Вы находитесь на странице: 1из 52

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.

1
Madrid, 22 de junio de 2010

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

ndice

1. INTRODUCCIN ............................................................................................................................................3 2. REQUISITOS................................................................................................................................................... 5 3. CONFIGURACIN DE LA UTILIDAD .........................................................................................................6 4. USO DE LA UTILIDAD, FIRMA ELECTRNICA DE UN ARCHIVO..................................................... 13 5. USO DE LA UTILIDAD, VALIDACIN DE UNA FIRMA......................................................................... 20 6. VALIDADORES OCSP.................................................................................................................................. 26 7. CONVERSIN DE IMGENES A PDF ....................................................................................................... 28 8. VISUALIZACIN CON DATOS DE FIRMA .............................................................................................. 30 9. SELECCIN DEL NIVEL DE FIRMA......................................................................................................... 33 10. FIRMA MLTIPLE Y CONTRAFIRMA................................................................................................... 34 11. LANZAR VALIDACIONES RECURSIVAS............................................................................................... 36 12. SELECCIN DE ESQUEMAS.................................................................................................................... 37 13. ADMINISTRAR EL REPOSITORIO DE CONFIANZA ........................................................................... 38 14. ADMINISTRAR EL ALMACN PROPIETARIO DE JAVA.................................................................... 42 15. ENLACES DE INTERS............................................................................................................................. 52

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 2 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

1. Introduccin
El objetivo de este documento es presentar la aplicacin de un componente cmodo, sencillo, verstil y de gran fiabilidad que permite generar documentos firmados electrnicamente con los ms avanzados sistemas de firma digital. Siguiendo los estndares internacionales en vigor actualmente, XADES 1.2.2 y con validacin de firma, se cubren gran parte de los aspectos requeridos en la firma digital actual. El aplicativo y servicios desarrollados permitirn generar documentos en formato XML firmado XADES. Dicho formato al mostrar los datos estructurados y con informacin de metadatos permite adems bsquedas avanzadas sobre los documentos y procesos automatizados sobre las mismas, sin perder las funcionalidades de la firma digital avanzada La plataforma es Multi-PKI lo cual permite utilizar cualquier tipo de certificado electrnico X509 v3 emitido por entidades proveedoras de servicios de certificacin que se consideren, ahora o en el futuro, de confianza, pero tiene un gran enfoque en el DNI Electrnico, cubriendo todo lo necesario para trabajar con el de manera cmoda y sencilla

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 3 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


El formato de firma XMLDSign y XADES se divide en diversas partes, como se refleja en la siguiente imagen:

En ella podemos ver una firma digital y las distintas partes tcnicas en las que se divide. 1. La firma digital de documentos XML segn el estndar XADES es tratada por este mdulo con el apoyo de las libreras Apache XML Security, que permiten un tratamiento muy pormenorizado de las mismas. Si bien estas libreras se crearon para tratar el estndar XMLDSig las extensiones a la misma desarrolladas por este equipo permitirn adaptarse a cualquier estndar XADES actual o futuro.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 4 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

2. Requisitos
Los requisitos tcnicos de la aplicacin son los siguientes: 1. Sistemas operativos: Windows XP o superior Linux (Kernel 2.6.x o superior) Mac OS X (Leopard, Snow Leopard, Tiger)

2. Navegadores: Internet Explorer 6 o superior Mozilla Firefox 2.0 o superior

El siguiente cuadro muestra las configuraciones posibles dependiendo del sistema operativo y el navegador:

Navegadores Internet Explorer


Wi ndows

Mozilla

XP

* -

Sistemas Operativos

Vista Win 7

Linux Mac OS (KeyStore Mac)

En el caso de uso del DNIe, se ha detectado una incompatibilidad entre el navegador Mozilla y la aplicacin. Mientras el navegador est lanzado, el DNIe queda bloqueado para su uso en la aplicacin. Como solucin alternativa se recomienda cerrar el navegador una vez lanzada la aplicacin antes de insertar el DNIe en el lector.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 5 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

3. Configuracin de la utilidad
Este cliente permite firmar ficheros, de cualquier tipo, siguiendo el estndar de firma digital XADES. Dichas firmas se realizan mediante el uso de algoritmos RSA, utilizando como claves certificados digitales como el que se encuentra en el DNI electrnico. Para el uso del aplicativo, en su opcin de firmar, deberemos estar en posesin de, al menos, un certificado digital vlido y en vigor. Para iniciar la aplicacin pulsaremos en el icono correspondiente a la misma que nos aparecer tras el proceso de instalacin, dndonos paso a una sencilla pantalla donde podremos observar tres opciones principales y un men superior.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 6 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

La opcin Configuracin nos permitir indicar el rol o papel del firmante o seleccionar un repositorio de certificados. El men de configuracin es el siguiente:

La ventana que aparece al escoger la opcin de configuracin llamada Conexin permite indicar la URL de un servidor Proxy, opcionalmente autenticado, que permita al programa eCoFirma acceder a Internet desde dentro de una red interna. La ventana tiene el siguiente aspecto:

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 7 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


La ventana que aparece al elegir la opcin de Rol de Firma en el men es la siguiente:

En esta ventana tendremos la posibilidad de seleccionar entre dos opciones de firma, excluyentes entre s: 3. Firmar con el rol de firma Autor (opcin por defecto). 4. Firmar con el rol de firma Creador de Copias Digitalizadas.

