Firma de documento
Certificados
Firma
5 abr 2024
Resumen; Las firmas pueden ser válidas y cumplir con diferentes niveles de firma, incluso si algunos validadores muestran errores de nivel superior. No todas las medidas de seguridad útiles son obligatorias por ley.
Una pregunta válida
Hace unos días, un adoptador temprano planteó esta pregunta en nuestro [Discord](https://documen.so/discord):
Puedes consultar el validador aquí: https://documen.so/eu-validator
Para aquellos que no están familiarizados con la herramienta, utilizó la herramienta de validación del Marco de Servicio de Firma Digital (DSS) de la UE para verificar la firma de un documento firmado con Documenso. La UE proporciona esta herramienta para ayudar a los usuarios y proveedores a verificar el nivel de validez de sus firmas.
Un breve repaso de Construyendo Documenso — Parte 1: Certificados:
Documenso inserta todas las firmas visuales en el documento y luego lo sella utilizando el certificado corporativo "Documenso Inc.". Esto hace que el documento PDF resultante sea a prueba de manipulaciones y garantiza que no ha cambiado desde la firma.
Antes de responder si el documento fue firmado correctamente, necesitamos entender cuál era el objetivo.
Hay tres niveles de firma en la regulación eIDAS de Europa:
Firmas Electrónicas Simples (Nivel 1/ SES): Esto es solo una firma visual o incluso una casilla de verificación en un documento.
Firmas Electrónicas Avanzadas (Nivel 2/ AES): Una firma criptográfica real (no solo un sello en todo el documento, sino una firma específica), utilizando un certificado vinculado a los datos de identificación del firmante.
Firmas Electrónicas Cualificadas (Nivel 3/ QES): Igual que 2, pero realizada por una entidad certificada por el gobierno en hardware certificado y después de identificar al firmante con un documento de identificación oficial (por ejemplo, pasaporte)
💡 Nota: El número 2 (AES) es cómo la mayoría de las personas imagina las firmas digitales. Pero la mayor parte del mercado utiliza 1, más un sello en todo el documento bajo el nombre del proveedor firmante (por ejemplo, Documenso). Los datos del firmante solo se insertan visualmente, no en la firma real. ¿Por qué? Una de las razones es que es mucho más fácil, y sin un marco de código abierto disponible fácilmente del cual sacar, es bastante complicado de construir. Esto es algo que pretendemos construir (que muchos han hecho) y de código abierto (que nadie ha hecho).
Desde la perspectiva de eIDAS, Documenso ofrece firmas Nivel 1/ SES ya que no cumple con todos los requisitos del Nivel 2/ AES. Esto significa que, técnicamente, no hay necesidad legal de sellar el documento para lograr este nivel de validez (al menos dentro de eIDAS). Lo hacemos de todos modos ya que mejora el nivel de confianza que los usuarios pueden tener en el documento firmado. Sellar el documento, aunque no sea legalmente obligatorio, es un gran ejemplo del enfoque de Documenso hacia las firmas. Primero, pretendemos proporcionar todos los requisitos legales para un caso de uso determinado. Luego, agregamos cualquier protección que se pueda agregar sin fricción innecesaria en la creación de la firma.
No si es válido, sino cuán válido
Q: Entonces, ¿es válida la firma en la imagen?
A: Sí, como un SES de eidas Nivel 1.
Q: Entonces, ¿por qué dice "No se puede construir una cadena de certificados hasta una lista de confianza"
A: El certificado que usamos para sellar el documento después de insertar las firmas no está en la lista de confianza de la UE.
Q: ¿Eso significa que es menos seguro?
A: No, significa que el proveedor (Wisekey) no está en una lista mantenida por la UE. La firma criptográfica es igual de fuerte que cualquier otra.
Para alguien que no trata con estas cosas a diario, esto puede ser difícil de comprender. Ya sea que utilices un certificado que generaste tú mismo, uno generado por una autoridad de certificación (CA) como Wisekey, o uno por otro en la lista de confianza de la UE (por ejemplo, Bundesdruckerei), la seguridad criptográfica que garantiza que el documento no ha sido manipulado es siempre la misma. Muchos proveedores como Documenso, DocuSign, PandaDoc y Digisigner utilizan este método para sus planes regulares. Eso significa que si ejecutaras un documento firmado por ellos a través del validador anterior, el resultado sería el mismo[1]. La pregunta interesante es por qué. ¿Por qué hacerlo así?
La infraestructura de certificados está rota
Aunque hay algunos gastos reales involucrados en proporcionar AES y QES, la dura realidad es que simplemente es un buen negocio cobrar por ellos por firma, haciéndolos inapropiados para las "ofertas estándar"; casi nadie tiene los recursos para configurarlos por sí mismos. Mientras que este proceso inicial de convertirse en una entidad certificada por QES es realmente costoso, vender los certificados después es muy lucrativo. Esto lleva a menos innovación en el espacio y solo a grandes jugadores que ofrecen estos servicios de alta conformidad. Incluso los certificados que solo se utilizan para sellar documentos sin ser certificados por QES se venden por un amplio rango de precios, y cuestan casi nada producir.
¿Por qué, entonces?
Q: ¿Por qué la gente compra un certificado por dinero y no solo lo genera uno mismo? ¿No es la seguridad criptográfica la misma?
A: Los certificados auto-generados no son reconocidos para firmas de cumplimiento de nivel superior como QES.
Q: Entonces, si no necesitas firmas de nivel superior, ¿podrías simplemente generar una tú mismo?
A: Sí, podrías. Dado que el Nivel 1 de eIDAS no requiere un certificado, podrías usar el tuyo.
Q: ¿Por qué no más personas?
A: Una razón es que aparte de la lista de confianza de la UE, hay otras, como la lista de confianza de Adobe. Aunque no es legalmente obligatorio, estar en esa lista (como Wisekey) te da una marca de verificación verde en Adobe PDF, que es como la mayoría de las personas comprueban la validez de la firma.
Q: No es una pregunta, pero todo esto suena raro
A: Lo es. Esta es una de las razones por las que existe Documenso. Planeamos hacer esto más fácil.
Q: ¿Cómo?
A: Explicando y proporcionando herramientas fáciles de usar y eventualmente certificados de firma altamente conformes y gratuitos para todos.
Eventualmente, planeamos iniciar una autoridad de certificación gratuita llamada Let's Sign, nombrada así por otra institución que rompió el paradigma de certificados pagos en beneficio de Internet: Let's Encrypt.
Como siempre, no dudes en conectarte en Twitter / X o Discord si tienes alguna pregunta o comentario.
Saludos desde Hamburgo,
Timur
[1] El formato de firma (por ejemplo, PKCS7-B) variará. Es el formato que tiene la firma insertada en el documento. eIDAS no requiere específicamente ningún formato dado, pero el PAdES definido por la UE es el que utilizan principalmente los proveedores europeos.