ANEXO I Política de Firma Electrónica y de Certificados de la Administración General del Estado

Transcripción

1 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : ANEXO I Plítica de Firma Electrónica y de Certificads de la Administración General del Estad Aprbad pr el Cnsej Superir de Administración Electrónica, en reunión de la Cmisión Permanente de 30 de may de 2012 ÍNDICE 1 CONSIDERACIONES ERALES OBJETO DEL DOCUMENTO ÁMBITO DE APLICACIÓN REFERENCIAS LA POLÍTICA DE FIRMA ELECTRÓNICA ALCANCE DE LA POLÍTICA DE FIRMA DATOS IDENTIFICATIVOS DE LA POLÍTICA ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA GESTIÓN DE LA POLÍTICA DE FIRMA ARCHIVADO Y CUSTODIA FORMATOS ADMITIDOS DE FIRMA CREACIÓN DE LA FIRMA ELECTRÓNICA VERIFICACIÓN DE LA FIRMA ELECTRÓNICA POLÍTICA DE VALIDACIÓN DE FIRMA ELECTRÓNICA IDENTIFICACIÓN DEL DOCUMENTO PERIODO DE VALIDEZ IDENTIFICACIÓN DEL GESTOR DEL DOCUMENTO REGLAS COMUNES REGLAS DE CONFIANZA DE CERTIFICADOS DE ATRIBUTOS REGLAS DE USO DE ALGORITMOS REGLAS ESPECÍFICAS DE COMPROMISOS ANEXO 1: ESTRUCTURA DE LA FIRMA ELECTRÓNICA FORMATO DE FIRMA ELECTRÓNICA AVANZADA BÁSICO XADES EPES FORMATO DE FIRMA ELECTRÓNICA AVANZADA BÁSICO CADES EPES ANEXO 2: FORMATO DE FICHEROS Y OBJETOS BINARIOS ADMITIDOS CONSIDERACIONES ERALES Página 1 de 26

2 1 Cnsideracines generales Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : La Ley 59/2003, de 19 de diciembre, de firma electrónica, define la firma electrónica distinguiend ls siguientes cncepts: Firma electrónica: es el cnjunt de dats en frma electrónica, cnsignads junt a trs asciads cn ells, que pueden ser utilizads cm medi de identificación del firmante. Firma electrónica avanzada: es la firma electrónica que permite identificar al firmante y detectar cualquier cambi ulterir de ls dats firmads, que está vinculada al firmante de manera única y a ls dats a que se refiere y que ha sid creada pr medis que el firmante puede mantener baj su exclusiv cntrl. Firma electrónica recncida: es la firma electrónica avanzada basada en un certificad recncid y generada mediante un dispsitiv segur de creación de firma. Para que una firma electrónica pueda ser cnsiderada firma electrónica avanzada en ls términs de la Ley 59/2003 se infieren ls siguientes requisits: Identificación: que psibilita garantizar la identidad del firmante de manera única. Integridad: que garantiza que el cntenid de un mensaje de dats ha permanecid cmplet e inalterad, cn independencia de ls cambis que hubiera pdid sufrir el medi que l cntiene cm resultad del prces de cmunicación, archiv presentación. N repudi: es la garantía de que n puedan ser negads ls mensajes en una cmunicación telemática. Cuand se firman dats, el firmante indica la aceptación de unas cndicines generales y unas cndicines particulares aplicables a aquella firma electrónica mediante la inclusión de un camp firmad, dentr de la firma, que específica una plítica explícita implícita. Si el camp crrespndiente a la nrmativa de firma electrónica está ausente y n se identifica ninguna nrmativa cm aplicable, entnces se puede asumir que la firma ha sid generada verificada sin ninguna restricción nrmativa, y en cnsecuencia, que n se le ha asignad ningún significad cncret legal cntractual. Se trataría de una firma que n especifica de frma expresa ninguna semántica significación cncreta y, pr l tant, hará falta derivar el significad de la firma a partir del cntext (y especialmente, de la semántica del dcument firmad). La finalidad de una plítica de firma es refrzar la cnfianza en las transaccines electrónicas a través de una serie de cndicines para un cntext dad, el cual puede ser una transacción determinada, un requisit jurídic un rl que asuma la parte firmante, entre trs. Página 2 de 26

3 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Este dcument especifica las cndicines generales aplicables a la firma electrónica para su validación, en la relación electrónica de la Administración General del Estad (AGE) y sus rganisms públics vinculads dependientes cn ls ciudadans y entre ls órgans y entidades de la AGE y sus rganisms públics vinculads dependientes. 1.1 Objet del dcument La plítica de firma electrónica y certificads de la AGE tiene pr bjet establecer el cnjunt de criteris cmunes asumids pr dicha Administración y sus rganisms públics vinculads dependientes, en relación cn la autenticación y la firma electrónica, que afecta a las relacines de esta Administración cn ls ciudadans y entre sus distints órgans, según l previst en el artícul 24.1 del Real Decret 1671/2009, de 6 de nviembre, pr el que se desarrlla parcialmente la Ley 11/2007, de 22 de juni, de acces electrónic de ls ciudadans a ls Servicis Públics. En general, una plítica de firma electrónica es un dcument legal que cntiene una serie de nrmas relativas a la firma electrónica, rganizadas alrededr de ls cncepts de generación y validación de firma, en un cntext particular (cntractual, jurídic, legal, ), definiend las reglas y bligacines de tds ls actres invlucrads en dich prces. El bjetiv de este prces es determinar la validez de la firma electrónica para una transacción en particular, especificand la infrmación que deberá incluir el firmante en el prces de generación de la firma, y la infrmación que deberá cmprbar el verificadr en el prces de validación de la misma. 1.2 Ámbit de aplicación Este dcument se circunscribe a ls certificads prevists en la Ley 11/2007 expedids para su emple pr la AGE y ls rganisms públics vinculads dependientes de ésta y a ls sistemas de firma electrónica basads en certificads recgids en el artícul 10.1 y 10.2 del Real Decret 1671/2009. La plítica presenta una estructura nrmalizada del dcument electrónic en relación cn la creación y validación de firma electrónica, según ls estándares técnics eurpes, para facilitar la interperabilidad de ests dcuments, describiend el alcance y us de la firma electrónica cn la intención de cumplir las cndicines para una transacción cncreta en el cntext de las relacines cn ls ciudadans y entre las Administracines Públicas. 1.3 Referencias Para el desarrll de su cntenid, se ha tenid en cuenta las siguientes especificacines técnicas: - ETSI TS , v.1.6.3, v1.7.4 y v Electrnic Signatures and Infrastructures (SEI); CMS Advanced Electrnic Signatures (CAdES). Página 3 de 26