Estas opciones indican el rol o papel que asume el firmante al generar una firma electrnica XAdES, indicando si es el autor del contenido firmado o se trata de una copia/compulsa.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 8 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


La ventana que aparece al elegir la opcin de Almacn de certificados en el men es la siguiente:

En esta ventana podemos escoger entre el repositorio de certificados contenidos en Internet Explorer, el almacn de certificados contenido en el navegador Mozilla Firefox, el almacn de certificados del sistema operativo Mac OS X o un cuarto almacn propietario propio de Java. En el caso de seleccionar el almacn de Firefox, es preciso indicar la ruta a su perfil. Para ello, utilice el botn de ayuda que abrir una pgina en su navegador Firefox (en otro navegador no funcionara) con la informacin de la ruta al perfil.

Para utilizar el almacn propietario, es necesario indicar un fichero donde se pueda encontrar las propiedades de configuracin de este tipo de almacn, es decir, donde se encuentra el fichero fsico que compone el almacn propiamente dicho, y en caso de que existan, las rutas a los drivers de acceso a tarjetas inteligentes, va PKCS#11.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 9 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

En caso de que utilice el almacn por primera vez, presione el botn que contiene el icono de una carpeta e indique la ruta donde desea que este fichero se auto-genere. Se le propondr un valor por defecto. Finalmente, una vez que se ha creado el fichero de configuracin, presione el botn Administrar almacn para que el nuevo almacn de certificados se auto genere. Durante ste proceso, se le pedir que indique las contraseas que sern necesario indicar para poder acceder a ste almacn.

Al finalizar, si se seleccion el almacn propietario, se mostrar una advertencia de seguridad. Puede encontrar ms informacin en el punto 10 de este manual.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 10 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


La ventana que aparece al elegir la opcin de Directorios en el men es la siguiente:

En esta ventana podemos escoger los directorios en los que se situar cada uno de los dilogos de cargar/salvar ficheros al lanzarse. Se distingue entre tres tipos de dilogos en funcin del tipo de archivo a cargar/salvar: el directorio para certificados, el directorio para documentos y finalmente, el directorio que se mostrar para cargar/salvar firmas. El dilogo le ofrece la posibilidad de escoger entre dos opciones. La primera opcin consiste en que la aplicacin salve el directorio seleccionado cada vez que se realice una operacin de cargar/salvar. De sta forma, la prxima vez que lance una operacin de este tipo, el dilogo que se muestre se ubicar en la misma ruta que se utiliz por ltima vez. La segunda opcin da la posibilidad de que se indique directamente la ruta sobre la que se desea que se ubique el dilogo en la prxima operacin de cargar/salvar, de manera fija. Para cambiar el directorio en la segunda opcin es necesario presionar en el botn a la derecha del cuadro de texto ( ). Se mostrar un cuadro de dilogo para que seleccione o escriba el directorio deseado. El propio dilogo muestra, mediante el color de fondo del rea de texto que contiene al directorio, si la ruta indicada existe o no. Finalmente, para aceptar los cambios introducidos en la configuracin de las distintas opciones hay que pulsar el botn Aceptar o, en caso contrario, el botn Cancelar

para deshacer las modificaciones realizadas en la configuracin.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 11 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Existe una opcin de men, en entornos de ejecucin Windows, que permite asociar la extensin de firma XSIG al programa de firma, de manera que al hacer doble clic sobre un archivo con esta extensin, el sistema operativo lance de manera automtica la validacin de la misma.

La opcin de men se encuentra accesible en la opcin llamada Configuracin/Asociar Extensin, o tambin con el atajo de teclas Alt+L.

Al lanzar dicha opcin, se muestra un dilogo modal que describe el funcionamiento de dicha asociacin, y que muestra un aviso informativo en caso de que la extensin se encuentre ya asociada a algn programa. En caso de que el usuario escoja la opcin Aceptar, se har efectiva dicha asociacin. Por defecto, la opcin seleccionada es la opcin Cancelar, que cierra el dilogo sin hacer nada.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 12 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

4. Uso de la utilidad, firma electrnica de un archivo


La firma electrnica XADES de un documento se realiza desde el men principal de la aplicacin pulsando en el botn Firmar documento original.

Al pulsarlo se nos abrir una ventana que nos permitir seleccionar el documento que queremos firmar.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 13 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

Seleccionamos el fichero deseado y finalizamos pulsaremos el botn Abrir.

El fichero seleccionado aparecer cargado, con toda su ruta, en la siguiente ventana (si hemos cancelado la seleccin no aparecer ningn fichero cargado).

