¿Qué es la firma longeva y cuáles son los tipos?

Escrito por: Eva Segovia Fecha lunes 22, febrero 2021 Categoría: Firma Electrónica

En la última entrada a nuestro blog, contamos qué es una firma electrónica cualificada. Tal y como vimos es la firma más segura, con mayor robustez legal al basarse en la firma con un certificado digital cualificado y generarse mediante un dispositivo seguro de creación de firma o QSCD.

Verificar la firma en el largo plazo

Cuando usamos la firma cualificada lo que estamos buscando es una firma con los mismos efectos jurídicos que la firma manuscrita en papel. De este modo, igual que una firma en papel perdura en el tiempo, también debemos exigirlo con la firma electrónica utilizando un formato longevo.

Las empresas necesitan contar con la firma longeva si quieren tener la garantía de que dentro de unos años podrán verificar la validez de las firmas en caso de conflicto. Así, en cualquier momento es posible confirmar que la firma era válida a través de un concepto denominado Validación a Largo Plazo o LTV (Long Term Validation). Por tanto, ésta nos permitirá confirmar 2 requisitos esenciales:

  1. Asegurar que los datos no han sido alterados ni modificados tras el momento de la firma.
  2. Comprobar el estado vigente del certificado con el que se firmó, es decir, que no estaba revocado o caducado en el momento de la firma.

Formatos y niveles de seguridad de la firma longeva

Existen diferentes formatos de firma longeva que están regulados acorde a la normativa eIDAS, el reglamento de la UE más importante en materia de identidad electrónica. Estos formatos se clasifican según el tipo de archivo. Aquí los detallamos:

  • CAdES (para ficheros CMS)
  • XAdES (en caso de ser documentos XML)
  • PAdES (el más habitual al tratarse de firmas de PDF)

Además, cada uno de estos formatos se podrá clasificar según diferentes niveles de seguridad de firma según la Comisión Europea y de acuerdo con los estándares marcados por ETSI (Instituto Europeo de Estándares de Telecomunicaciones):

  • Nivel B: define un perfil de firma básico a corto plazo que incluye información de los certificados utilizados, pero no garantiza el momento en que se efectuaron las firmas ni que en un futuro se pueda verificar la validez de los certificados (es decir, si estaban revocados o caducados cuando se firmó).
  • Nivel BT: se construye a partir del nivel anterior, pero agrega el sellado de tiempo, que indica la fecha y hora del momento de la firma. No sirve tampoco para demostrar la validez de los certificados usados para la firma dentro de unos años.
  • Nivel B-LT: a los dos formatos anteriores se suma toda la información de verificación. Permite que la firma de un documento se pueda validar, incluso después de un largo período de tiempo, cuando el entorno de firma (por ejemplo, Autoridad de Certificación de firma) ya no está disponible.
  • Nivel B-LTA: es el formato más seguro porque asegura la existencia de todos los datos de verificación del documento con uno o varios sellos de tiempo. Es decir, verifica la validez del certificado en el momento de la firma, así como que toda la información contenida no ha sido posteriormente modificada. Por este motivo, este es el formato de firma recomendado para las firmas cualificadas.

En este sentido, es importante tener claro cuál es el nivel apropiado al crear una firma electrónica en función del uso previsto de la firma:

  • Si la firma solo necesita validarse a corto plazo (por ejemplo, al firmar facturas), una firma básica normalmente sería suficiente.
  • Si existe la necesidad de una firma que pueda ser validada a largo plazo, se debe considerar una firma longeva con un nivel de B-LTA.

Formato PAdES

Volviendo a los formatos de firma electrónica que define eIDAS que son: CAdES (para ficheros CMS), XAdES (en caso de ser documentos XML) y, por último, PAdES (para archivos PDF), ahora nos centraremos en este último, PAdES, puesto que la firma en PDF es la más común.

El término PAdES se refiere a un grupo de extensiones y restricciones que permiten usar la firma electrónica cualificada cumpliendo con el Reglamento eIDAS. Debido a que los documentos PDF pueden almacenarse durante mucho tiempo, es necesario tener herramientas disponibles para garantizar que los documentos firmados electrónicamente también sigan siendo válidos durante períodos prolongados. Especialmente para documentos importantes, la validez de la firma debe permanecer, incluso si la clave/certificado de firma ha caducado o ha sido revocado, la CA emisora ​​ya no existe y los algoritmos criptográficos que se utilizaron para crear la firma electrónica ya no son dignos de confianza.

Si seguimos los mismos niveles que hemos comentado en el apartado anterior, tendríamos varios tipos de PAdES:

  • PAdES B, PAdES T, PAdES LT y finalmente PAdES LTA: este es el formato de firma electrónica cualificada recomendado por ser el más seguro y completo (recordemos que incluye la verificación del documento a largo plazo con la verificación de la validez del certificado en el momento de la firma, así como que el contenido del contrato no ha sido posteriormente modificado).

Seguridad garantizada por un PSCC

Al utilizar el estándar PAdES contamos con la seguridad de que los documentos firmados electrónicamente seguirán siendo válidos en el largo plazo, aunque en ese momento el certificado utilizado haya caducado o haya sido revocado. En nuestro caso, Ivnosys cumple con el estándar PAdES LTV en las firmas que ponemos a disposición de nuestros clientes con la plataforma de firma IvCert.

Dado que la firma electrónica puede obtenerse con diferentes niveles, no debemos dar por sentado que con cualquier herramienta de firma vamos a obtener una firma longeva cualificada, puesto que incluso en el caso de Acrobat Reader DC no existe información detallada de cómo se aplican estos algoritmos.

En Ivnosys, como expertos en firma electrónica y prestadores de servicios de confianza cualificados acordes al reglamento eIDAS, ponemos la máxima atención a estos detalles.

Garantizamos a nuestros clientes que tanto las firmas cualificadas de larga duración realizadas con nuestra herramienta de firma de escritorio IvDesk como nuestra plataforma de firma online IvCert cumplen estrictamente con el estándar PAdES-LTV. De esta forma la firma longeva incluye toda la información de verificación necesaria y sellados de tiempo para mantener la integridad y verificabilidad de los documentos por largos periodos de tiempo. De igual manera, se pueden utilizar nuestros servicios de verificación online o de escritorio para verificar documentos firmados y poder determinar rápidamente si son aptos o no para una conservación a largo plazo.

Completa la lectura con:

¿Cuál es la firma más segura y con mayor garantía jurídica? Firma cualificada

Entra en vigor la Ley 6/2020 que regula los servicios electrónicos de confianza

¿Cómo puedo firmar un PDF? Aquí tu guía práctica

Los comentarios están cerrados.