4 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : - ETSI TS , v.1.2.2, v y Electrnic Signatures and Infrastructures (SEI); XML Advanced Electrnic Signatures (XAdES). - ETSI TS , v Electrnic Signatures and Infrastructures (ESI); PDF Advanced Electrnic Signature Prfiles; Part 1: PAdES Overview, Part 2: PAdES Basic - Prfile based n ISO , Part 3: PAdES Enhanced - PAdES-BES and PAdES- EPES Prfiles; Part 4: Lng-term validatin. - ETSI TS V2.0.0 Electrnic Signatures and Infrastructures (ESI); Algrithms and Parameters fr Secure Electrnic Signatures; Part 1: Hash functins and asymmetric algrithms. - ETSI TS , v y v Electrnic Signatures and Infrastructures (ESI); Plicy requirements fr time-stamping authrities. - ETSI TS V1.3.1 Time stamping prfile. - ETSI TR , v Electrnic Signatures and Infrastructures (SEI); XML frmat fr signature plicies. - ETSI TR , v Electrnic Signatures and Infrastructures (SEI); Signature plicies reprt. - ETSI TR , v Electrnic Signatures and Infrastructures (SEI); Signature plicy fr extended business mdel. - ETSI TR , v Electrnic Signatures and Infrastructures (SEI); ASN.1 frmat fr signature plicies. - IETF RFC 2560, X.509 Internet Public Key Infrastructure. Online Certificate Status Prtcl OCSP. - IETF RFC 3125, Electrnic Signature Plicies. - IETF RFC 3161 actualizada pr RFC 5816, Internet X.509 Public Key Infrastructure Time-Stamp Prtcl (TSP). - IETF RFC 5280, RFC 4325 y RFC 4630, Internet X.509 Public Key Infrastructure; Certificate and Certificate Revcatin List (CRL) Prfile. - IETF RFC 5652, RFC 4853 y RFC 3852, Cryptgraphic Message Syntax (CMS). - ITU-T Recmmendatin X.680 (1997): "Infrmatin technlgy - Abstract Syntax Ntatin One (ASN.1): Specificatin f basic ntatin". Igualmente, se ha cnsiderad cm nrmativa básica aplicable a la materia: Página 4 de 26

5 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Directiva 1999/93/CE del Parlament Eurpe y del Cnsej, de 13 de diciembre de 1999, pr la que se establece un marc cmunitari para la firma electrónica (Diari Oficial n L 013 de 19/01/2000. pág ). Ley 59/2003, de 19 de diciembre, de firma electrónica. Ley 11/2007, de 22 de juni, de acces electrónic de ls ciudadans a ls Servicis Públics. Ley 56/2007, de 28 de diciembre, de Medidas de Impuls de la Sciedad de la Infrmación. Real Decret 1671/2009, de 6 de nviembre, pr el que se desarrlla parcialmente la Ley 11/2007, de 22 de juni, de acces electrónic de ls ciudadans a ls Servicis Públics. Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica. Real Decret 4/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Interperabilidad en el ámbit de la Administración Electrónica. Ley Orgánica 15/1999, de 13 de diciembre, de prtección de ls dats de carácter persnal. Real Decret 1720/2007, de 21 de diciembre, pr el que se aprueba el Reglament de desarrll de la Ley rgánica 15/1999, de 13 de diciembre, de prtección de dats de carácter persnal. Real Decret-Legislativ 1/1996, de 12 de abril, pr el que se aprueba el Text Refundid de la Ley de prpiedad intelectual. Real Decret 1553/2005, de 23 de diciembre, pr el que se regula la expedición del dcument nacinal de identidad y sus certificads de firma electrónica. Descripción de ls perfiles de certificads de la Ley 11/2007, de 22 de juni, que estarán asciads a esta plítica de firma: Perfiles de certificads en su última versión dispnible Decisión de la Cmisión Eurpea 130/ 2011, de 25 de febrer, que establece uns requisits mínims para el tratamient transfrnteriz de dcuments firmads electrónicamente pr las autridades cmpetentes baj la Directiva 123/ 2006 relativa a ls servicis en el mercad interir. Reslución de la Secretaria de Estad de Función Pública del 19 de juli de 2011 pr la que se aprueba la Nrma Técnica de Interperabilidad de Plítica de Firma Electrónica y de certificads de la Administración. Página 5 de 26

