ÍNDICE DE CONTENIDO

1.- ¿Qué es SIFE?

La aplicación “Servicios Integrados de Firma Electrónica” (SIFE) es una plataforma que proporciona toda la lógica de negocio para dotar de funcionalidades de firma electrónica a las aplicaciones integrantes.

Mediante el uso de sus servicios, las aplicaciones pueden realizar firma en servidor de documentos de manera electrónica utilizando los formatos mas extendidos y verificar la integridad y autenticidad de los mismos.

SIFE utiliza los servicios de @Firma terminando de aportar funcionalidades a las aplicaciones que la plataforma de @Firma no proporciona, como la firma en servidor gestionando los certificados en el propio almacén de certificados de SIFE

El usuario integrador mediante el uso de un cliente  podrá acceder de manera trasparente al catálogo de servicios REST expuesto por SIFE.

2.- ¿Qué funcionalidades ofrece SIFE mediante sus servicios?

• Firma electrónica de documentos mediante certificados almacenados en SIFE.
  • Firma electrónica enviando el contenido completo a firmar a SIFE.
  • Firma electrónica enviando el resumen hash del contenido a firmar (para firmas detached)
  • Firma electrónica mediante código CSV, para documentos ya almacenados en el Servicio de Almacenamiento y Verificación de Documentos Electrónicos (CCSV) 
• Validación de firmas electrónicas :
  • Validación de la firma enviando el contenido a verificar a SIFE.
  • Validación de la firma enviando el resumen hash del contenido  (para firmas detached)
  • Validación de firma mediante código CSV, para documentos ya almacenados en el Servicio de Almacenamiento y Verificación de Documentos Electrónicos (CCSV) 
• Elevación de firmas a formatos de firmas longevas.
• Obtención de sellos de tiempo para un documento.
  • Sello de tiempo enviando el contenido a sellar a SIFE.
  • Sello de tiempo enviando el hash del contenido a sellar a SIFE.
  • Sello de tiempo enviando código CSV, para documentos ya almacenados en el Servicio de Almacenamiento y Verificación de Documentos Electrónicos (CCSV) 
• Validación de certificados
• Firma  y verificación WSSecurity de servicios
• Cifrado de servicios

3.- Conceptos básicos de firma

Para poder integrarse con SIFE se requiere cierto grado de conocimiento de firma electrónica. En este apartado se van a explicar algunos conceptos para favorecer la comprensión de los servicios a utilizar:

3.1.- Certificado electrónico

3.1.1 Qué es un certificado electrónico

Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona física o jurídica. Esta autoridad de certificación ( o prestador de servicios de certificación) y es quien acredita que el propietario del certificado electrónico es quien dice ser. El usuario  podrá identificarse en aplicaciones o servicios, firmar documentos eletrónicamente o cifrarlos utilizando su certificado electrónico.

Cada certificado está identificado por un número de serie único y tiene un período de validez que está incluido en el certificado. 

3.1.2.- Claves digitales

En un Certificado, las claves digitales son los elementos esenciales para la firma, cifrado e identificación del firmante. Existen dos claves, la clave privada y clave pública, y trabajan de forma complementaria. Lo que cifra o codifica una clave sólo lo puede descifrar o decodificar la otra.

· La clave privada es aquella con la que se realiza la firma y está pensada para que nunca salga del certificado estando siempre bajo el control del firmante. 

· La clave pública  tiene todos los datos del propietario así como la autoridad de certificación que la emite. Esta clave pública se puede compartir para realizar determinadas operaciones mediante un fichero .cer

La autoridad de certificación, por seguridad,  puede revocar un certificado en caso de que se vea comprometida su clave privada. En este momento el certificado dejará de ser válido.

3.1.3 Tipos de certificado electrónico según propietario

· Persona física: el certificado identifica a una persona.

· Representante: el certificado se emite a una persona física para que pueda operar en nombre de una empresa o entidad.

· Empleado público: Son los certificados que cada Administración Pública puede proveer a su personal para la identificación y autenticación del ejercicio de la competencia de la Administración Pública

· Sello: Según la Ley, es el certificado usado para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada. Esto quiere decir que el Sello Electrónico (o sello de órgano) es el que debe usarse para todos los trámites administrativos que se realizan por medios telemáticos, tanto para la identificación de los servidores y la firma de los documentos electrónicos, como para el establecimiento de comunicaciones seguras entre máquinas

· Sede electrónica: El certificado de Sede es un certificado de Servidor que identifica y autentifica al servidor como Sede Electrónica de una Administración Pública. Las sedes electrónicas, cuando sea necesario, dispondrán de sistemas que permiten el establecimiento de comunicaciones seguras. Además, utilizarán sistemas de firma basados en certificados de dispositivo seguro o medio equivalente para identificarse y mantener una comunicación segura.

