PAdES
PAdES (Firmas Electrónicas Avanzadas de PDF ) es un conjunto de restricciones y extensiones de PDF e ISO 32000-1 que lo hacen adecuado para las firmas electrónicas avanzadas.[1] Está publicado por el ETSI como TS 102 778[2]
Descripción
[editar]Mientras que PDF y la ISO 32000-1 proporcionan un marco para firmar digitalmente sus documentos, el PAdES especifica perfiles precisos que lo hacen compatible con las normas del ETSI para las firmas digitales (AES y QES). El ETSI (Instituto Europeo de Normas Técnicas) tiene la función de emitir normas técnicas por delegación en el Reglamento eIDAS de la UE (Reglamento de la Unión Europea sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior). El Reglamento eIDAS mejora y deroga la Directiva de firmas electrónicas 1999/93/CE.[3][4] El eIDAS es jurídicamente vinculante y en todos los Estados miembros de la UE desde julio de 2014 y, a diferencia de la Directiva a la que sustituye, el eIDAS, como Reglamento, es directamente aplicable sin necesidad de legislación de aplicación o interpretación. No se puede negar la validez y la eficacia de cualquier firma electrónica reconocida en el marco del eIDAS (incluida la "aceptación por clic") por el hecho de ser electrónica. Si se trata de una "firma digital", es decir, de una firma electrónica que implementa certificados digitales de conformidad con la Firma Electrónica Avanzada (AES) o la Firma Electrónica Cualificada (QES) descritas en el eIDAS (y sus implementaciones desarrolladas por el ETSI desde el punto de vista tecnológico), puede admitir el PaDES. AES y QES tienen un mayor valor probatorio que las firmas electrónicas simples o "estándar". Al QES se le reconoce el mismo valor legal que a una firma manuscrita.
Los estándares PaDES van en la misma dirección y tienen los mismos objetivos que las firmas digitales (AES y QES). Esto significa que pueden verificarse fácilmente en cualquier lector de PDF y como[5]
- está vinculado de forma única al firmante (en QES a la identidad del firmante);
- es capaz de identificar al firmante ("atribución");
- solo el firmante tiene el control de los datos utilizados para la creación de la firma [cita requerida] (en QES el control y la custodia, como un token portátil o una identificación y autenticación donde se descarga un certificado para cada uso desde un proveedor de identificación en la nube)
- puede ser, en PaDES fácilmente, identificado si los datos adjuntos a la firma han sido modificados después de la firma.
PaDES dispone de 4 niveles de verificación para el certificado digital, desde el más sencillo y básico (b-b, que indica que una firma se ejecutó con un certificado que era válido en una fecha) hasta el más complejo (b-LTV), que permite que los documentos firmados electrónicamente sigan siendo válidos durante largos periodos (validez a largo plazo) aunque los algoritmos criptográficos subyacentes o los demás certificados hayan caducado.
Como PAdES reconoce que los documentos firmados digitalmente pueden ser utilizados o archivados durante muchos años, y pueden necesitar ser probados en los tribunales, una vez que los certificados de los firmantes han expirado (después de unos meses en b-b) pueden ser consultados contactando con la autoridad de certificación. En b-lt o b-LTV (los más complejos) los certificados siguen siendo válidos durante mucho tiempo. PaDES permite verificar los certificados incluso después de muchas décadas en cualquier momento del futuro, a pesar de los avances tecnológicos y de otro tipo. Si en el propio documento se valida para confirmar que la firma fue válida es concepto conocido como validación a largo plazo (LTV).[2]
La norma PAdES, Especificación Técnica Technical Specification (TS) ETSI 102 778, introduce una serie de adaptaciones y extensiones a PDF para satisfacer los requisitos de la Directiva. El ETSI devolverá estos elementos específicos de Europa a la ISO para que los incluya en la próxima versión de la norma PDF, la ISO 32000-2.
PAdES en el contexto de firmas electrónicas
[editar]La firma electrónica es una forma de firmar un documento sin papel, utilizando una credencial única asociada a una persona determinada que se adjunta o asocia lógicamente al documento, y que tiene una autoridad equivalente a la de una firma manuscrita. Puede utilizarse para autenticar al firmante, así como para detectar cualquier cambio en el documento realizado después de su firma. La firma electrónica se reconoce como un catalizador del comercio electrónico, especialmente de las transacciones por Internet. La disponibilidad de las técnicas de firma electrónica ya ha supuesto un importante estímulo para el comercio y la administración electrónicos. Las firmas digitales son un medio seguro y legalmente vinculante para implementar las firmas electrónicas a través de tres algoritmos criptográficos:[5]
- el algoritmo de generación de claves que selecciona aleatoriamente una clave privada y su correspondiente clave pública
- el algoritmo de firma que produce la firma digital a partir del mensaje y la clave privada
- el algoritmo de verificación de la firma que utiliza la clave pública, el mensaje y la firma digital para confirmar la autenticidad del mensaje.