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 14 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

Pulsando el botn Agregar documento se nos permitir seleccionar otro fichero para firmar. En la parte derecha de la tabla aparece un conjunto de botones para realizar distintas acciones. Estos botones son el botn Ver , que abrir el fichero, el botn , que nos

Ir , que abrir la carpeta contenedora del documento, y el botn Borrar permitir borrar el fichero de la lista de Documentos a firmar.

Tras agregar el/los fichero/s pulsaremos en Siguiente con lo que se nos mostrar el paso 2 del asistente de firma. En dicho apartado seleccionaremos el certificado con el que deseamos realizar la firma digital. El certificado debe estar ubicado en el almacn de certificados de Windows o Mozilla de manera que sea accesible para las aplicaciones de firma electrnica. La aplicacin buscar de forma automtica los certificados almacenados. Si no

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 15 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


encontrara ningn certificado, la aplicacin nos dara una advertencia y volvera al paso anterior.

Si los certificados estuviesen almacenados en una tarjeta criptogrfica, es posible que el sistema operativo se demorase en leer el contenido de la tarjeta, por lo tanto, debera hacerse un nuevo intento tras aguardar un momento. Con los certificados digitales cargados la aplicacin presenta una nueva ventana.

El cuadro superior presenta una lista de certificados cuyo uso permite la firma de documentos. Se selecciona el primero de ellos por defecto. El cuadro inferior muestra en un modo de

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 16 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


presentacin tipo rbol los datos del certificado seleccionado: para quin y por quin fue expedido, su validez, su nmero de serie, los usos permitidos para el certificado y el algoritmo que utiliza para la firma. Una vez que se selecciona el certificado deseado se contina el proceso pulsando en el botn Siguiente. Para escoger otro documento distinto al que ya se ha seleccionado, o y se vuelve

para agregar nuevos documentos a la firma, se pulsa el botn Anterior al primer paso en donde es posible cambiar la seleccin de ficheros.

A continuacin se abrir una ventana para indicar dnde guardar el fichero XML de firma.

Para guardar el fichero XML, escriba un nombre (por defecto utiliza la extensin xml), escoja la ruta dnde quiere almacenarlo y luego pulse el botn Guardar. el botn Cancelar guardarlo. Si escoge pulsar

el proceso se perder y deber volver a generarlo para poder

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 17 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

En el tercer y ltimo paso se genera la firma digital XADES. El tiempo en que se tarde en firmar el documento depende del tamao del/de los fichero/s y de las claves criptogrficas utilizadas (por ejemplo, la clave del DNIe es una clave larga, y por lo tanto, es un dispositivo lento en firmar). Para poder firmar el documento se le requerir en algn momento que introduzca en PIN de seguridad correspondiente al certificado seleccionado, en caso de que se encuentre protegido.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 18 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

Una vez finalizada la firma, la aplicacin automticamente presentar una ventana de validacin con el documento firmado.

Los detalles sobre esta ventana sern explicados en el apartado siguiente. Baste decir que si se pulsa sobre el botn Volver a firmar se iniciar un proceso de contrafirmado (Vase el punto 9 del presente manual), es decir, permitir aadir otra firma en cadena al fichero de firma que se acaba de generar.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 19 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

5. Uso de la utilidad, validacin de una firma


La validacin de una firma electrnica XADES se realiza desde la aplicacin pulsando en el botn Validar firma del men principal. La validacin incluye la validacin de los campos firmados en el documento XML, la garanta de que los ficheros firmados no se han modificado y el no repudio del documento por el poseedor del certificado electrnico que firm el documento.

Tras pulsar el botn se nos muestra una ventana emergente en dnde deberemos escoger el fichero firmado que deseamos validar.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 20 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

Una vez seleccionado el fichero correspondiente pulsamos en el botn Abrir proceder con la validacin o Cancelar El resultado aparecer en una nueva ventana. para volver al Men principal.

para

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 21 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


El primer mensaje que aparece nos informar si la firma es vlida , invlida , o con

resultado desconocido o no completable , junto con un texto que indica el nivel XAdES validado, la descripcin de la causa de invalidez en caso de que exista, una advertencia sobre el certificado firmante, si su estado de validez no se encuentra recogido dentro de las firma validada, en cuyo caso debe ser consultado con la CA en cuestin va OCSP (vase el punto 6 del presente manual). Y a continuacin un mensaje sobre la confianza otorgada a cada uno de los elementos, es decir, si stos fueron generados por entidades oficiales (en caso contrario, podran ser objetos falseados. Por ejemplo, sera posible que un usuario cualquiera fabricase un certificado con un nombre falso, pero al no estar emitido por una entidad de confianza, sta advertencia se pondra en rojo, delegando en el usuario decidir si confa en los elementos marcados o no). En la siguiente pestaa, llamada Ficheros firmados, se nos mostrarn los datos originales firmados, contenidos dentro del fichero de firma:

La segunda pestaa muestra datos sobre los ficheros firmados. Se muestra el nombre, tamao y firma asociada, con un color de fondo que es indicativo del resultado de la validacin de firma (verde para firmas vlidas, rojo para las invlidas). Al hacer doble clic sobre el nombre del documento nos permitir abrirlos con la aplicacin que tengamos asociada a la extensin del documento en nuestro Sistema Operativo. Al hacer doble clic en el tamao se nos permitir exportar el documento a la ubicacin que se indique mediante un cuadro de dilogo, y

