Firma electrónica de documentos y certificados revocados

[karlitross]

Buenas tardes,

Por un tema de trabajo, un compañero me ha lanzado una duda que no he sabido responderle con total certeza y que entiendo que puede encajar bien en las preguntas que puede hacer el tribunal.

Un usuario (ciudadano o funcionario) firma un documento, solicitud, etc que se guarda en nuestro sistema. Posteriormente el certificado de ese ciudadano caduca pero resulta que el expediente o la información de ese documento sigue en vigor (pensad que podría caducar, por ejemplo, al día siguiente de firmarlo).

Sabemos que cuando el usuario renueva su certificado cambia tanto la clave pública (certificado) como la clave privada (clave de firma) por lo que, consiguientemente, el resultado de una firma cambiaría aunque el docuento original antes de firmar fuese idéntico.

Entiendo que una opción a este problema es el sellado o marca de tiempo para tener constancia del momento en que se firmó pero - dado que la firma del documento se realizó con un certificado que ya ha expirado - ¿Cómo se comprueba la integridad, autenticación y no repudio de esa firma? Tendríamos que ir al repositorio de certificados revocados (CRL) del PSC en cuestión para poder verificar la vaidez ¿no? Alguien conoce en detalle el esquema de funcionamiento en estos casos. Si esto es así ¿Alguien sabe el tiempo que están obligados los PSC a mantener estos CRL's?

Si lo anterio es cierto ¿No obliga esto a marcar o sellar temporalmente cualquier documento, solicitud, expediente en un procedimiento administrativo o estoy pasando algo por alto?

¿Conoce alguien la similitud entre esto y los escenarios en los que requerimos firma longeva? ¿O en este último caso solo se refirmaría el documento para preservar su "longevidad"?

Un saludo

[jdiazgh]

Los PSC están obligados a almacenar la información relativa a los certificados hasta 15 años desde su expedición (art. 20.1.f de la Ley 59/2003), precisamente para comprobar que los documentos firmados con ellos son válidos, aunque el certificado haya expirado.

Saludos

[juanopositor]

Los PSC están obligados a almacenar la información relativa a los certificados hasta 15 años desde su expedición (art. 20.1.f de la Ley 59/2003), precisamente para comprobar que los documentos firmados con ellos son válidos, aunque el certificado haya expirado.

Saludos

Lo que dice él es (no exactamente, pero viene a ser lo mismo):
¿Y si firmas un documento con un certificado caducado?
¿Cómo saben si lo has firmado anteriormente cuando todavía era válido o cuando ya no era válido?

[jdiazgh]

No, no puedes firmar con un certificado caducado. Lo primero que hace un sistema de firma es comprobar la validez de tu certificado en una CRL, si está caducado, no debería dejarte firmar. Creo que lo que dice es si firmas un documento y tu certificado caduca posteriormente. En ese caso, el propio PSC tiene información de tu certificado, aunque esté caducado, y esa información dice si era válido cuando firmaste.

[juanopositor]

No, no puedes firmar con un certificado caducado. Lo primero que hace un sistema de firma es comprobar la validez de tu certificado en una CRL, si está caducado, no debería dejarte firmar. Creo que lo que dice es si firmas un documento y tu certificado caduca posteriormente. En ese caso, el propio PSC tiene información de tu certificado, aunque esté caducado, y esa información dice si era válido cuando firmaste.

Edito porque no estoy seguro, pero juraría que sí se puede.
Y el problema es que no puedes saber cuándo firmaste.

[jdiazgh]

Hmmm...los sistemas de firma los puede desarrollar cualquiera, así que no tienen porque comprobar la validez del certificado, puede que tengas razón, pero aunque firme, si después se comprueba que la fecha de la firma es posterior a la de caducidad del certificado, no tendría validez.

[vfrades]

Lo suyo es que en el propio fichero de firma vaya una copia del certificado. Si además, se quiere demostrar que en el momento de la firma el certificado no sólo no estaba caducado sino que además no estaba revocado, se puede incluir el resultado de la consulta a la CRL. Se tendría así una firma de perfil XAdES-XL. Esto no es tan habitual, pero lo de incluir el certificado (o la cadena completa de certificados) sí es más habitual.

