Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FIRMA ELECTRÓNICA.
Definición
La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un
documento electrónico y cuyas funciones básicas son:
• Identificar al firmante de manera inequívoca
• Asegurar la integridad del documento firmado. Asegura que el documento firmado es
exactamente el mismo que el original y que no ha sufrido alteración o manipulación
• Asegurar el no repudio del documento firmado. Los datos que utiliza el firmante para
realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no
ha firmado el documento
La base legal de la Firma electrónica está recogida en la Ley 59/2003 de Firma Electrónica y se
desarrolla en más profundidad en la sección Base legal de las Firmas. La sección también explora,
bajo qué circunstancias la ley equipara la firma electrónica a la firma manuscrita
DNI Electrónico
• ¿Qué es el DNI Electrónico?
• Certificados electrónicos en el DNIe
• Obtención del DNIe
• ¿Cómo utilizar el DNIe?
• Renovación del DNIe y de los Certificados
• Denuncia y Revocación de los Certificados
Un Certificado Electrónico…
• Es un documento electrónico expedido por una Autoridad de Certificación e identifica a
una persona (física o jurídica) con un par de claves.
• Tiene como misión validar y certificar que una firma electrónica se corresponde con una
persona o entidad concreta.
• Contiene la información necesaria para firmar electrónicamente e identificar a su
propietario con sus datos: nombre, NIF, algoritmo y claves de firma, fecha de expiración
y organismo que lo expide.
• La Autoridad de Certificación da fe de que la firma electrónica se corresponde con un
usuario concreto. Esa es la razón por la que los certificados están firmados, a su vez, por la
Autoridad de Certificación.
Obtener el Certificado Digital depende de si el certificado está contenido en una tarjeta, como el
DNIe, o de si el certificado se guarda en un fichero software.
En ambos procesos hay un paso que es la identificación del responsable o usuario del certificado,
lo cual requiere que éste se persone en las oficinas de una Autoridad de Registro. Estas oficinas
corroboran la identidad.
En el caso de los certificados software, el propio navegador del usuario crea las claves. Pero, en el
Certificado de tarjeta, quien crea e introduce las claves es el Proveedor de Certificación.
• Obtención de Certificado en tarjeta (DNIe)
Revocación de un Certificado
Puedes invalidar tu Certificado antes de que caduque por razones de seguridad.
Estas son las principales causas de revocación de un Certificado:
• Solicitud voluntaria del Suscriptor.
• Pérdida o daños en el soporte del Certificado.
• Fallecimiento del suscriptor o de su representado, incapacidad sobrevenida, total o parcial,
de cualquiera de ellos.
• Finalización de la representación o extinción de la entidad representada.
• Inexactitudes en los datos aportados por el suscriptor para la obtención del certificado.
• Que se detecte que las claves del Suscriptor o de la Autoridad de Certificación han sido
comprometidas.
• Una vez revocado, el certificado ya no puede ser reactivado y es necesario volver a iniciar
todo el proceso de solicitud.
Para revocar los Certificados, deberá ser la propia Autoridad de Certificación la que proporcione el
procedimiento, que normalmente está publicado en su página web.
Formatos de Firma
• ¿Qué son los formatos de firma?
• Estructura de la firma: CAdES, XAdES, PAdES, OOXML, ODF …
• ¿Dónde se guarda el documento original?
• Firmas con múltiples usuarios
• Firmas Longevas y Sello de Tiempo
El resultado es un fichero de texto XML, un formato de texto muy similar al HTML que
utiliza etiquetas. Los documentos obtenidos suelen ser más grandes que en el caso de
CAdES, por eso no es adecuado cuando el fichero original es muy grande. Aplicaciones
como eCoFirma del Ministerio de Industria y Comercio, sólo firman en XAdES.
• PAdES (PDF Avanzado).
Son los formatos de firma que utilizan Microsoft Office y Open Office, respectivamente.
Algunas aplicaciones de firma dejan elegir el formato a utilizar (@Firma). Otras imponen siempre
el mismo formato (eCoFirma) y otras deciden automáticamente el formato en función del formato
original del documento a firmar (@FirmaFácil).
En el caso de firmas XAdES XML, lo habitual es que el documento esté incluido en el fichero
de firma. Hablamos de firmas despegadas (detached), envolventes (enveloping) y envueltas
(enveloped) según en qué sitio del propio fichero de firma se guarde el documento original.
En la práctica, se suele utilizar el caso 1, que es la forma de funcionar por defecto de las
aplicaciones de firma. Se obtienen ficheros de firma más grandes pero, como contrapartida, no
requiere almacenar el fichero original como otro documento aparte junto al de firma.
El documento no se incluye en la firma.
En este caso, el documento no se incluye en el resultado de firma o solamente se incluye una
referencia al lugar en el que se encuentra para que el documento pueda ser localizado.Por
tanto, se obtienen ficheros de tamaño más reducido, pero, por el contrario, el documento
original siempre hay que guardarlo junto a la firma.
En el caso de CAdES estas firmas se llaman firmas explícitas.