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 22 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


finalmente, si se hace doble clic sobre la firma asociada, la utilidad mostrar los datos de dicha firma contenidos en la pestaa de firmas. Adicionalmente, en la parte derecha de la tabla, se encuentran dos botones con la misma funcionalidad que tiene hacer doble clic sobre la primera y segunda columna, es decir, para visualizar o exportar el fichero firmado. Si en cualquiera de las tres celdas de la tabla se hace clic con el botn secundario del ratn se muestra un men emergente que muestra las tres opciones anteriormente descritas, mas una cuarta para ver los datos sobre el formato del fichero y otra opcin adicional que permite visualizar el documento con marca de agua, en caso de que se trate de un PDF.

El anterior cuadro, llamado datos de firma, muestra los datos de la firma: El primer nodo es el nodo de la firma, que contiene un icono que define su validez, el nombre asignado a la firma segn el orden ledo del documento y el certificado firmante de la misma entre parntesis. Los datos de la firma penden de ste nodo. Entre dichos datos, se muestra la fecha en que se firm el documento. El siguiente nodo muestra los datos de los certificados digitales almacenados en el fichero de firma. Si se hace clic con el botn secundario del ratn sobre el nodo de certificado o alguno de sus hijos se mostrar un men contextual que permite escoger entre tres opciones, ver los datos del certificado, exportar el certificado y validar el certificado va OCSP, si esta correctamente configurado un validador OCSP.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 23 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Como muestra el siguiente cuadro, al hacer doble clic sobre cualquiera de los nodos del tipo certificado (o al hacer clic con el botn secundario del ratn y seleccionar la opcin de ver certificado) se mostrar informacin detallada de los mismos con una ventana emergente en un modo de presentacin tipo rbol: los datos del certificado seleccionado, para quin y por quin fue expedido, su validez, su nmero de serie, los usos permitidos para el certificado y el algoritmo que utiliza para la firma. La otra opcin disponible en el men emergente es la de exportar el certificado.

Cualquiera de los certificados mostrados puede ser exportado a un fichero .cer mediante el botn exportar .

A continuacin se muestra el formato XAdES de la firma, junto con el tipo de esquema XAdES que el documento firmado tiene. Tambin, en el caso de que la firma poseyera el formato XADES-T en adelante, nos mostrara informacin sobre los sellos de tiempo contenidos: fecha y hora exacta de generacin, el emisor del sello, la precisin si la tuviese, el algoritmo utilizado en su generacin y el tipo de sello que es.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 24 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Anlogamente, si la firma es de tipo C en adelante, se mostraran datos sobre las consultas de certificados existentes, ya sean va OCSP o va listas de revocacin. Los datos son, el emisor de la respuesta, el nombre del certificado validado, la fecha de la consulta y el resultado obtenido sobre el estado del certificado.

En caso de haberlos, tambin nos mostrara los roles del firmante. Cada uno de los elementos implicados en los datos de la firma, tienen un estado de confianza asociado, que indica si el elemento es considerado de confianza por la aplicacin. Esto quiere decir que se comprueba automticamente si la entidad es oficial, permitiendo al usuario depositar su confianza en dicho elemento. Para un certificado, se comprobara si se confa en el emisor del certificado, etc Por ltimo, si se pulsa el botn Volver a firmar se iniciar un proceso de contrafirmado (Vase el punto 9 del presente manual), es decir, permitir aadir otra firma en cadena al fichero de firma que se acaba de validar. .

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 25 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

6. Validadores OCSP
Cuando una autoridad de certificacin (CA) emite un certificado, le asigna automticamente un periodo de validez, y un estado de revocacin. El periodo de validez es un plazo de tiempo definido durante el cual el uso del certificado est habilitado. El estado de revocacin es un estado de validez que la CA asigna al certificado, y que puede cambiar de valor en cualquier momento. Dicha validez puede tener dos estados diferentes, certificado vlido o certificado revocado. La utilidad de ste sistema de estados consiste en definir un mecanismo con el cual deshabilitar el uso indebido del certificado en caso de que ste quede comprometido, ya sea por robo, prdida, deterioro, etc Para que el estado de un certificado pueda ser consultado, las CAs publican unos servicios Web que bajo un protocolo concreto, el protocolo OCSP (Online Certificate Status Protocol) que permite realizar una consulta sobre un certificado en concreto. El servicio Web responder a la consulta de tres maneras distintas, Certificado vlido cuando el uso del certificado est declarado como legtimo, Certificado revocado cuando el certificado ha sido deshabilitado y Certificado desconocido en caso de que la CA no disponga de datos sobre el certificado consultado. La aplicacin eCoFirma permite realizar consultas sobre el estado de un certificado siguiendo ste mecanismo de validacin. Para ello, se ha de configurar la aplicacin para que realice las consultas OCSP a una URL en concreto. La opcin de configuracin que permite configurar las URLs de los validadotes OCSP se encuentra en Configuracin/Validadores OCSP. Al hacer clic sobre dicha opcin, aparecer un dilogo con el siguiente aspecto.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 26 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Como se puede observar, se trata de una lista ordenada con las direcciones donde se encuentran ubicados los servicios de validacin. El estado de revocacin de un certificado se ir consultando contra las URL configuradas empezando por la primera en adelante, hasta que se obtenga una respuesta relevante para conocer el estado del certificado. Para agregar una nueva URL, haga clic sobre la ltima fila de la tabla e introduzca la direccin. Para eliminar una URL, haga clic sobre el aspa que aparece a su derecha. Para modificar una URL, haga doble clic sobre la fila en cuestin e introduzca las modificaciones. Finalmente, presione Intro o haga clic fuera de la lnea para fijar los cambios. Para modificar el orden de una URL, haga clic sobre la fila para seleccionarla y muvala libremente utilizando las flechas que aparecen en la derecha del dilogo.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 27 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

