T al que se le añaden referencias sobre los certificados y listas de revocación utilizadas para la validación del propio certificado utilizado para la firma. Por ejemplo: fue firmado por Certificado CCC emitidos por CA AAA y cuya CRL RRRR fue consultada en el momento de la validación.

XAdES-X (extended). Es un XAdES-C al que se le añade información sobre la fecha y hora de los datos introducido para la extensión C.

XAdES-XL (extended long-term).Es un XAdES-X al que se le incorporan los certificados (sólo clave pública) y las fuentes de validación que se usaron. A diferencia del C, donde sólo se incluía una referencia (un puntero), en este formato se embebe toda esa información. Por ejemplo, en el caso de una CRL, se incorpora la lista firmada de certificados revocados que fue consultada en ese momento. Esto se utiliza para garantizar la validación muchos años después de la firma incluso en el caso que la CA que emitió el certificado, o la fuente de validación (CRL) que se consultó, ya no esté disponibles (publicadas por ejemplo). Es decir, garantiza la validación off-line a largo plazo.

XAdES-A (archivado). Este formato incluye toda la información anterior pero incluye metainformación asociada a políticas de refirmado. Una política de refirmado establece un período de caducidad de la firma digital, y superado este tiempo, se procede a un refirmado. El escenario ideal para este formato de firma son aquellos documentos cuya validez sea muy elevada: hipotecas, títulos universitarios, escrituras, etc. 15, 20, 50 años, etc.

En el caso de firma de facturas electrónicas, en formato Facturae, el formato de firma es el XAdES.

PAdES (Firma electrónica avanzada en formato PDF): Es un conjunto de restricciones y extensiones a PDF y al estándar ISO 32000-1 haciéndolo adecuado para la firma electrónica avanzada.

Mientras que con PDF y el ISO 32000-1 se da un marco para firmar electrónicamente los documentos, la firma PAdES específica perfiles precisos para el uso de firmas electrónicas avanzadas bajo la Directiva de la Unión Europea 1999/93/EC.

Un beneficio importante de PAdEs es que los documentos firmados electrónicamente permanecen válidos durante largos periodos de tiempo, incluso si los algoritmos criptográficos subyacentes están rotos.

Los documentos firmados electrónicamente con formato PAdES pueden ser usados o archivados durante muchos años, incluso décadas, de manera que, en cualquier momento en el futuro, a pesar de los posibles avances tecnológicos, debe ser posible validar el documento para confirmar que la firma era válida en el momento en el que fue firmada, un concepto conocido como Long-Term Validation (LTV).

Para documentos en formato PDF, los datos de la firma se incorporan directamente en el documento PDF firmado, permitiendo que el contenido del archivo PDF sea copiado, almacenado y distribuido como un archivo electrónico simple. La firma también puede tener una representación visual como un campo de formulario, tal como podría tenerla en un documento impreso.

Una ventaja significativa del formato PAdES es que se despliega por medio de un software ampliamente reconocido como son los lectores PDF, es decir, no se requiere el desarrollo o la personalización de software especializado.

En la siguiente lista se definen brevemente los perfiles definidos por PAdES (ETSI TS 102 778):

PAdES Basic. Perfil básico que cumple con los requisitos especificados en la norma ISO 32000-1.

PAdES-BES Profile (Enhaced). Este perfil especifica una firma PDF avanzada basada en CAdES-bes e incorpora opción de incluir en la firma un sello de tiempo (CADES-T).

PAdES-EPES Profile (Enhaced). Este perfil especifica una firma PDF avanzada basada en CAdES-EPES. Es el PAdES-BES Profile añadiendole un identificador de política de firma y, opcionalmente, una referencia al tipo de compromiso adquirido.

PAdES-LTV Profile (Long Term).Es el formato de firma longeva. Este perfil permite prorrogar por tiempo indefinido la validez de las firmas en formato PDF. Puede ser usado en conjunción con el PAdES-CMS, PAdES-BES o perfiles PADES-EPES. Este perfil es utilizado para garantizar la validación tras muchos años después de la realización de la firma. Es decir, garantiza la validación a largo plazo.

Es muy recomendable firmar documentos en formato PDF (formato de firma PAdES) pues el destinatario de la firma puede comprobar fácilmente, desde el mismo visualizador del PDF Adobe Reader, la firma y el documento original firmado. Con otros formatos de firma esto no es posible si no se utilizan herramientas externas.

CAdES (Firma electrónica avanzada CMS Advanced Electronic Signatures): Esun conjunto de extensiones de datos firmados con sintaxis de mensajes criptográficos (CMS)por lo que es adecuada para la firma electrónica avanzada.

Mientras el formato CMS es un CAdES-T (timestamp) marco general para firmar documentos digitalmente, tales como E-Mail (S / MIME) o PDF, CAdES especifica perfiles precisos de datos firmados con CMS para su uso con firma electrónica avanzada en el marco de la Directiva Europea 1999/93/CE.

Un beneficio importante del formato CAdES es que los documentos firmados electrónicamente pueden seguir siendo válidos durante largos períodos, incluso si los algoritmos criptográficos subyacentes se rompen.

El principal documento que describe este formato es el ETSI TS 101 733 Firma Electrónica e Infraestructura (ESI) – CMS Advanced Electronic Signature (CAdES).

El formato CAdES tiene definidos 6 perfiles diferentes, según el nivel de protección ofrecido. Cada perfil incluye y mejora al anterior:

CAdES. Forma básica que simplemente cumple los requisitos legales de la Directiva para firma electrónica avanzada.

CAdES-T (timestamp). Se le incorpora información el campo con sello de tiempos para proteger los datos de un posible