iText y firmas digitales

Firmas electrónicas para documentos PDF

Firme digitalmente sus documentos PDF para obtener protección de no repudio, integridad y autenticidad.

Introducción

Firmas digitales

Las firmas digitales son el equivalente a las firmas húmedas en los documentos digitales. Este concepto ha sido profusamente adoptado y está sólidamente integrado en la especificación PDF. Es similar al sello que los notarios ponen en un documento en papel para garantizar la legitimidad de las firmas y que el documento no ha sido modificado.

La firma electrónica refleja la intención de una persona de participar en el contrato, mientras que la firma digital se utiliza para cifrar la información y confirmar la validez del documento firmado.

Las principales ventajas de las firmas digitales son la automatización de procesos y la protección del flujo de trabajo de los documentos digitales, con el consiguiente ahorro de tiempo, dinero y complicaciones.

Firmas digitales en PDF

¿Cuáles son los conceptos relacionados con las firmas digitales?

Tanto personas como empresas y organizaciones suelen utilizar firmas digitales en documentos PDF como prueba de que los han leído y verificado en una fecha y hora determinada. Estas firmas también demuestran que el documento no ha sido modificado desde que se firmó.

Dependiendo de las especificaciones técnicas y del proceso de firma de cada contrato, un documento PDF puede llevar más de una firma. La firma digital propiamente dicha consiste en una serie de metadatos ocultos y protegidos mediante funciones hash y de cifrado que se incrustan en un certificado incorporado al archivo.

Además de la firma digital propiamente dicha, opcionalmente el archivo PDF también puede llevar una representación visible de la firma. La parte visible de la firma puede contener una fotografía de firma, un resumen del certificado de firma, o ambos.

Digital signatures icon
Hashing

Using a Cryptographic hash function to turn an arbitrary block of data into a fixed-size block of data.  

Digital signatures icon
Encryption

  • Central Idea
    • Transform message before sending
    • Transformed message is not readable
    • Receiver transforms message back to readable format
  • Transforms are done using mathematical functions
  • Symmetric Encryption
    • Depends on shared key
  • Asymmetric Encryption
    • Participants have a Private and a Public Key
    • Only Public Key is shared

Digital signatures icon
Certificate Authorities

  • A certificate authority (CA) is an entity maintaining and issuing security certificates and public keys that are used in a public network for protected communication. Together with the registration authority (RA), the CA is part of the public key infrastructure (PKI), which verifies the information provided by an electronic certificate requester. If the information is correct, the certificate is verified.

  • Before you use the public key of someone to verify a signature, you need proof that it truly belongs to them. The role of the CA is to issue digital certificates to individuals within a PKI program that shows that a particular public key belongs to a specific individual–so you can claim that digital certificates bind the identity of the individual to their public key. This bond is secured by the CA using the CA's own private key with a digital signature.

  • There are many CAs worldwide, and they can be either enterprise-based, industry-based, national (e.g. linked to e-ID card schemes), or publicly available online. In the case of PDF documents, a list of default CAs is distributed with PDF applications which support digital signatures. 

¿Por qué utilizar iText y firmas digitales?

Imagine que tiene un documento con cierto valor legal. Supongamos también que el documento contiene información importante sobre derechos y obligaciones, por lo que usted necesita verificar su autenticidad. Obviamente, usted no quiere que las otras partes intervinientes en el documento puedan en algún momento negar los compromisos que ellas mismas redactaron.

Incluso es probable que el documento sea enviado por correo postal y que sea leído y guardado por diferentes personas. El documento puede sufrir alteraciones en diferentes puntos y momentos de su ciclo vital. Estas alteraciones pueden ser voluntarias (debidas, por ejemplo, a la inclusión de firmas adicionales), involuntarias (por ejemplo, las debidas a errores de transmisión) o deliberadas (por ejemplo, si alguien quisiera crear una copia falsificada del documento original).

Durante siglos se ha intentado resolver el problema de la autenticación de documentos mediante la incorporación al papel de firmas manuscritas, también llamadas "firmas húmedas".

Hoy en día disponemos de firmas digitales, que garantizan los siguientes requisitos que debe cumplir este tipo de documentos:

  • Integridad: queremos tener la seguridad de que el documento no ha sido modificado en algún punto o momento del proceso. 
  • Autenticidad: queremos tener la certeza de que el autor del documento es quien nosotros creemos que es (y no otra persona).
  • No repudio: queremos tener la seguridad de que el autor no puede negar su autoría.
  • Fecha de la firma: queremos tener certeza sobre la fecha y hora en que se firmó el documento.