7. Conversin de imgenes a PDF


El programa eCoFirma implementa la posibilidad de que, en caso de que se firmen imgenes, stas sean introducidas dentro de un nico fichero PDF, siguiendo una configuracin parametrizable:

Esta conversin se realizar en funcin de la configuracin de usuario, en la cual se puede especificar el tamao que tendr la hoja sobre la que se incrustar la imagen. Tambin se puede especificar si se desea que se conserven los tamaos de imagen originales o se desea que las imgenes se reescalen hasta ocupar todo el espacio disponible en la pgina. Finalmente, en el tercer apartado, se puede especificar la posicin de la pgina, o dejar que se detecte automticamente qu posicin es ms conveniente, en funcin de las proporciones de la/s imagen/es a incrustar.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 28 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Para introducir imgenes en un fichero PDF que ser firmado, y de esta forma poder explotar las ventajas que ofrecen los ficheros PDF, tan solo hay que seguir el proceso normal de firma. Si todos los ficheros introducidos en el momento de agregar documentos a firmar, son ficheros de tipo imagen, al pulsar el botn Siguiente automticamente se introducirn la/s imagen/es en un fichero PDF.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 29 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

8. Visualizacin con datos de firma


El programa eCoFirma implementa la posibilidad de que se visualicen ficheros PDF (o imgenes, dado que es posible convertirlas a PDF, como se explica en el apartado anterior), con una zona informativa que contenga datos sobre la firma electrnica asociada, de manera que se pueda visualizar os datos firmados junto con los datos de su firma. Esta rea de informacin tambin esta denominada como marca de agua. Para poder acceder a ella, es necesario lanzar un proceso de validacin completo sobre una firma, e ir al apartado de ficheros firmados. Si el tipo de fichero firmado lo permite, se habilitar un botn (una gota de agua) que permite abrir el PDF con informacin de firma en una marca de agua. Del mismo modo, si se hace clic con el botn derecho del ratn sobre la fila correspondiente, aparecer una opcin habilitada para ver el documento con marca de agua.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 30 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


La marca de agua mostrada es configurable. Para configurar cmo se muestra la marca de agua haga clic en la opcin de men llamada Configuracin/PDF con datos de firma o presione a la vez las teclas Alt y P. Se abrir un cuadro de dilogo en el que podr definir la posicin de la marca de agua en el documento, su relacin con el contenido del PDF, y su altura. Si se marca la altura proporcional, el tamao de la marca de agua se calcular automticamente en funcin del texto a mostrar en la marca de agua y el tamao del documento sobre el que se va a situar.

El estilo de marca superpuesta mantiene el documento PDF sin cambios y coloca encima la marca de agua, que es semitransparente. El estilo estrechado, hace el contenido ms estrecho, sin mantener las proporciones originales del mismo. En cambio, el estilo redimensionado reescala el contenido manteniendo las proporciones originales.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 31 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


La marca de agua consiste en una imagen de fondo que muestra el escudo de Espaa en mosaico, junto con la palabra FIRMADO, todo ello con una opacidad semitransparente, y que contiene informacin sobre todas las firmas que directa o indirectamente hayan firmado el documento a mostrar. Dicha informacin estar formada por el nombre del actor firmante, extrado de su certificado, el nombre de la autoridad de certificacin que lo expidi, el nmero de serie asignado por la CA al certificado firmante, y en caso de estar disponible, los sellos de tiempo incluidos en la misma. En caso de no disponer de sellos de tiempo, se mostrar la fecha de emisin de la firma. Seguidamente, se recoge un cdigo de integridad del documento original para que sea posible comprobar que los datos recogidos no fueron modificados. Dicho valor es el resultado hexadecimal de aplicar el algoritmo de Digest indicado entre parntesis al documento original. Finalmente, se muestra informacin sobre el nmero de pgina actual de un total de pginas tambin definido, y un mensaje informativo que ilustra que la marca de agua tiene un valor informativo, sin vinculacin legal que asegure que lo que se est mostrando es autntico.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 32 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

