Consejo para Firma Digital

[URBANO]

Vamos por parte. He estado mirando todos vuestros comentarios y enlaces y os comento como llevo el tema.

Lepe he estado viendo los servicios de firmaprofesional y entiendo que los productos que poseen solo pueden utilizar la firma que ellos generan (que vale un dinero, por supuesto. Por ejemplo: ProSign) y luego posee una serie de soluciones “Plataforma de firma electronica” que puede que si permita firmar con certificados de FMNT. Como todo esto son deducciones, me he puesto en contacto con ellos y les he planteado mis dudas. En el momento que me responda os comento.

Con respecto a los tipos de firma, entiendo que cualquier de estos ActiveX o componentes generan la firma electrónica avanzada (firma que permite identificar al firmante y comprobar la integridad de los datos firmantes, por estar vinculada al firmante de manera exclusiva). Lo que no van a generar es firma electrónica reconocida (que legalmente es la única equiparable a la manuscrita), ya que esta es igual que la avanzada, pero la tiene que haber generado un dispositivo seguro. He estado buscando información sobre dispositivos seguros y por lo que he leído ningún software podría cumplir la norma para ser certificado como dispositivo seguro. Por lo que para poder realizar esta firma hay que utilizar dispositivos hardware ya certificados (como comprenderéis no me voy a poner a desarrollar uno, ni se, ni tengo tiempo, ni medios, jejejeje). Buscando algo más, también he leído que la firma avanzada es válida en cualquier juicio y que es el juez el que interpreta la validez del documento. Luego pienso que un documento firmado con una firma avanzada es completamente legal. Y también hay que tener en cuenta que personalmente todas las tramitaciones que he realizado con la administración y ha requerido de mi firma digital la he realizado con mi certificado de la FMNT que esta alojado en el contenedor de Windows (soporte no seguro) y entiendo que estas son todas válidas.

Con respecto a las aplicaciones que me comenta Neftali, estoy mirando mas detenidamente ClickSign y Sinadura. Me he puesto en contacto con ellos para aclarar varios conceptos y estoy esperando respuesta.

Con respecto a los ActiveX o componente:
- He visto la pagina de neevia y esta posee un componente para crear pdf , pero no dice nada que pueda ser firmado.
- SecureBlackBox , lo he descargado y lo estoy evaluando. Con la versión Standard pensais que puede ser suficiente para lo que necesito?
- Aloha, he revisado la documentación. Voy a probarlo y averiguar su coste.
- Chilkat tiene una gran cantidad de ActiveX. Necesito más tiempo para revisarlos. Además no he trabajado nunca con ActiveX , luego me cuesta más.
Seguiré investigando y ya os comento más sobre estos componentes y activex.



Una duda más que se me ha planteado. Observo en documentos firmados digitalmente, que al final del documento ponen que para verificar la validez del mismo entren una página web ’www…..’ e introduzcan el código seguro '00cdx…..’. Este número como se genera? Lo genera la firma?

Bueno, puede que haya sido algo extenso, pero prefiero dejarlo todo bien explicado. Graicas de nuevo por sus comentarios.

[[Lepe]]

Hombre, a mí no me interesa crear una firma avanzada, yo quiero la reconocida (me interesa que sea equiparable a la firma manuscrita).

Por supuesto que la firma avanzada es legal, pero también lo es la simple . Depende de tus necesidades y lo que quieras sea demostrable en un juicio.

En principio debes hacer una firma avanzada, para "convertirla en reconocida" se debe cumplir:
- Que hayas usado un certificado reconocido (FNMT, Direccion General de la Policia [CA para el dnie] etc)
- Que haya sido creado con un SSCD (dnie, tarjeta/token criptográfico)

He marcado en negrita algunas cosas para que vea que un software sí puede generar una firma reconocida.

23399 LEY 59/2003, de 19 de diciembre, de firma electrónica.
45338 Sábado 20 diciembre 2003 BOE núm. 304
TÍTULO IV, CAPITULO 1, Artículo 24

Cita:

Empezado por BOE

2. Un dispositivo de creación de firma es un pro-
grama o sistema informático que sirve para aplicar los
datos de creación de firma.
3. Un dispositivo seguro de creación de firma es
un dispositivo de creación de firma que ofrece, al menos,
las siguientes garantías:
a) Que los datos utilizados para la generación de
firma pueden producirse sólo una vez y asegura razo-
nablemente su secreto.
b) Que existe una seguridad razonable de que los
datos utilizados para la generación de firma no pueden
ser derivados de los de verificación de firma o de la
propia firma y de que la firma está protegida contra
la falsificación con la tecnología existente en cada
momento.
c) Que los datos de creación de firma pueden ser
protegidos de forma fiable por el firmante contra su uti-
lización por terceros.
d) Que el dispositivo utilizado no altera los datos
o el documento que deba firmarse ni impide que éste
se muestre al firmante antes del proceso de firma.