En el caso de firmas XAdES XML, sólo para las firmas despegadas (detached), el
documento puede estar fuera.
Sello de Tiempo
Como se ha visto en el apartado anterior, el sellado de tiempo es un método para probar que un
conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido
modificado desde entonces.
El Sello de Tiempo es una firma de una Autoridad de Sellado de Tiempo (TSA), que actúa como
tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y
hora concretos.
El sellado de tiempo proporciona un valor añadido a la utilización de firma digital, ya que la firma
por sí sola no proporciona ninguna información acerca del momento de creación de la firma, y en el
caso de que el firmante la incluyese, ésta habría sido proporcionada por una de las partes, cuando lo
recomendable es que la marca de tiempo sea proporcionada por una tercera parte de confianza.
Resellado
Puesto que el Sello de Tiempo es una firma realizada con el certificado electrónico de la Autoridad
de Sellado, cuando ese certificado caduca, el sello y, por tanto, la firma dejan de ser válidas.
Por eso, antes de que el certificado de la TSA caduque es necesario resellar o aplicar de nuevo el
Sello Temporal para mantener la validez temporal de la firma.
AutoFirma
Autofirma es una aplicación de firma realizada por el Ministerio de Hacienda y Administraciones
Públicas. Su principal objetivo es ofrecer al usuario un sistema de firma en el que éste pueda firmar
cualquier tipo de documento de manera sencilla. El usuario indica qué fichero quiere firmar y la
aplicación escoge automáticamente el formato de firma qué debe aplicar, liberando así, al
usuario de cualquier duda técnica.
@Firma
La aplicación @Firma, realizada por el Ministerio de Hacienda y Administraciones Públicas, es una
aplicación java instalable en cualquier sistema operativo.
El Cliente @Firma es una aplicación avanzada de firma que soporta la firma en múltiples formatos
y permite la firma múltiple mediante la co-firma y la contra-firma. Para mayor flexibilidad, @Firma
permite al usuario elegir el formato en el que desea firmar.
eCoFirma
eCoFirma, realizada por el Ministerio de Industria, es una aplicación de firma que permite generar y
validar firmas electrónicas en formato XML XAdES.
Para más información sobre eCofirma, haz click aquí.
Validación de Firmas
La validación de una firma electrónica es el proceso por el que se comprueba:
• La identidad del firmante
• La integridad del documento firmado
• La validez temporal del certificado utilizado
Plataformas de Validación
Las plataformas de validación son sistemas online que permiten validar los certificados
electrónicos.
La Autoridad de Validación es el componente que suministra información sobre la vigencia de los
certificados electrónicos que han sido registrados por una Autoridad de Registro y certificados por
VALIDe
Como hemos visto, la verificación de cada certificado debe realizarse accediendo directamente a los
servicios de la Autoridad de Validación o de Registro que lo ha emitido. Esto puede ser un
inconveniente cuando el número de certificados a verificar es elevado y, además, han podido ser
emitidos por Autoridades de Certificación diferentes.
Las plataformas de validación surgen para ayudar en estas operaciones de verificación de
certificados. Centralizan los servicios de validación actuando como frontales que reciben cada
petición y la redirigen a la Autoridad de Validación correspondiente. De esta forma, el usuario del
servicio puede olvidarse de la tarea de conocer los mecanismos específicos de cada una de las
Autoridades de Validación.
Política de Firma
Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas
condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo
firmado, dentro de la firma, que específica una política explícita o implícita.
Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica
ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o
La norma CCN-STIC-807 del Centro Criptológico Nacional establece en el punto 5.7 cuáles
son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de
la información.
El Almacén de Certificados
Siempre que vayamos a realizar un proceso de firma electrónica o identificación digital basadas en
certificados, será necesario que esos certificados estén disponibles en el ordenador para la
aplicación que va a realizar la firma.
Los certificados se guardan en el “Almacén de Certificados”.
• Para los certificados contenidos en una tarjeta digital, como el DNI electrónico, la propia
tarjeta es el almacén.
• Los certificados software se guardan en un almacén que puede estar ubicado en el sistema
operativo o en el propio ordenador. Para poder usarlo primero es necesario importar o cargar
el certificado en ese almacén.
Además, para poder interaccionar adecuadamente con las tarjetas criptográficas (DNIe) en
particular, el equipo ha de tener instalados unas ‘piezas’ de software denominadas módulos
criptográficos.
• En un entorno Microsoft Windows, el equipo debe tener instalado un servicio que se
denomina "CryptographicServiceProvider" (CSP).
En el proceso de exportación se nos solicitará o se podrá marcar una casilla que indique que
queremos exportar la clave privada.
• Marca la casilla si quieres que el certificado exportado se pueda utilizar para firmar.
En este caso, el archivo generado se guardará con una extensión .p12, .pfxo .pem. Recuerda
que este certificado no se puede distribuir y que hay que mantenerlo en un lugar seguro.