9. Seleccin del nivel de firma


La aplicacin eValFirma, por defecto, realiza firmas de tipo XAdES-BES, que son el tipo de firma extendida de menor nivel, en la cual se toman los datos a firmar, se firman y se incluyen datos sobre el certificado firmante y la fecha y hora tomadas del sistema sobre el que se calcul la firma. Cada nivel de firma extiende del nivel anterior, formando un orden jerrquico, en el cual, el nivel mayor de firma XAdES lo engloba todo. Las firmas XAdES tienen sus races en la especificacin XMLDSig y a partir de ella extienden el formato. Las firmas XMLDSig (http://www.w3.org/TR/xmldsig-core/) son un tipo de firmas basadas en el metalenguaje XML que reciben como parmetros de entrada un contenedor XML sobre el cual se va incluir la firma calculada. Opcionalmente, la aplicacin permite seleccionar entre diferentes niveles de firma XAdES a escoger entre: XAdES-BES.- La firma XAdES-BES es la ms bsica. No permite asegurar que la firma fue realizada antes de una fecha dada o que se realiz con un certificado vlido en ese momento. XAdES-T.- La firma XAdES-T es similar a XAdES-BES, pero incluye un sello de tiempo que permite asegurar la existencia de la firma antes de una fecha de tiempo. Esta firma no asegura que el certificado usado fuera vlido en ese momento. XAdES-XL.- La firma XAdES-XL guarda informacin sobre la fecha en la que se realiz la firma y el estado del certificado usado. Es una firma longeva que permite su archivado pero no es vlida para largos periodos de tiempo.

Para aquellas firmas que requieran un servidor de sellado de tiempo, se habilita una campo de texto donde el usuario debe indicar la URL que corresponda.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 33 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

10. Firma mltiple y contrafirma


El programa eCoFirma implementa la validacin de ficheros compuestos por mltiples firmas y da la posibilidad de realizar la contrafirma de una de las firmas validadas. La contrafirma es un proceso por el cual una firma preexistente se firma nuevamente. A continuacin se explican las peculiaridades de la interfaz de validacin con firmas mltiples.

Al validar un documento con una firma compuesta, el resultado de firma mostrado es un resumen de los resultados de todas las firmas implicadas, de forma que si existe una firma invlida, el resultado mostrado ser de invalidez total, mostrndose, a la derecha, el desglose de los resultados obtenidos de cada una de las firmas.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 34 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Tras validar y mostrar el resultado, se abre de manera automtica el mapa de firmas, que ilustra la estructura de firmas interna del documento. Dicha ventana se desvanecer cuando pierda el foco, pudiendo ser recuperada haciendo clic en el texto azul y subrayado de la esquina superior derecha. Si se hace doble clic sobre alguna de las firmas mostradas en el mapa de firmas, se mostrarn los datos de dicha firma, que incluirn un nodo adicional indicando si son contrafirma de otra firma y/o si es una firma contrafirmada por otra. Si se hace doble clic sobre la firma contenida en ste nodo, se muestra su informacin.

Para contrafirmar la ltima firma validada (en la figura de abajo, se contrafirmara la Firma 4) presione el botn Volver a firmar. La accin realizada es una contrafirma de la ltima firma, de forma que la estructura de firmas que puede obtenerse de sta manera es la siguiente:

A continuacin, se lanza el proceso de contrafirma, que es un proceso anlogo al proceso de firma explicado anteriormente, pero sin necesidad de indicar el documento original a firmar.

Adicionalmente, es posible realizar una contrafirma haciendo clic sobre el tercer botn del men principal, titulado Aadir nueva firma, que lanzar un proceso completo de contrafirma de la ltima firma de la cadena, partiendo de la/s firma/s originales, en caso de que superen un proceso completo de validacin.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 35 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

11. Lanzar validaciones recursivas


La aplicacin eCoFirma implementa un mecanismo que permite validar todas las firmas contenidas dentro de un directorio (y contrafirmas presentes en cada fichero de firma) para generar un fichero donde se recojan todos los resultados de validacin obtenidos. Este mecanismo es accesible desde la opcin de men Men/Validar y generar log (recursivo) (Alt + V). Si se selecciona esta opcin entonces el sistema le pedir que indique dos datos: Ruta al directorio a validar, donde se encuentran las firmas electrnicas Destino del fichero de Log a generar

Una vez indicados estos dos parmetros, se lanza el proceso de validacin recursivo firma a firma y cuando termine el proceso se mostrar un cuadro emergente mostrando un resumen de los resultados obtenidos.