6 2 La plítica de firma electrónica Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : 2.1 Alcance de la plítica de firma Este dcument prpne una plítica de firma electrónica, que detalla las cndicines generales para la validación de la firma electrónica y una relación de frmats de bjets binaris y fichers de referencia que deberán ser admitids pr tdas las platafrmas implicadas en las relacines electrónicas de la Administración cn ls ciudadans y cn las Administracines Públicas. Esta plítica marc es de aplicación a tda la Administración General del Estad, y puede cnvivir junt cn tras plíticas particulares para una transacción determinada en un cntext cncret, siempre basadas en dicha plítica marc. Para su identificación univca, la plítica de firma dispndrá de un identificadr únic que pdrá ser un OID en ASN.1 una URI (URL URN) en XML. Tant el OID la URI deberá incluirse bligatriamente en la firma electrónica, empleand el camp crrespndiente para identificar la plítica marc y la versión cn las cndicines generales y específicas de aplicación para su validación, sin perjuici de l indicad psterirmente respect a la psibilidad de acgerse a la mdalidad de plítica implícita. 2.2 Dats identificativs de la plítica Se define el identificadr de la plítica de firma de la AGE, cn el OID x.y, el urn:id: x.y Se asignaran identificadres únics (x.y) para distinguir las versines sucesivas. También se asignaran identificadres a ls distints frmats de representación (frmat legible de PDF, representación en sintaxis XML y representación en sintaxis ASN.1 siguiend ls estándares). La presente plítica de firma y las plíticas de firmas particulares de cada rganism basadas en esta plítica marc deberán estar dispnibles en frmat legible, de md que puedan ser aplicadas en un cntext cncret para cumplir cn ls requerimients de creación y validación de firma electrónica. Las plíticas particulares harán referencia al OID y la URL de la plítica marc de firma electrónica en la que se inscriben, cn indicación expresa de la versión. Para facilitar el prcesad autmátic de la firma electrónica, la plítica de firma deberá implementarse a su vez en un frmat que pueda ser interpretad y prcesad autmáticamente pr ls sistemas encargads de la creación y validación de la firma electrónica. Se recmienda que esté dispnible al mens en frmat xml, de acuerd cn el estándar ETSI TR , en frmat ASN.1, siguiend el estándar ETSI TR Página 6 de 26

7 2.3 Actres invlucrads en la firma electrónica Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Ls actres invlucrads en el prces de creación y validación de firma electrónica sn: - Firmante: persna que psee un dispsitiv de creación de firma y que actúa en nmbre prpi en nmbre de una persna física jurídica a la que representa. - Verificadr: entidad, ya sea persna física legal, que valida verifica una firma electrónica apyándse en las cndicines exigidas pr una plítica de firma cncreta. Puede ser una entidad de validación de cnfianza una tercera parte que esté interesada en la validez de una firma electrónica. - Prestadr de servicis de firma electrónica: la persna física jurídica que expide certificads electrónics presta trs servicis en relación cn la firma electrónica. - Emisr de la plítica de firma: entidad que se encarga de generar y gestinar el dcument de plítica de firma, pr el cual se deben regir el firmante y el verificadr en ls prcess de generación y validación de la firma electrónica. 2.4 Gestión de la plítica de firma El mantenimient, actualización y publicación electrónica del presente dcument crrespnderá a la Cmisión Permanente del Cnsej Superir de la Administración Electrónica (CP-CSAE) previ estudi del grup de trabaj permanente cnstituid pr la unidad cmpetente en la nrmativa de firma electrónica del Ministeri de Industria, Energía y Turism y la unidad cmpetente en materia de plítica de firma del Ministeri de Hacienda y Administracines Públicas. Ls cambis a la plítica marc serán cnsensuads cn las partes implicadas, así cm el perid de tiemp transitri para la adaptación de las platafrmas a la nueva plítica marc. El Cnsej Superir de la Administración Electrónica mantendrá, en ls prtales destinads a tal función (sede del Punt de acces general de la Administración General del Estad, Prtal del CTT), tant la versión actualizada del presente dcument cm un repsitri cn el histrial de las versines anterires de la plítica de firma electrónica. En el cas de actualización del presente dcument, se identificará el lugar dnde un validadr puede encntrar las versines anterires para verificar una firma electrónica anterir a la plítica vigente. En el mment de la firma se deberá incluir la referencia del identificadr únic de la versión del dcument de plítica de firma electrónica sbre el que se ha basad su implementación, el cual determinará las cndicines que debe cumplir la firma electrónica en un mment determinad. El camp destinad para incluir esta referencia será, sól para el frmat AdES_EPES, la etiqueta SignaturePlicyIdentifier, Página 7 de 26

8 2.5 Archivad y custdia Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Para garantizar la fiabilidad de una firma electrónica a l larg del tiemp, esta deberá ser cmplementada cn la infrmación del estad del certificad asciad en el mment en que la misma se prduj y/ infrmación n repudiable incrprand un sell de tiemp, así cm ls certificads que cnfrman la cadena de cnfianza. Est implica que si querems tener una firma que pueda ser validada a l larg del tiemp, la firma electrónica que se genera ha de incluir evidencias de su validez para que n pueda ser repudiada. Para este tip de firmas deberá existir un servici que mantenga dichas evidencias, y será necesari slicitar la actualización de las firmas antes de que las claves y el material criptgráfic asciad sean vulnerables. Las cndicines que se deberán dar para cnsiderar una firma electrónica lngeva sn las siguientes: 1. En primer lugar, deberá verificarse la firma electrónica prducida verificada, validand la integridad de la firma, el cumplimient de ls estándares XAdES, CAdES PAdES, y las referencias. 2. Deberá realizarse un prces de cmpletad de la firma electrónica, cnsistente en l siguiente: a. Obtener las referencias a ls certificads, así cm almacenar ls certificads del firmante. b. Obtener las referencias a las infrmacines de estad de ls certificads, cm las listas de revcación de certificads (CRLs) las respuestas OCSP, así cm almacenarlas. 3. Al mens, deben sellarse las referencias a ls certificads y a las infrmacines de estad. El almacenamient de ls certificads y las infrmacines de estad pdrá realizarse dentr del dcument resultante de la firma electrónica en un depósit específic: - en cas de almacenar ls certificads y las infrmacines de estad dentr de la firma, se recmienda sellar también estas infrmacines, siguiend las mdalidades de firmas AdES X -A. - si ls certificads y las infrmacines de estad se almacenan en un depósit específic, se recmienda sellarls de frma independiente. Para prteger la firma electrónica frente a la psible bslescencia de ls algritms y pder seguir asegurand sus características a l larg del tiemp de validez, se deberá seguir un de ls siguientes prcess, de acuerd cn las especificacines técnicas para firmas electrónicas de tip CAdES, XAdES PAdES: - las platafrmas de firma electrónica adptadas en el ámbit de la AGE deberán dispner de mecanisms de resellad, para añadir, de frma periódica, un sell de fecha y hra de archiv cn un algritm más resistente. Página 8 de 26