La norma ISO-32000-2 también introduce un concepto publicado por primera vez en el estándar PAdES-4:

  • Validación a largo plazo (LTV): queremos tener la seguridad de que los requisitos de integridad, autenticidad, no repudio y momento de la firma tengan vigencia a largo plazo y se puedan seguir verificando mucho tiempo después.

Estos cinco conceptos combinados proporcionan la certeza de que el documento sea seguro y correcto durante todo su ciclo vital. 

FIRMA DIGITAL: La especificación PDF lleva mucho tiempo admitiendo explícitamente la integración de firmas electrónicas. El empleo de firmas digitales abre un amplio abanico de funciones de gran utilidad, desde la protección contra manipulaciones hasta su autenticación y revocación. 

AGILIZACIÓN DE LOS PROCESOS DE APROBACIÓN Y SEGURIDAD MEJORADA: Casi todos los países del mundo tienden a reconocer en sus respectivas legislaciones el mismo valor a los documentos digitales que a documentos en papel, bajo ciertas condiciones. Aunque no todos los gobiernos están avanzando al mismo ritmo, muchos sistemas legales ya fomentan activamente el uso del formato PDF.

Arquitectura

¿Cuáles son las arquitecturas relacionadas con las firmas digitales?

iText siempre ha estado a la vanguardia de la gestión de firmas digitales en PDF gracias a su compatiblidad con PAdES y a ser pionera en ofrecer funciones de firma para la versión más reciente de PDF 2.0.

Nuestra API, tan fiable como fácil de usar, se ha establecido firmemente en el sector informático y se ha consolidado tras numerosos éxitos en diversos casos de uso real.

Digital signatures icon
Server-side signing

Use Case: 

  • Company signature: Invoice, Contracts
  • Signing services in the Cloud: DocuSign, Adobe Sign
  • Security management responsibilities

Digital signatures icon
Client-side signing

Use Case:

  • Desktop applications: Adobe Acrobat Pro, Adobe Reader (for Reader-enabled documents, Home-made, e.g. using iText)
  • In a web context: The PDF software runs to the client, e.g. using Java Web Start
  • Access to the token or smart card through MSCAPI, PKCS#11, Custom smart card library (1 Signature / Second)
  • Security: User has smart card and PIN, or USB token and passphrase

Digital signatures icon
Deferred signing

Use Case:

  • Signing on an iPad/Tablet: Easy to integrate into a document management system
  • ISAE 3000: The standard for assurance over non-financial information

Añadir un ejemplo de firma digital

Ejemplo de uso: Smart Certificate 2.0: cree y comparta documentos digitales certificados y fiables

CVTrust desarrolló su plataforma Smart Certificate, que permite a instituciones emitir y compartir digitalmente documentos de gran fidelidad, certificados y verificables con un solo clic. 

  • La nueva versión de la plataforma, Smart Certificate 2.0, incorpora numerosas novedades, desde mejoras en la interfaz de usuario y la comodidad de uso hasta funciones completamente nuevas, y se ha rediseñado para que se pueda utilizar bajo el modelo SaaS (software como servicio) en cualquier organización que necesite emitir documentos certificados y verificables, sea cual sea su finalidad. También incorpora un nivel altamente sofisticado de cifrado de datos y cumple todos los requisitos de privacidad y del Reglamento General de Protección de Datos (RGPD).
  • Smart Certificate 2.0 garantiza asimismo la validez de los documentos emitidos desde su plataforma. Para verificar una cualificación u otra acreditación, basta con hacer clic en un enlace o escanear un código QR en cualquier momento. De este modo se garantiza que una persona que afirme haber alcanzado determinado nivel de cualificación realmente pueda demostrarlo.
  • Para uno de sus clientes belgas más importantes, CVTrust necesitaba utilizar la API de GlobalSign para generar los certificados utilizados en las firmas digitales. Lo consiguió integrando iText 7 en la infraestructura central de Smart Certificate. La nueva solución, que combina iText 7 con la API de GlobalSign, debía ampliar las capacidades de la plataforma Smart Certificate y a la vez ser fácilmente integrable en la infraestructura existente.
  • iText 7 permite la generación masiva de los documentos PDF necesarios y también gestiona la inclusión y visualización de firmas digitales dentro de cada archivo PDF. Cada vez que se otorga un certificado inteligente, la plataforma Smart Certificate genera un PDF único a partir de una plantilla de PDF ya existente. A continuación, se añade al documento una firma digital verificada utilizando la API de GlobalSign.