Adicionalmente, se ha generado un fichero de texto plano donde se pormenorizan los resultados de cada firma.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 36 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

12. Seleccin de esquemas


Con la aplicacin eCoFirma es posible seleccionar el tipo de esquema de firma que se va a emplear en las firmas que se expidan a travs de una ventana de dilogo. Dicha ventana de dilogo se encuentra accesible haciendo clic sobre la opcin de men llamada Configuracin/Esquemas (Alt+E). En el cuadro de dilogo podr: Seleccionar el esquema de firma XAdES a emplear, a escoger entre los esquemas XAdES 1.2.2 y XAdES 1.3.2. Seleccionar el algoritmo de Digest a emplear en la firma, a escoger entre SHA-2 y SHA512. Prximamente se podr emplear tambin para escoger el algoritmo de Digest de los sellos de tiempo.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 37 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

13. Administrar el repositorio de confianza


En los procesos de firma electrnica se emplean certificados que contienen datos relativos a la identidad del propietario, que lo identifican unvocamente. Sin un mecanismo que asegure la veracidad de esta informacin, cabra la posibilidad de que el certificado contenga unos datos falseados o que no se corresponden con la verdadera identidad de aquel que posee la clave privada. Es ah donde entran en juego las cadenas de confianza. Las cadenas de confianza consisten en una propagacin de la confianza depositada en una entidad oficial (la FNMT, la DGP, etc...) que garantiza la veracidad de los datos firmados que expide. De esta forma, cualquier usuario puede comprobar sin lugar a dudas que el certificado fue expedido por dicha autoridad de confianza y no otra. As pues, el receptor de un documento firmado debe utilizar la clave pblica del firmante para comprobar que la firma es vlida, y adicionalmente, reconstruir la cadena de certificacin (validando las firmas de cada punto de la cadena de certificados utilizando para ello la clave publica del emisor) hasta alcanzar un certificado oficial en el cual el receptor decide confiar. Por lo tanto, los componentes de firma implementan un mecanismo que realiza estas comprobaciones de manera automtica. Es decir, cuando se valida una firma electrnica, se valida tambin cada uno de sus componentes para comprobar que fueron expedidos por una autoridad declarada de confianza. Para ello, la aplicacin eCoFirma contiene un repositorio de certificados declarados por el usuario como de confianza, que esta bajo su responsabilidad. De esta manera, la firma que acompaa a los certificados, los sellos de tiempo, respuestas OCSP, etc, pueden ser validadas para comprobar que fueron expedidas por una entidad que, segn el usuario, garantiza la veracidad de lo que expide, y en caso de que esto no sea as, muestre un aviso para que el validador compruebe personalmente si los emisores no recogidos en el sistema son merecedores de confianza o no. Por defecto, la aplicacin eCoFirma asigna como de confianza cualquier elemento emitido por la Fabrica Nacional de la Moneda y Timbre, y por los certificados raz del DNI electrnico. Es responsabilidad del usuario indicar en este repositorio aquellos certificados de otras entidades en las cuales el usuario confa. La aplicacin eCoFirma implementa un administrador para este repositorio de confianza, accesible desde la opcin de men Configuracin/Administrador de la confianza (Alt+E).

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 38 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Si se hace clic sobre esta opcin de men, se mostrar un cuadro de dilogo que contiene los certificados pblicos incluidos por el usuario en el sistema de confianza y un par de botones que permiten incluir nuevos certificados o borrarlos

Si se hace doble clic sobre alguno de los certificados se mostrar una ventana flotante que contiene toda la informacin contenida en el certificado, junto a un botn que permite exportar el certificado mostrado.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 39 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Para incluir un nuevo certificado se debe hacer clic sobre el botn Aadir. Se mostrar un cuadro de dilogo para que se indique el fichero donde se encuentra el certificado pblico a agregar al repositorio, y posteriormente, se mostrar un cuadro de dilogo cuya finalidad consiste en que se indique qu tipo de certificado es

Certificado de firma de usuario: Sirve para indicar que el certificado de confianza es de una persona o entidad, nicamente. Certificado emisor de certificados de firma: Sirve para indicar que se confa en cualquier certificado expedido por el certificado incluido. Certificado OCSP de entidad: Sirve para indicar que se confa en cualquier respuesta OCSP firmada con el certificado aadido. Certificado emisor de certificados OCSP: Sirve para indicar que se confa en cualquier certificado firmante de respuestas OCSP que haya sido expedido por el aadido. Certificado emisor de listas de revocacin: Sirve para indicar que se confa en cualquier CRL (lista de certificados revocados) firmada por el certificado incluido. Certificado TSA de entidad: Sirve para indicar que se confa en cualquier sello de tiempo firmado por el certificado incluido. Certificado emisor de certificados de TSA: Sirve para indicar que se confa en cualquier sello de tiempo firmado por un certificado que haya sido expedido por el certificado aadido.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 40 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Para borrar un certificado del repositorio de certificados de confianza, simplemente seleccione de la lista el certificado que desea borrar y haga uso del botn Borrar.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 41 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1