9 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : - la firma electrónica deberá almacenarse en un depósit segur, garantizand la prtección de la firma cntra falsificacines y asegurand la fecha exacta en que se guardó la firma electrónica (las peracines de fechad se realizarán cn marcas de fecha y hra, n siend necesari su sellad criptgráfic). Es necesari que cn psteriridad las firmas puedan renvarse (refirmad cuntersignature) y permitan actualizar ls elements de cnfianza (sells de tiemp), garantizand la fiabilidad de la firma electrónica. Para el archivad y gestión de dcuments electrónics se seguirán las recmendacines de las guías técnicas de desarrll del Esquema Nacinal de Interperabilidad (Real Decret 4/2010, de 8 de ener). 2.6 Frmats admitids de firma El frmat de ls dcuments electrónics cn firma electrónica avanzada, aplicada mediante ls certificads electrónics admitids pr las Administracines Públicas y utilizads en el ámbit de las relacines cn dentr de la Administración Pública, se deberá ajustar a las especificacines de ls estándares eurpes relativs a ls frmats de firma electrónica. El Cnsej Superir de la Administración Electrónica será la Entidad gestra encargada de publicar y actualizar la relación de las especificacines relativas a ls frmats admitids pr la presente plítica de firma. Actualmente se cnsideran frmats admitids: frmat XAdES (XML Advanced Electrnic Signatures), según especificación técnica ETSI TS , versión y versión Asimism, se admitirá la última versión a partir del Para versines psterires del estándar se analizarán ls cambis en la sintaxis y se aprbará la adaptación del perfil a la nueva versión del estándar a través de una adenda a esta plítica de firma 1. frmat CAdES (CMS Advanced Electrnic Signatures), según especificación técnica ETSI TS , versión y versión 1.7. Asimism, se admitirá la última versión a partir del Para versines psterires del estándar se analizarán ls cambis en la sintaxis y se aprbará la adaptación del perfil a la nueva versión del estándar a través de una adenda a esta plítica de firma. frmat PAdES (PDF Advanced Electrnic Signatures), según especificación técnica ETSI TS , versión (se admitirán versines psterires siempre que n impliquen cambis significativs en la sintaxis de ls tags usads en la presente plítica) y la ETSI TS para el cas de firmas lngevas en PADES (PAdES Lng Term). En cas cntrari se aprbará la adaptación del perfil a la nueva versión del estándar a través de una adenda a esta plítica de firma. 1 A l larg de este dcument se utilizarán ls prefijs ds: y xades: para hacer referencia a elements definids en ls estándares XMLDSig y XAdES, respectivamente. Página 9 de 26

10 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Este frmat amplía las especificacines del estándar de firma en PDF, añadiend la infrmación adicinal de firma similar a la usada en las firmas CAdES XADES. La parte 3 del estándar PAdES PAdES Enhanced - PAdES-BES and PAdES-EPES Prfiles recge la estructura de las firmas PAdES cuand la firma incluida dentr del dcument PDF es de tip CAdES. Su utilización quedará en td cas limitada a ls dcuments cn frmat PDF y que n van a ser tratads en prcess autmatizads. Asimism, se admitirá cm frmat de intercambi a partir de 31 de diciembre de Se tendrá en cuenta la legislación Eurpea en relación a ls frmats de firma admitids en la Unión Eurpea, en especial aquells definids en ls estándares eurpes de firma electrónica y pr tant deberá ser actualizada según evlucinen dichas nrmas Eurpeas. Dentr de las distintas clases de ls frmats XAdES, CAdES y PAdES, ls órgans y unidades administrativas de la Administración Pública deberán adecuar sus sistemas para la generación de, al mens, la clase básica de un de ests frmats de firma electrónica, añadiend infrmación sbre la plítica de firma (clase EPES), y la verificación de las especificacines de la clase básica de tds ests frmats. La clase básica de firma electrónica para definir una plítica de firma electrónica de interperabilidad es, según ls estándares AdES, la clase EPES. A partir de este frmat básic EPES es psible incluir suficiente infrmación para validar la firma a larg plaz. Si fuera necesari generar firmas cn validación a larg plaz, se debería implementar un frmat que incrprase prpiedades adicinales, cm infrmación sbre revcación de certificads. 2.7 Creación de la firma electrónica Las platafrmas que presten el servici de creación de firma electrónica deberán cumplir las siguientes características: 1. El usuari puede seleccinar un ficher, frmulari u tr bjet binari para ser firmad (ver Anex2 para saber ls frmats de fichers que deberán ser admitids pr las distintas platafrmas). En el cas de firma de frmulari, se le suele presentar al usuari el bjet binari a ser firmad, sin necesidad de selección previa. 2. El servici de firma electrónica ejecutará una serie de verificacines: a. Si la firma electrónica puede ser validada para el frmat del ficher específic que vaya a ser firmad, según la presente plítica su plítica de firma particular crrespndiente. b. Si ls certificads han sid expedids baj una Declaración de Plíticas de Certificación específica. c. Cmprbación de la validez del certificad: si el certificad ha sid revcad, suspendid, si entra dentr del perid de validez del certificad, y la validación Página 10 de 26