[karlitross]

Hola,
La duda que preguntábais entiendo que es lo que ya comenté en el inicio del tema: si firmas al entregar el documento en la propia sede, el sistema o la entidad que sea... la verificación de la fecha de firmado se hará por el sello o marca de tiempo y así puedes verificar que la firma se realizó antes de que su certificado expirase. Con más detalle, los pasos que entiendo que se harían son:
1. Comprobar la validez de tu certificado en la AC directamente (OCSP o CRL) o en la autoridad de validación (típicamente @firma). Para ello nos someterían a un desafío con nuestra clave privada. Antes debe haberse bajado (por ejemplo a nuestro navegador) un componente de firma de la propia sede para someternos al desafío.
2. Firmar el documento, solicitud, etc (se debería firmar cada cosa independientemente creo) en local con el mismo componente del paso 1.
3. Se sube la solicitud y el documento y el servidor le pone una marca o sello de tiempo dependiendo del nivel de ¿integridad y autenticidad? requerido.

Como decía ese marcado o sellado es lo que entiendo que te permite saber cuando se firmó y compararlo con las fechas de expiración de los certificados en el repositorio de CRL's de esa AC, con lo que puedes volver a verificar las propiedades de la firma. Como comentaba Víctor, en firma de contenido creo que es normal que la firma lleve asociado el certificado asociado, lo que facilita el trabajo.

Dicho esto, lo cierto es que después de enviar este tema me preguntaba para qué querría volver a comprobar las propiedades de firma avanzada (mi organización,quiero decir) si ya lo hice en su momento. Entiendo que como procedimiento de una misma organización no lo voy a volver a hacer pero si este expediente, solicitud, documento o lo que sea es transmitido a otras organizaciones (ORVE, GEISER, etc) a través de interconexiones entre administraciones, la organización receptora podría querer comprobarlo y aquí a lo mejor si aplicaría. Aunque lo suyo es que se fiasen unas de otras.

Otro escenario distinto es que el usuario firme un documento desconectado del sistema (con una aplicación local, por ejemplo) y lo intente subir a nuestro sistema esperando que este de por por válida la firma. Como responsable del sistema no lo permitiría si este no lleva, a su vez, un sellado de tiempo, es decir, si no puedo comprobar en una autoridad de sellado pública cuando fue hecha esa firma.

Con esto quiero decir que sí, claro, puedes firmar un documento con un certificado caducado (su clave privada, claro), puesto que no es más que una operación algorítmica sobre una cadena de bits, pero eso no nos debería afectar puesto que supongo que no se aceptará como documento firmado si no se puede comprobar fehacientemente (autoridad pública) la fecha en la que se hizo esa firma.

Al final me he quedado con la duda de si todo lo que entra en un procedimiento administrativo debe ser marcado o sellado en tiempo o - si como especulaba antes - no tiene sentido volver a comprobarlo si no va a salir de mi organización.

Un saludo

[jdiazgh]

Para orientarte te puede servir el ENS. Exige el sello de tiempo en la firma si las dimensiones de Integridad o Autenticidad son de nivel medio.

[karlitross]

Para orientarte te puede servir el ENS. Exige el sello de tiempo en la firma si las dimensiones de Integridad o Autenticidad son de nivel medio.

OK, gracias por el apunte.

[apachito]

Validez de los certificados:
i. El instante de tiempo que se tomará como referencia para la validación será:
1) El momento en que se produjo la firma si se da alguno de los siguientes supuestos:
a) los servicios de los prestadores facilitan los históricos de estado de los certificados y la firma lleva un sello de tiempo válido en el momento de la verificación.
b) se trata de firmas longevas que incluyen las evidencias de la validez de la firma electrónica en el momento de la generación o primera validación, y dichas
evidencias se encuentran selladas con un sello de tiempo válido.
2) En otros casos, el momento de la validación.
ii. Se comprobará que los certificados no fueron revocados ni suspendidos y que no han expirado.
iii. Se comprobará la validez de toda la cadena de certificación, incluyendo todos los certificados que la componen, con independencia de que éstos se encuentren incluidos en la propia firma o no.
iv. Se verificará que el certificado ha sido expedido por un prestador de servicios de certificación de confianza bajo una Declaración de Prácticas de Certificación que cumplirá la normativa y estará incluido en la política de firma aplicable.
v. Verificación, si existen y si así lo requiere la política de la plataforma de relación electrónica o un servicio concreto de dicha plataforma, de los sellos de tiempo de los formatos implementados, incluyendo la verificación de los periodos de validez de los sellos.

[danipage]

Para orientarte te puede servir el ENS. Exige el sello de tiempo en la firma si las dimensiones de Integridad o Autenticidad son de nivel medio.

OK, gracias por el apunte.

Muy buen apunte , y para trazabilidad nivel alto también