Cita:

Empezado por URBANO

Una duda más que se me ha planteado. Observo en documentos firmados digitalmente, que al final del documento ponen que para verificar la validez del mismo entren una página web ’www…..’ e introduzcan el código seguro '00cdx…..’. Este número como se genera? Lo genera la firma?

Creo ahí tienes la diferencia entre avanzada/reconocida.
En avanzada sí puedes modificar el documento antes** de la firma para incrustar texto o imágenes.

En reconocida no podrías.

El tema de los certificados por software de la FNMT es delicado, ya en kriptópolis le dedicaron un post bastante largo y didáctico. Supuestamente la aeat está obligandote a usar un contenedor por software que tiene implicaciones que no te advierten.

También hay otro detalle del que no hemos hablado y es que la firma electrónica no garantiza que ese documento fue firmado en la fecha que indica el texto o documento. La FNMT tiene servicio de pago de sellado de tiempo (TIMESTAMPING)... después de tirar la piedra escondo la mano...

** Aclaración: ClickSign por ejemplo modifica el documento a firmar incluyendo su logo en versión gratuita o bien los datos de los firmantes en la versión pro. Por supuesto no voy a poner en duda a una de las máximas autoridades en la materia, pero al menos en mi caso no es viable, ya que previamente he hecho un HASH al documento a firmar y lo utilizo como clave de encriptación de otro proceso encadenado. La simple modificación del PDF invalidaría el proceso encadenado. Supongo la versión de pago podrá eliminar la modificación del PDF; entraré en materia una vez tenga mi dnie (la semana que viene).

[[Lepe]]

Mi turno (de como lo llevo).

Antes de empezar, debo recordar que no todos tenemos las mismas necesidades, por tanto, evaluad por vuestra cuenta

Isigma: ClickSign tanto la versión gratuita como la PRO son programas finales para el usuario. La versión PRO permite depositar los documentos a firmar en una carpeta y obtienes los firmados en otra, es una característica que soportan casi todos los programas de pago. Son asequibles en cuanto a precio y compatibles con factura-e.

eldos: en PDFSecureBlackBox se distribuyen los .dcu en la versión de prueba. Trae muchos proyectos delphi que funcionan "out of the box", de hecho el ejemplo sobre certificados, detectó tanto el dnie como el de FNMT (por software). La documentación es muy buena. Solo me queda una duda, ya que dice que ese pack inlcuye las funciones principales del pack PKISecureBlackBox y no sé exactamente cuales son. Si nos decidimos por ellos habrá que preguntar. En caso de que sea necesario comprar una licencia del PKI, sale más rentable comprar el pack "SecureBlackbox Data Security" (La versión estandard no lleva el pack para firmar PDF)

neeviapdf: PDFsign/encrypt Permite firmar y encriptar a través de interfaces COM ( CreateOleObject("neevia.pdf") ). Además también tiene otros componentes para crear el PDF desde cero.

aloaha: Las versiones light y Pro son programas para el usuario final, la primera en la que se puede usar la programación via objetos COM es la enterprise y se sale fuera de mis necesidades (aporta mucho más de lo que necesitamos). Tienen una aplicación gratuita "Aloaha sign!" para firmar PDFs, funcionó muy bien, detectó el lector de tarjetas y muestra una ventanita en el área de notificación de windows cada vez que sacas o metes el dnie. La única pega es que acepta un PIN numérico y el mio es alfanumérico. Supongo en versiones de pago eliminarán esa restricción.

Chilkat: Crypt2 es un activeX que se registra desde Component-> install ActiveX. La ayuda que está documentada es buena, aunque todavía te encuentras algún que otro "to be documented" en algunos métodos. Tiene ejemplos delphi y hasta donde he visto tanto la documentación como ejemplos son Online. No he podido ver si admite tarjetas inteligentes es decir, obtener el certificado digital alojado en dnie.

Lo ideal sería encontrar un activeX con las funciones de ClickSign, simple para el usuario e indoloro para el programador.