11 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : de la cadena de certificación (incluids la validación de tds ls certificads en la cadena). Si n se pueden realizar estas cmprbacines en el mment de la firma (pr ejempl para firmas en cliente sin acces a servidr), en td cas será necesari que ls sistemas l cmprueben antes de aceptar el ficher, frmulari u tr bjet binari firmad. Cuand una de estas verificacines es errónea, el prces de firma se interrumpirá. El servici creará un ficher en frmat XAdES,CAdES PAdES para aquells escenaris en ls que sea cnveniente. Se recmienda que el ficher resultante tenga una extensión única de frma que ls visres de dcuments firmads puedan asciarse a esa extensión, haciend más fácil al usuari el manej de este tip de fichers. Esta extensión pdría ser:.xsig, si la firma implementada se ha realizad según el estándar XAdES.csig, si la firma implementada se ha realizad según el estándar CAdES En el cas de las firmas PAdES, al estar la firma incluida en un dcument PDF, la extensión será aquella del frmat PDF riginal. 2.8 Verificación de la firma electrónica El verificadr puede utilizar cualquier métd para verificar la firma creada según la presente plítica. Las cndicines mínimas que se deberán prducir para validar la firma serán las siguientes: 1. Garantía de que la firma es válida para el ficher específic que está firmad. 2. Validez de ls certificads en el mment en que se prduj la firma, si ls servicis de ls prestadres facilitan ls histórics de estad de ls certificads, en cas cntrari, validez de ls certificads en el mment de la validación: certificads n revcads, suspendids, que hayan expirad, y la validación de la cadena de certificación (incluida la validación de tds ls certificads de la cadena). Esta infrmación puede estar cntenida en la prpia firma en el cas de las firmas lngevas. 3. Certificad expedid baj una Declaración de Prácticas de Certificación específica. 4. Verificación, si existen y si así l requiere la platafrma de relación electrónica un servici cncret de dicha platafrma, de ls sells de tiemp de ls frmats implementads, incluyend la verificación de ls perids de validez de ls sells. Página 11 de 26

12 3 Plítica de validación de firma electrónica Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : En este apartad se especifican las cndicines que se deberán cnsiderar pr parte del firmante, en el prces de generación de firma electrónica, y pr parte del verificadr, en el prces de validación de la firma. 3.1 Identificación del dcument Nmbre del dcument Versión 1.9 Plítica general de firma electrónica Identificadr de la Plítica (OID) 2 OID URI de referencia de la Plítica Fecha de expedición 19 de nviembre de 2012 Ámbit de aplicación 3.2 Perid de validez En el Punt de acces general de la Administración General del Estad. También dispnible en: Administración General del Estad La presente Plítica de Firma Electrónica es válida desde la fecha de expedición del apartad anterir hasta la publicación de una nueva versión actualizada, pudiéndse facilitar un perid de tiemp transitri, en el cual cnvivan las ds versines, que permita adecuar las diferentes platafrmas de las administracines públicas a las especificacines de la nueva versión. Este perid de tiemp transitri deberá indicarse en la nueva versión, pasad el cual sól será válida la versión actualizada. 3.3 Identificación del gestr del dcument Nmbre del gestr de la plítica Dirección de cntact CSAE - Ministeri de Hacienda y Administracines Públicas Dirección pstal: María de Mlina, 50 Madrid ES 2 Ls ds últims dígits del identificadr definirán las diferentes versines de la plítica de firma. Página 12 de 26

13 3.4 Reglas cmunes Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Las reglas cmunes para ls actres invlucrads en la firma electrónica, firmante y verificadr, sn un camp bligatri que debe aparecer en cualquier plítica de firma. Permiten establecer respnsabilidades respect a la firma electrónica sbre la persna entidad que crea la firma y la persna entidad que la verifica, definiend ls requisits mínims que deben presentarse, debiend estar firmads, si sn requisits para el firmante, n firmads, si sn requisits para el verificadr Reglas del firmante El firmante se hará respnsable de que el ficher que se quiere firmar n cntiene cntenid dinámic que pudiese mdificar el resultad de la firma durante el tiemp. Si el ficher que se quiere firmar n ha sid cread pr el firmante, deberá asegurarse que n existe cntenid dinámic dentr del ficher, cm pueden ser macrs. Frmat XAdES La versión de XAdES cntemplada en esta plítica, es la versión 1.3.2, siend válidas implementacines según la versión teniéndse especial cuidad en indicar en td mment la versión que se esté utilizand en tags en ls que se hace referencia al númer de versión. En el anex 1 se detalla la estructura básica que debe tener una firma electrónica para pder ser cnsiderada válida pr el verificadr. Para facilitar la interperabilidad de ls sistemas de infrmación que manejan ests dcuments firmads electrónicamente, en la generación de firmas XAdES se prpne la siguiente estructura de ficher XML, en la cual se genera un únic ficher resultante que cntiene el dcument riginal, cdificad en base64 3, y las firmas, encntrándse al mism nivel XML l firmad y la firma, es decir el md internally detached. <dcument> <dcumentoriginal Id= riginal encding= base64 nmbreficher=nmbrefichoriginal >... </dcumentoriginal> <ds:signature> <ds:signedinf/>... <ds:reference URI= #riginal > </ds:reference>... </ds:signedinf>... </ds:signature> </dcument> 3 Si el frmat del dcument riginal fuese un ficher que cntenga sól text (ficher XML), n sería precisa su cdificación en base64. Página 13 de 26

