Firmar con AutoFirma y fichero PFX

[delphiGar]

ok, muchas gracias, ya cuentas.

[razorxxx]

Cita:

Empezado por delphiGar

ok, muchas gracias, ya cuentas.

Me responden lo siguiente:

Código:

Hemos actualizado el documento de especificaciones y se publicará en breve.

Para la firma del registro de facturación se debe usar SHA-256.
SHA-1 únicamente es por necesidades de la política de firma de la AGE.
El DigestValue correcto, y mientras la política no cambie, es: G7roucf600+f03r/o0bAOQ6WAs0=

[delphiGar]

Cita:

Empezado por razorxxx

Me responden lo siguiente:

Código:

Hemos actualizado el documento de especificaciones y se publicará en breve.

Para la firma del registro de facturación se debe usar SHA-256.
SHA-1 únicamente es por necesidades de la política de firma de la AGE.
El DigestValue correcto, y mientras la política no cambie, es: G7roucf600+f03r/o0bAOQ6WAs0=

ok, muchas gracias razorxxx

[bmfranky]

Cita:

Empezado por razorxxx

Me responden lo siguiente:

Código:

Hemos actualizado el documento de especificaciones y se publicará en breve.

Para la firma del registro de facturación se debe usar SHA-256.
SHA-1 únicamente es por necesidades de la política de firma de la AGE.
El DigestValue correcto, y mientras la política no cambie, es: G7roucf600+f03r/o0bAOQ6WAs0=

Hola, ya se ha publicado...

[bmfranky]

Hola, la dll, que uso me define estos parametros, no seran buenos verdad.

Código:

 public static DigestMethod SHA1 = new DigestMethod("SHA1", "http://www.w3.org/2000/09/xmldsig#sha1", "1.3.14.3.2.26");
 public static DigestMethod SHA256 = new DigestMethod("SHA256", "http://www.w3.org/2001/04/xmlenc#sha256", "2.16.840.1.101.3.4.2.1");
 public static DigestMethod SHA512 = new DigestMethod("SHA512", "http://www.w3.org/2001/04/xmlenc#sha512", "2.16.840.1.101.3.4.2.3");

[razorxxx]

Cita:

Empezado por bmfranky

Hola, ya se ha publicado...

Pues manda narices. Ahora dicen que el algoritmo de hash es 'http://www.w3.org/2001/04/xmlenc#sha1', y resulta que al firmar con Autofirma da error. Sin embargo, si le dejamos el anterior valor 'http://www.w3.org/2000/09/xmldsig#sha1' sí firma, y de hecho es el mismo que sigue estando en el ejemplo firmado. No entiendo nada...

Por cierto, he conseguido aplicar el algoritmo sha256 para la firma en el AutoFirmaCommandline, pero me siguen faltando 4 líneas en las que se sigue especificando 'http://www.w3.org/2001/04/xmlenc#sha512':

Código:

AutoFirmaCommandLine.exe sign -i "fichero_entrada.xml" -o "fichero_salida.xml" -format xades -algorithm SHA256withRSA -config "format=XAdES Enveloped \nincludeOnlySignningCertificate=true \npolicyIdentifier=urn:oid:2.16.724.1.3.1.1.2.1.9 \npolicyIdentifierHash=G7roucf600+f03r/o0bAOQ6WAs0= \npolicyIdentifierHashAlgorithm=http://www.w3.org/2000/09/xmldsig#sha1 \npolicyQualifier=https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf" -store pkcs12:"certificado.pfx" -password 1234 -filter subject.contains:XXXXXXXXX

No obstante, la web valide.redsara.es me dice que la firma es válida, pero no sé si estaría cumpliendo al 100% con lo que manda el reglamento.

[razorxxx]

Cita:

Empezado por razorxxx

Pues manda narices. Ahora dicen que el algoritmo de hash es 'http://www.w3.org/2001/04/xmlenc#sha1', y resulta que al firmar con Autofirma da error. Sin embargo, si le dejamos el anterior valor 'http://www.w3.org/2000/09/xmldsig#sha1' sí firma, y de hecho es el mismo que sigue estando en el ejemplo firmado. No entiendo nada...

Por cierto, he conseguido aplicar el algoritmo sha256 para la firma en el AutoFirmaCommandline, pero me siguen faltando 4 líneas en las que se sigue especificando 'http://www.w3.org/2001/04/xmlenc#sha512':

Código:

AutoFirmaCommandLine.exe sign -i "fichero_entrada.xml" -o "fichero_salida.xml" -format xades -algorithm SHA256withRSA -config "format=XAdES Enveloped \nincludeOnlySignningCertificate=true \npolicyIdentifier=urn:oid:2.16.724.1.3.1.1.2.1.9 \npolicyIdentifierHash=G7roucf600+f03r/o0bAOQ6WAs0= \npolicyIdentifierHashAlgorithm=http://www.w3.org/2000/09/xmldsig#sha1 \npolicyQualifier=https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf" -store pkcs12:"certificado.pfx" -password 1234 -filter subject.contains:XXXXXXXXX

No obstante, la web valide.redsara.es me dice que la firma es válida, pero no sé si estaría cumpliendo al 100% con lo que manda el reglamento.

Me confirman que ha sido una errata y que ya lo han corregido y publicado. Estoy esperando a que me digan si el fichero de firma tal cual lo tengo cumpliría con las exigencias del reglamento.

[bmfranky]

Hola podriais confirmarme que estos parametros serian correctos para la firma.

Código:

//Esto esta definido por la dll no lo puedo cambiar

public static DigestMethod SHA1 = new DigestMethod("SHA1", "http://www.w3.org/2000/09/xmldsig#sha1", "1.3.14.3.2.26");
//



parametros.SignaturePolicyInfo = new SignaturePolicyInfo
{
    PolicyIdentifier = "urn:oid:2.16.724.1.3.1.1.2.1.9",
    PolicyDigestAlgorithm = DigestMethod.SHA1,
    PolicyHash = "G7roucf600+f03r/o0bAOQ6WAs0=",
    PolicyUri = "https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf"
};

[razorxxx]

Cita:

Empezado por bmfranky

Hola podriais confirmarme que estos parametros serian correctos para la firma.

Código:

//Esto esta definido por la dll no lo puedo cambiar

public static DigestMethod SHA1 = new DigestMethod("SHA1", "http://www.w3.org/2000/09/xmldsig#sha1", "1.3.14.3.2.26");
//



parametros.SignaturePolicyInfo = new SignaturePolicyInfo
{
    PolicyIdentifier = "urn:oid:2.16.724.1.3.1.1.2.1.9",
    PolicyDigestAlgorithm = DigestMethod.SHA1,
    PolicyHash = "G7roucf600+f03r/o0bAOQ6WAs0=",
    PolicyUri = "https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf"
};

Me confirman por mail desde VeriFactu que van a publicar en breve una nueva versión de la documentación de firma. Por un lado, explicitarán que se pueden usar algoritmos de firma superior al SHA256 y se realizan una serie de recomendaciones. Por otro lado, se corregirán los ficheros de ejemplo cambiando de sum:RegistroAlta a sum1:RegistroAlta. Así que interpreto que SHA1 ya no será válido.

Con la línea que les puse en mi anterior post sobre firmar con AutoFirma me han dicho que casi seguro que si la web valide.redsara.es la da por buena, entonces será válida. Pero que, no obstante, en las próximas semanas publicarán un servicio de validación de registros y de firma electrónica con lo cual podremos terminar de confirmar si la firma de un fichero es correcta.