· Sello de tiempo: certificado para aplicación del sellado de tiempo  mediante las cuales se garantizan el momento exacto en el que se produjo la firma de un documento.

3.2.- Firma electrónica

3.2.1.- ¿Qué es la firma electrónica?

La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son:

· Identificación al firmante de manera inequívoca

· Asegurar la integridad del documento firmado. Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación

· Asegurar el no repudio del documento firmado. Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no ha firmado el documento

· Confidencialidad (en caso de cifrado): sólo el destinatario del documento electrónico podrá conocer su contenido.

La base legal de la Firma electrónica está recogida en la Ley 59/2003 de Firma Electrónica y se desarrolla en más profundidad en la sección Base legal de las Firmas. La sección también explora, bajo qué circunstancias la ley equipara la firma electrónica a la firma manuscrita

3.2.1.- Tipos de firma según ubicación del certificado

Firma en cliente: es aquella donde todo el proceso de firma se ejecuta en el lado cliente (el navegador). El usuario selecciona su propio certificado alojado en el navegador o en una tarjeta criptográfica para firmar. Dependiendo del componente o herramienta que se utilice para firmar puede realizarse por ejemplo mediante la ejecución de un applet, mediante apoyo de aplicación de escritorio o en una firma tres fases. Este tipo de firmas se realizan mediante MFE - Módulo de Firma electrónico.

Firma en servidor: es aquella donde el proceso de firma se ejecuta en el lado servidor de la aplicación. El certificado está alojado en una almacén de certificados a la que la plataforma de firma  tiene acceso. Este es el tipo de firmas que se realizan mediante SIFE, salvaguardando los certificados en su propio almacén de certificados.

3.2.2.- Tipos de firma según ubicación de la firma en el documento original

Firmas attached:  son aquellas en las que el documento y la firma se guardan en un mismo archivo.

Firmas dettached: son aquellas en las que el documento y la firma se guardan en dos archivos distintos

3.2.3.-  Tipos de firma según su formatos de firma

El formato de firma es la forma como se genera el documento de firma y como se guarda o estructura la información de firma en el documento generado.

Formatos de firma básicos:

PKCS7 o CMS: Formato binario de firma usado para cualquier tipo de documento. Con este formato de firma se puede firmar cualquier documento ya que lo trata como un conjunto de bytes.

XML_DSIGN : Es una especificación desarrollada bajo el amparo del w3c que permite la firma de documentos utilizando una notación XML estándar, por ello está orientada a la firma de este tipo de documentos xml. 

PDF: Firma embebida en documentos PDF acordes a estándares ISO-32001.

Formatos avanzados o longevos:

El problema de los formatos de firma básicos es que tiene validez hasta que el certificado con el que está firmado sea válido y no haya caducado. Esto hace que pasado un tiempo estos documentos ya no sean válidos. Para ello se desarrollaron las firmas longevas a partir de las ya existentes que garantiza la validez de una firma a largo plazo, una vez vencido el periodo de validez del certificado.

CAdES : formato desarrollado a partir de la firma básica PKCS7

XAdES: formato desarrollado a partir del formato básico XML

PAdES:  formato desarrollado a partir del formato básico PDF

Estos formatos añaden a la firma evidencias de terceros (de autoridades de certificación) y certificaciones de tiempo,que realmente certifican cuál era el estado del certificado en el momento de la firma. En base a esto,  existen distintos sub-formatos de firma que van incrementando la calidad de la misma hasta conseguir una firma que pueda ser verificada a largo plazo (de forma indefinida) con plenas garantías jurídicas:

Firma Básica (AdES - BES), es el formato básico para satisfacer los requisitos de la firma electrónica avanzada.

AdES ­ T, se añade un sellado de tiempo (T de TimeStamp) con el fin de situar en el tiempo el instante en que se firma un documento.

AdES ­ C, añade un conjunto de referencias a los certificados de la cadena de certificación y su estado, como base para una verificación longeva (C de Cadena).

AdES ­ X, añade sellos de tiempo a las referencias creadas en el paso anterior (X de eXtendida).

AdES ­ XL, añade los certificados y la información de revocación de los mismos, para su validación a largo plazo (XL de eXtendido Largo plazo).

AdES ­ A, permite la adición de sellos de tiempo periódicos para garantizar la integridad de la firma archivada o guardada para futuras verificaciones (A de Archivo).