14 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Asimism, se admitirán las firmas XADES envelped. En el cas de factura electrónica se acuerda asumir el md actualmente implementad, mientras se evlucina a un frmat eurpe, de acuerd cn el frmat Facturae regulad en la Orden PRE/2971/2007; es decir, la firma se cnsidera un camp más a añadir en el dcument de factura. El firmante deberá prprcinar, cm mínim, la infrmación cntenida en las siguientes etiquetas dentr del camp SignedPrperties (camp que cntiene una serie de prpiedades cnjuntamente firmadas a la hra de la generación de la firma XMLDsig), las cuales sn de carácter bligatri: - SigningTime: indica la fecha y la hra. En el cas de firma en cliente sin acceder a servidr, será meramente indicativa (pues la fecha en el dispsitiv cliente es fácilmente manipulable) y/ será utilizada cn fines distints a cncer la fecha y hra de firma. Las plíticas particulares de firma electrónica pdrán determinar características y restriccines particulares respect a generación en cliente de las referencias temprales y sincrnización del relj. - SigningCertificate: cntiene referencias a ls certificads y algritms de seguridad utilizads para cada certificad. Este element deberá ser firmad cn bjet de evitar la psibilidad de sustitución del certificad. - SignaturePlicyIdentifier: identifica la plítica de firma sbre la que se basa el prces de generación de firma electrónica, y debe incluir ls siguientes cntenids en ls elements en que se subdivide: Una referencia explícita al presente dcument de plítica de firma, en su cas, al dcument de plítica de firma particular de cada rganism, en el element xades:sigplicyid. Para ell, aparecerá el OID que identifique la versión cncreta de la plítica de firma la URL de su lcalización. <xades:sigplicyid> <xades:identifier>... </xades:identifier> La huella digital del dcument de plítica de firma crrespndiente y el algritm utilizad, en el element <xades:sigplicyhash>, de manera que el verificadr pueda cmprbar, calculand a su vez este valr, que la firma está generada según la misma plítica de firma que se utilizara para su validación. N bstante l anterir, se admitirá que la firma incluya una referencia implícita a la plítica de firma siempre que la misión del identificadr de la plítica n induzca a cnfusión en cuant a la plítica aplicable. En este cas, la plítica aplicable y su versión deberán pder deducirse a partir de trs camps de la firma cm el del firmante y el de la fecha de la firma. Pr raznes de sencillez en la interperabilidad, se recmienda que la plítica se indique siempre mediante una referencia explícita. En td cas las plíticas particulares de firma n pdrán referenciarse de frma implícita. Página 14 de 26

15 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : La plítica de firma electrónica particular de cada ministeri, órgan, rganism entidad pública estatal hará referencia a la URL u OID de la plítica marc de firma electrónica en la que se inscribe, cn indicación expresa de la versión. - DataObjectFrmat: define el frmat del dcument riginal, y es necesari para que el receptr cnzca la frma de visualizar el dcument. Las etiquetas restantes que pueden agregarse en el camp SignedPrperties serán cnsideradas de carácter pcinal, sin perjuici de su cnsideración bligatria en plíticas particulares, siempre basadas en la plítica marc: - SignaturePrductinPlace: define el lugar gegráfic dnde se ha realizad la firma del dcument. SignerRle: define el rl de la persna en la firma electrónica. Al mens un de ests elements ClaimedRles CertifiedRles deben estar presentes en este camp. - En el cas de su utilización en una factura en frmat Facturae, deberá cntener un de ls siguientes valres en el camp ClaimedRles: supplier emisr : cuand la firma la realiza el emisr. custmer receptr : cuand la firma la realiza el receptr. third party tercer : cuand la firma la realiza una persna entidad distinta al emisr al receptr. - CmmitmentTypeIndicatin: define la acción del firmante sbre el dcument firmad (l aprueba, l infrma, l recibe, l certifica,...). - AllDataObjectsTimeStamp: cntiene un sell de tiemp, calculad antes de la generación de la firma, sbre tds ls elements cntenids en ds:reference. - IndividualDataObjectsTimeStamp: cntiene un sell de tiemp, calculad antes de la generación de la firma, sbre alguns de ls elements cntenids en ds:reference. También se permitirá el us de certificads de atributs para certificar el rl del firmante, en cuy cas el element SignerRle incrprará un element CertifiedRles, que cntendrá la cdificación en base-64 de un varis atributs de certificads del firmante. La etiqueta CunterSignature, refrend de la firma electrónica y que se puede incluir en el camp UnsignedPrperties, será cnsiderada de carácter pcinal. Las siguientes firmas, ya sean serie paralel, se añadirán según indica el estándar XAdES, según el dcument ETSI TS v1.3.2 (admitiéndse implementacines según v1.2.2 y psterires). Frmat CAdES La versión de CAdES empleada en esta plítica, es la versión 1.7.4, siend válidas implementacines según versión 1.6.3, teniéndse especial cuidad en indicar en td Página 15 de 26