En el caso de los documentos PDF, los datos de la firma se incorporan directamente al documento PDF firmado, de forma similar a como una firma de tinta se convierte en parte integrante de un documento en papel, lo que permite copiar, almacenar y distribuir el archivo PDF completo y autónomo como un simple archivo electrónico. La firma también puede tener una representación visual como un campo de formulario, al igual que en un documento en papel. Una ventaja significativa de PAdES es que se despliega mediante un software de PDF ampliamente disponible: no requiere el desarrollo o la personalización de software especializado.[2]
PAdES es el complemento a otras dos normas para la aplicación de la firma electrónica mediante firmas digitales con seguridad criptográfica en cumplimiento del Reglamento eIDAS.[4] Al igual que PAdES, son jurídicamente vinculantes en la Unión Europea y se adaptan a aplicaciones que no implican documentos legibles por humanos: Criptographic Message Syntax Advanced Electronic Signatures (CAdES) y XML Advanced Electronic Signatures (XAdES).[6]
Admisibilidad legal
[editar]La UE reconoce tres implementaciones diferentes de firmas electrónicas avanzadas a través de la firma digital que cumplen con el eIDAS: PAdES, XAdES y CAdES.[7]
Una firma electrónica puede tener efectos jurídicos y ser utilizada como prueba en un procedimiento judicial. Una firma electrónica cualificada tendrá el efecto legal equivalente a una firma manuscrita. Si el certificado cualificado ha sido emitido en un Estado miembro, será reconocido como firma electrónica cualificada en todos los demás Estados miembros.[8]
Estándar PAdES (ETSI TS 102 778)
[editar]La especificación técnica PAdES ETSI contiene 6 partes:
- Parte 1: PAdES Visión general – un documento de marco para PAdES
- Parte 2: PAdES Básico – el perfil basado en ISO 32000-1
- Parte 3: PAdES Mejorado - Perfiles de firma electrónica PAdES-Basic y PAdES-Explicit Policy Electronic Signatures
- Parte 4: PAdES Largo Plazo – PAdES-Perfil de Validación de Plazo Largo
- Parte 5: PAdES para XML Contenido – Perfiles para firmas XAdES de contenido XML en archivos de PDF
- Parte 6: Representaciones Visuales de Firmas Electrónicas
Los estándares PAdES pueden ser descargados de la página de descarga de ETSI.
Relacionado, hay también TS 103 172: Perfil de Referencia de PAdES.
Véase también
[editar]- Instituto de Estándares de Telecomunicaciones europeo (ETSI)
- CAdES, Firma electrónica avanzada de CMS
- XAdES, Firma electrónica avanzada XML
- Contenedores de Firma asociada - Associated Signature Containers (ASiC)
- Sellado de tiempo confiable
Referencias
[editar]- ↑ «ISO 32000-1:2008 Document management -- Portable document format -- Part 1: PDF 1.7». International Organization for Standardization ISO. Consultado el 22 de marzo de 2016.
- ↑ a b c «ETSI TS 102 778-1 V1.1.1 (2009-07): Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 1: PAdES Overview - a framework document for PAdES». European Telecommunications Standards Institute ETSI. Consultado el 22 de marzo de 2016.
- ↑ Turner, Dawn M. «EIDAS FROM DIRECTIVE TO REGULATION - LEGAL ASPECTS». Cryptomathic. Consultado el 1 de marzo de 2016.
- ↑ a b THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION. «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014». Official Journal of the European Union. Consultado el 1 de marzo de 2016.
- ↑ a b Turner, Dawn M. «Understanding the Major Terms Around Digital Signatures». Consultado el 22 de marzo de 2016.
- ↑ Turner, Dawn M. «Introduction into PAdES for Trust Services Providers». Cryptomathic. Consultado el 22 de marzo de 2016.
- ↑ Turner, Dawn M. «UNDERSTANDING THE MAJOR TERMS AROUND DIGITAL SIGNATURES». Cryptomathic. Consultado el 1 de marzo de 2016.
- ↑ «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL». Official Journal of the European Union. Article 25. Consultado el 10 de octubre de 2017.
Enlaces externos
[editar]- Programa de trabajo para ETSI TS 102778 - PAdES
- ISO 32000-1:2008 - Documento del Estándar PDF en la Organización Internacional para Estandarización
- DSS : Una librería Java libre y de fuente abierta para crear/manipular firmas PAdES/CAdES/XAdES/ASiC
- DSS : Repositorio GitHub
- SecureBlackbox : La biblioteca transplataforma para crear y manipular las firmas XAdES, CAdES, PAdES y ASiC Firmas
- ETSI PAdES - Explorado y explicado
- ETSI TS 102 778-1 - PAdES Visión general - un documento de marco para PAdES
- El AdES toolset