  • Se genera también un hash único del PDF que se envía a los servidores de Woleet, donde se almacenan de forma segura en la cadena de bloques. CVTrust utiliza la tecnología blockchain para mejorar la seguridad de los documentos y hacerlos prácticamente imposibles de falsificar, ya que cualquier cambio en el hash tendría que replicarse en todos los nodos de la cadena de bloques.

Todo esto significa que los documentos producidos son:

  • •     accesibles con un solo clic (incluye el hash y la verificación en la cadena de bloques),
  • descargables con un clic,
  • compartibles con un solo clic (por ejemplo, en LinkedIn),
  • •    verificables con un clic (a través de un enlace o código QR), para garantizar la integridad, autenticidad y validez de cada documento.
Imagen
A key benefit of Smart Certificates are the secure validation options

Ejemplo de uso: Firmas digitales simplificadas para consumidores y empresas con el lanzamiento de eaZySign

  • Zetes, empresa suministradora de soluciones de identificación de usuarios y de tarjetas de identidad electrónicas (e-ID) belgas, ha lanzado una plataforma de firma digital en la nube que simplifica tanto a empresas como a consumidores la transición del sistema tradicional de firma manual al de firma electrónica. Esta plataforma permite acceder desde cualquier dispositivo (web, ordenador o dispositivo móvil). Con esta flexibilidad, las empresas consiguen generar beneficios más rápidamente, optimizar sus costes y mejorar la calidad de su atención al cliente.
  • Zetes desarrolló la solución eaZySign en colaboración con iText, suministrador de la biblioteca de desarrollo PDF más utilizada del mundo, y GlobalSign, líder en prestación de servicios de identidad y de seguridad. La nueva plataforma eaZySign resuelve dos de los desafíos más comunes para la adopción de firmas digitales: facilitar la gestión y aplicación de firmas digitales y garantizar que las firmas conserven el nivel necesario de fiabilidad y legalidad.
  • eaZySign se puede personalizar para una amplia variedad de necesidades y aplicaciones. Es independiente de la plataforma y del sistema operativo subyacente, lo que permite que el proceso de firma se realice tanto en portales web como en ordenadores personales y en las principales plataformas móviles (iOS, Android). Esto garantiza un fácil acceso a todo tipo de usuarios finales.
  • Las firmas se legitiman a través de tarjetas de identidad electrónicas (e-ID) belgas o de credenciales PKI de GlobalSign, y se ajustan a los estándares de PadES (PDF Advanced Electronic Signatures), según establece el Instituto Europeo de Normas de Telecomunicaciones (ETSI).

Adopción masiva por parte de los consumidores: la combinación de los profundos conocimientos de iText en tecnologías de cifrado con la plataforma eaZySign ha aumentado la facilidad de uso y la seguridad de esta, haciéndola más aceptable para el consumo masivo.  


Flujos de trabajo con firma digital de archivos PDF para procesos empresariales:  iText permitió crear flujos de trabajo de firma digital e integrarlos en la solución de eaZySign. Los usuarios solo necesitan subir sus documentos a la plataforma y ponerlos a disposición de los usuarios finales para que estos los firmen.


Certificado de firma digital y cumplimiento de PAdES: GlobalSign es una autoridad de sellado de tiempo confiable (Trusted Timestamp Authority o TSA) que proporciona los servicios necesarios para garantizar que las firmas digitales generadas en eaZySign cumplan todos los niveles de conformidad establecidos en el estándar PAdES.. También ofrece sellos de tiempo de proveedores ajenos para verificar la fecha de creación de un documento y admite la opción de no repudio.

Contacto

¿Aún tiene preguntas? 

Estamos encantados de responder a sus preguntas. Comuníquese con nosotros y le responderemos a la brevedad.

Contáctenos
Manténgase actualizado

Únase a más de 11,000 suscriptores y conviértase en un experto en iText PDF al mantenerse al día con nuestros nuevos productos, actualizaciones, consejos, soluciones técnicas y eventos.

Suscríbase ahora