16 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : mment la versión que se esté utilizand en tags en ls que se hace referencia al númer de versión. El estándar CMS presenta distintas alternativas para la estructura del dcument electrónic en relación cn la firma electrónica. Se adpta el tip Signed Data cn ls dats incluids (attached) para la estructura del dcument, especificad en ls estándares CMS (IETF RCF 5652) y CAdES (ETSI TS ), que mantiene el dcument riginal y la firma en un mism ficher. En el cas de que, debid al tamañ de ls dats a firmar, n resulte técnicamente psible acnsejable realizar las firmas cn el frmat anterirmente descrit, se generará la estructura de firma detached, que incluye el hash del dcument riginal en la firma. Las siguientes etiquetas deberán ser firmadas y sn de carácter bligatri: Cntent-type: esta etiqueta especifica el tip de cntenid que debe ser firmad. Es una etiqueta bligatria según el estándar CAdES. Message-digest: identifica el cifrad del cntenid firmad OCTET STRING en encapcntentinf. Es una etiqueta bligatria según el estándar CAdES. ESS signing-certificate ESS signing-certificate-v2: es una etiqueta que permite el us de SHA-1 (sól para ESS signing-certificate) y la familia de algritms SHA-2 cm algritm de seguridad. Es una etiqueta bligatria según el estándar CAdES. Signing-time: indica la fecha y hra de la firma. En el cas de firma en cliente sin acceder a servidr, será meramente indicativa (pues la fecha en el dispsitiv cliente es fácilmente manipulable) y/ será utilizada cn fines distints a cncer la fecha y hra de firma. Las plíticas particulares de firma electrónica pdrán determinar características y restriccines particulares respect a generación en cliente de las referencias temprales y sincrnización del relj. Es una etiqueta de carácter bligatri según está plítica de firma. SignaturePlicyIdentifier: es una etiqueta que indica la plítica de firma sbre la que se basará la generación de la firma electrónica. El dcument deberá incrprar la referencia (OID) a la plítica de firma particular aplicada y la huella digital del dcument de plítica de firma crrespndiente y el algritm utilizad, en el element SigPlicyHash, de manera que el verificadr pueda cmprbar, calculand a su vez este valr, que la firma está generada según la misma plítica de firma que se utilizará para su validación. Cntent-hints: describe el frmat del dcument riginal, y su función es que el receptr discierna cóm debe visualizar el dcument. Las siguientes etiquetas deberán ser firmadas y sn de carácter pcinal, sin perjuici de que puedan ser cnsiderads bligatrias en plíticas particulares: Página 16 de 26

17 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Cntent-reference: puede ser utilizada cm un md de relacinar una cntestación cn el mensaje riginal al que se refiere. Cntent-identifier: esta etiqueta cntiene un identificadr que se puede utilizar en el atribut anterir. Cmmitment-type-indicatin: este etiqueta indica la acción del firmante sbre el dcument firmad (l aprueba, l infrma, l recibe, l certifica,...). Signer-lcatin: permite indicar el lugar gegráfic dnde se ha realizad la firma del dcument. Al mens un de ests elements ClaimedRles CertifiedRles deben estar presentes en esta etiqueta. Signer-attributes: indica el rl de la persna en la firma electrónica. Cntent-time-stamp: esta etiqueta permite un sell de tiemp, antes de la generación de la firma, sbre ls dats que van a ser firmads, para incrprarla cn la infrmación firmada. La etiqueta CunterSignature, refrend de la firma electrónica, incluid en el camp de prpiedades n firmadas, será cnsiderada de carácter pcinal. Las siguientes firmas se añadirán según indica el estándar CAdES, según el dcument ETSI TS v1.7.3 (admitiéndse implementacines según v1.6.3 y psterires). Frmat PAdES La versión de PAdES empleada en esta plítica, es la versión 1.2.1, admitiéndse implementacines psterires, siempre que n impliquen cambis significativs en ls tags empleads. En ese cas, será necesari actualizar el presente dcument de Plítica de Firma electrónica. En la versión actual de la plítica de firma, sl se cnsidera la psibilidad de utilizar algritms RSA para las firmas PAdES. Es necesari incluir la siguiente extensión en el diccinari Catalg. <</ESIC <</BaseVersin /1.7 /ExtensinLevel 1 >> >> En cas de incluir esta extensión, la firma se detectará cm firma lngeva (PAdES LTV) aunque n cntenga ls elements de revcación. Las firmas PAdES se generarán cn la estructura CAdES detached Ls siguientes atributs deberán estar firmads y serán de carácter bligatri: Página 17 de 26

18 Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : Cntent-type: especifica el tip de cntenid que debe ser firmad. Es bligatria según el estándar PAdES. Message-digest: identifica el cifrad del cntenid firmad OCTET STRING en encapcntentinf. Es bligatria según el estándar PAdES. ESS signing-certificate ESS signing-certificate-v2 es una etiqueta que permite el us de SHA-1 (sól para ESS signing-certificate) y la familia de algritms SHA-2 cm algritm de seguridad. Es una etiqueta bligatria según el estándar PAdES. Nunca se debe especificar el camp Cert del diccinari Signature signature-plicy-identifier: identifica la plítica de firma sbre la que se basa el prces de generación de firma electrónica. El dcument deberá incrprar el OID de la plítica de firma particular aplicada. N está permitid el atribut Cntent-hints Nunca se debe especificar el atribut SigningTime. El tiemp de la firma debe indicarse en el camp M en diccinari Signature, un atribut específic del PDF. Las siguientes etiquetas sn de carácter pcinal, sin perjuici de que puedan ser cnsiderads bligatrias en plíticas particulares: Cmmitment-type-indicatin: este etiqueta indica la acción del firmante sbre el dcument firmad (l aprueba, l infrma, l recibe, l certifica,...). Según el estándar PAdES debería estar indicad en el camp Reasn prpi del PDF. Signer-attributes: indica el rl de la persna en la firma electrónica. Al mens un de ests elements ClaimedRles CertifiedRles deben estar presentes en este camp. Cntent-time-stamp: esta etiqueta permite un sell de tiemp, antes de la generación de la firma, sbre ls dats que van a ser firmads, para incrprarla cn la infrmación firmada. Para el lugar de la firma se utilizará la entrada Lcatin en el diccinari de firma, en lugar del element signer-lcatin mencinad en el epígrafe de CAdES. El atribut Cunter-Signature, refrend de la firma electrónica, n está permitida en este tip de firmas. Las siguientes firmas se añadirán según indica el estándar PAdES, según el dcument ETSI TS y parte 4, versión Página 18 de 26