• No marques la casilla si quieres que el certificado sea público y enviar el certificado a
otra persona. En este caso, el archivo generado se guardará con una extensión .cer o .der
La exportación se debe hacer desde el almacén en el que está instalado el certificado. En los puntos
siguientes puedes ver las diferentes formas de acceder a los almacenes disponibles en el ordenador.
Acrobat Reader dispone de su propio almacén de certificados de confianza, que por defecto,
es el que utiliza.
El procedimiento de instalación y configuración es el siguiente:
1. Descargar el certificado raíz de la Autoridad de Certificación que ha emitido el
certificado.
2. Importar el certificado de la autoridad certificación descargado.
Inicia Adobe Acrobat Reader y selecciona el menú "Avanzadas > Administrar
identidades de Confianza".
En las versiones más modernas, este menú se encuentra en "Documentos >
Administrar identidades de Confianza".
Pulsa el botón "Agregar Contacto"
Pulsa el botón "Examinar" y seleccione el certificado descargado anteriormente
En la ventana que se abre selecciona el Contacto recién importado.
A continuación se muestran los certificados contenidos en dicho fichero
Selecciona el certificado de la Autoridad de Certificación y pulsa el botón "Confiar"
Chequea la opción "Firmas y como una raíz de confianza" y pulsa el botón
"Aceptar"
Pulsa el botón "Importar"
Pulsa el botón "Aceptar"
Un certificado también puede estar almacenado en una tarjeta criptográfica, que es una
tarjeta que incorpora un chip electrónico. Un ejemplo claro de una tarjeta criptográfica es el
DNI electrónico. En estas tarjetas es posible almacenar uno o varios certificados
electrónicos, lo que se conoce como certificado hardware.
Son los certificados que cada Administración Pública puede proveer a su personal para la
identificación y autenticación del ejercicio de la competencia de la Administración Pública.
Identifican de forma conjunta al titular del puesto de trabajo o cargo, y a la Administración u
órgano en la que presta sus servicios.
La Identidad Digital
La Identidad Digital abarca todos los procesos, mecanismos, tecnologías que sirven a un individuo
u organización para identificarse y para reconocer o descubrir la identidad de otros en medios y por
medios digitales.
En esta sección vamos a tratar los mecanismos de identificación derivados de la Ley 11/2007 de 22
de junio de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
El empleado público, en el desempeño de las funciones propias del puesto que ocupa, puede
utilizar alguno de los siguientes sistemas de identificación siguientes:
• El DNI electrónico
• Otros sistemas de firma electrónica proporcionados por la Administración Pública de
la que depende el empleado, y que identifica conjuntamente al titular y a la
Administración. Un ejemplo es el certificado de empleado público, derivado del RD
1671/2007 que desarrolla parcialmente la ley 11/2007 para la Administración
General del Estado.
Los 4 primeros puntos son posibles gracias al uso de las claves criptográficas contenidas en el
certificado y a la existencia de una estructura de Autoridades de Certificación que ofrecen confianza
en la entrega de los certificados. Pero según la Ley 59/2003, esos 4 puntos sólo nos ofrecen una
firma avanzada.
Para que la firma electrónica sea equivalente a la manuscrita, es decir, que una Firma electrónica
sea reconocida, debe además:
Estar basada en un Certificado Reconocido
El certificado debe haber sido reconocido por el Ministerio de Industria y Comercio como
habilitado para crear firmas reconocidas y debe estar listado en su página web como tal.
Se pueden ver todos los certificados reconocidos por el MITyC en la dirección
https://sedeaplicaciones.minetur.gob.es/Prestadores/
Son certificados reconocidos porque tanto el prestador que los emite como el
contenido mismo del certificado, cumplen con los requisitos declarados en el
Capítulo II de la Ley 59/2003 de firma electrónica sobre Certificados
reconocidos.
Ser generada con un dispositivo seguro de creación de firma
Las características de un dispositivo seguro de creación de firma están recogidas en el artículo 24 de
la Ley 59/2003 de Firma Electrónica.
Principalmente, el dispositivo seguro debe garantizar que las claves sean únicas y secretas, que la
clave privada no se puede deducir de la pública y viceversa, que el firmante pueda proteger de
forma fiable las claves, que no se altere el contenido del documento original y que el firmante pueda
ver qué es lo que va a firmar.
Desde un punto de vista técnico, según el artículo 27 de la Ley 59/2003, un dispositivo seguro de
firma debe ser certificado como que cumple las características anteriores según las normas técnicas
publicadas en la Decisión 2003/511/CE, de 14 de julio de 2003 de la Comisión Europea.
• El DNI Electrónico es considerado un de firma y por tanto, las firmas generadas con él, son
reconocidas y tienen la misma validez que la firma manuscrita. ¿Son reconocidas las firmas
generadas en el ordenador con un certificado software instalado en el navegador?
• Puesto que el ordenador no es un dispositivo seguro de creación de firma, las firmas
generadas son sólo firmas avanzadas según la definición de la ley.
Política de Firma
Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas
condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo
firmado, dentro de la firma, que específica una política explícita o implícita.
La norma CCN-STIC-807 del Centro Criptológico Nacional establece en el punto 5.7 cuáles
son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de
la información.