19 3.4.2 Reglas del verificadr Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : El frmat básic de firma electrónica avanzada n cntempla ninguna infrmación de validación más allá del certificad firmante, que se incluye en la etiqueta Signing Certificate, y de la plítica de firma que se indique en la etiqueta Signature Plicy. Ls atributs que pdrá utilizar el verificadr para cmprbar que se cumplen ls requisits de la plítica de firma según la cual se ha generad la firma, independientemente del frmat utilizad (XAdES, CAdES PAdES), sn las siguientes: - Signing Time: sól se utilizará en la verificación de las firmas electrónicas cm indicación para cmprbar el estad de ls certificads en la fecha señalada, ya que únicamente se puede asegurar las referencias temprales mediante un sell de tiemp (especialmente en el cas de firmas en dispsitivs cliente). Si se ha realizad el sellad de tiemp, el sell más antigu dentr de la estructura de la firma se utilizará para determinar la fecha de la firma. - Signing Certificate: se utilizará para cmprbar y verificar el estad del certificad (y, en su cas, la cadena de certificación) en la fecha de la generación de la firma, en el cas que el certificad n estuviese caducad y se pueda acceder a ls dats de verificación (CRL, OCSP, etc) bien en el cas de que el PSC frezca un servici de validación históric del estad del certificad. - Signature Plicy: se deberá cmprbar, que la plítica de firma que se ha utilizad para la generación de la firma se crrespnde cn la que se debe utilizar para un servici en cuestión. Si se han realizad varias firmas del mism dcument, se seguirá el mism prces de verificación que cn la primera firma, cmprband la etiqueta Cunter Signature en el camp de prpiedades n firmadas, dnde se infrma de ls refrends de firma generads. Será respnsabilidad del encargad de la verificación de la firma definir sus prcess de validación y de archivad según ls requisits de la plítica de firma particular a la que se ajusta el servici. Existe un tiemp de espera, cncid cm perid de precaución perid de gracia, para cmprbar el estad de revcación de un certificad. El verificadr puede esperar este tiemp para validar la firma realizarla en el mism mment y revalidarla después. Est se debe a que puede existir una pequeña demra desde que el firmante inicia la revcación de un certificad hasta que la infrmación del estad de revcación del certificad se distribuye a ls punts de infrmación crrespndientes. Se recmienda que este perid, desde el mment en que se realiza la firma el sellad de tiemp sea, cm mínim, el tiemp máxim permitid para el refresc cmplet de las CRLs el tiemp máxim de actualización del estad del certificad en el servici OCSP. Ests tiemps pdrán ser variables según el Prestadr de Servicis de Certificación. Página 19 de 26

20 3.4.3 Reglas para ls sells de tiemp. Códig de Verificación Electrónic : Puede verificar la integridad del este dcument en la siguiente dirección : El sell de tiemp asegura que ls dats, la firma del dcument que va a ser sellad la infrmación del estad de ls certificads incluids en la firma electrónica, se generarn antes de una determinada fecha. El frmat del sell de tiemp deberá cumplir las recmendacines de IETF, RFC 5816, Internet X.509 Public Key Infrastructure; Time-Stamp Prtcl (TSP). Ls elements básics que cmpnen un sell digital de tiemp sn: 1. Dats sbre la identidad de la autridad emisra (identidad jurídica, clave pública a utilizar en la verificación del sell, númer de bits de la clave, el algritm de firma digital y la función hash utilizads). 2. Tip de slicitud cursada (si es un valr hash un dcument, cuál es su valr y dats de referencia). 3. Parámetrs del secuenciadr (valres hash "anterir", "actual" y "siguiente"). 4. Fecha y hra UTC. 5. Firma digital de td l anterir cn la clave pública y esquema de firma digital especificads. El sellad de tiemp puede ser añadid pr el emisr, el receptr un tercer y se debe incluir cm prpiedad n firmada en el camp Signature Time Stamp. El sellad de tiemp debe realizarse en un mment próxim a la fecha incluida en el camp Signing Time y, en cualquier cas, siempre antes de la caducidad del certificad del firmante. La presente plítica admite sells de tiemp expedids pr prestadres de servicis de sellad de tiemp que cumplan las especificacines técnicas ETSI TS , Electrnic Signatures and Infrastructures (ESI); Plicy requirements fr time-stamping authrities Reglas de cnfianza para firmas lngevas Ls estándares CAdES (ETSI TS ), XAdES (ETSI TS ) y PAdES (ETSI TS ) cntemplan la psibilidad de incrprar a las firmas electrónicas infrmación adicinal para garantizar la validez de una firma a larg plaz, una vez vencid el perid de validez del certificad. Esta infrmación puede ser incluida tant pr el firmante cm pr el verificadr, y se recmienda hacerl después de trascurrid el perid de precaución perid de gracia. Existen ds tips de dats a incluir cm infrmación adicinal de validación: - la infrmación del estad del certificad en el mment en que se prduce la validación de la firma una referencia a ls misms. Página 20 de 26