14. Administrar el almacn propietario de Java


Un almacn de certificados (o Key Store, en ingls) es un recipiente software que almacena certificados y sus claves asociadas, entre otras posibilidades, es decir, es un fichero que hace las veces de repositorio de certificados y claves. Este almacn se localiza en un nico archivo (aunque es posible tener varios archivos o almacenes) y cada archivo se puede editar de tal manera que se pueden introducir nuevos certificados y eliminar o exportar los ya existentes. La ruta, path o ubicacin del almacn se llama usualmente almacn de certificados. Un almacn tendr, a menudo, muchos certificados, posiblemente emitidos por varias entidades emisoras distintas. La informacin que compone dicho almacn, por lo tanto, consiste en certificados software asociados a una clave criptogrfica pblica, y opcionalmente, a una clave privada. Los accesos a esa informacin estn protegidos mediante encriptacin, haciendo especial hincapi en la proteccin de las claves privadas. De sta forma, en el momento en el que se requiere una autenticacin, o se va a realizar una firma electrnica, se accede al almacn de certificados para emplear las capacidades de los certificados ah recogidos, que se encuentran clasificados atendiendo a criterios de uso, y protegidos de usos indebidos mediante criptografa. Generalmente, los usos ms comunes de un certificado dependen de si ste tiene una clave privada asociada o no. En caso de tener asociada una clave privada, el certificado ser empleado normalmente para realizar labores de firma y autenticacin frente a terceros. En cambio, si el certificado slo contiene su clave publica, ser empleado para realizar labores de validacin de autenticidad, dado que con la clave pblica, se puede comprobar si unos datos fueron firmados empleando la clave privada simtrica. En caso de que dicha validacin se cumpliese, los datos estaran firmados por una autoridad de confianza y seran aceptables. Para realizar todas stas validaciones y con el fin de proporcionar una navegacin ms segura, los navegadores IExplorer y Firefox tienen sus propios almacenes de certificados, en los cuales ya se encuentran precargadas unas autoridades de confianza reconocidas, y en los cuales un usuario puede importar sus propios certificados. Se puede acceder al almacn de IExplorer haciendo clic en la opcin de men "Herramientas/Opciones de Internet". A continuacin vaya a la pestaa "Contenido", y haga clic en "Certificados". Para Firefox, el camino a seguir sera ir a "Herramientas/Opciones". En la pestaa "Cifrado", haga clic en "Certificados" para acceder.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 42 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Existen diversas utilidades para manejar toda sta informacin, aunque mencionaremos solamente y por ejemplo, la utilidad "keytool.exe" (por lnea de comandos, incluido en Java JDK o JRE) que es una coleccin de herramientas que permiten realizar diversas tareas sobre almacenes de certificados. Tambin puede utilizar una aplicacin grfica basada en la utilidad llamada "KeyTool GUI". Es un til de administracin con su propio almacn. La implementacin que el Ministerio de Industria ha escogido para su almacn de certificados se apoya en el estndar PKCS #12, el cual se explica ms adelante.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 43 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Un vistazo a los estndares PKCS PKCS se refiere a un grupo de estndares de criptografa de clave pblica, que fueron concebidos y publicados por los laboratorios RSA en California. Dichos estndares fueron evolucionando con el tiempo, por lo que existen estndares obsoletos que ya no se utilizan, y existen estndares que sustituyen a otros o se apoyan en ellos. En general, se puede decir que estos estndares definen una manera de emplear algoritmos criptogrficos para implementar los distintos usos que se pueden conseguir con stos. Es decir, establecen una manera uniforme de organizar la informacin para realizar una firma, o para realizar una peticin de certificado, etc... Cada uno de estos estndares tiene un mbito de aplicacin acotado, y estn diseados para usos bien definidos. Los principales estndares, y sus principales usos son los siguientes:

Nombre

Ver.

Comentario

PCKS#1

2.1

RFC 3447. Define el formato del cifrado RSA.

PKCS#3

1.4

Estndar de intercambio de claves Diffie-Hellman.

PKCS#7

1.5

RFC 2315 Estndar sobre la sintaxis del mensaje criptogrfico. Usado para firmar y/o cifrar mensajes en PKI.

PKCS#8

1.2

Estndar sobre la sintaxis de la informacin de clave privada.

PKCS#11 2.2

Interfaz de dispositivo criptogrfico ("Cryptographic Token Interface"). Define un API genrico de acceso a dispositivos criptogrficos.

PKCS#12 1.0

Estndar de sintaxis de intercambio de informacin personal. Define un formato de fichero usado comnmente para almacenar claves privadas con su certificado de clave pblica protegido mediante clave simtrica.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 44 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


El estndar PKCS 12 Este estndar define un medio de almacenaje de informacin que ser compartida y debe estar protegida. En la arquitectura PKCS12, existen dos formas diferenciadas de compartir la informacin, el modo privado y el modo pblico. Hay cuatro combinaciones de modos privados y modos de integridad segn se utilicen polticas de llave pblica o de contrasea. Los modos privados utilizan el cifrado para dar proteccin a la informacin personal frente a una posible exposicin pblica y los modos de integridad protegen la informacin personal de la falsificacin o modificacin indebida de sta. Adicionalmente, el estndar contiene un campo que sigue el estndar PKCS 7, utilizado para firmar el contenido y as asegurar la autentificacin. El estndar PKCS 11 El estndar PKCS 11 es un estndar que define los accesos a dispositivos criptogrficos basados en hardware, es decir, se trata del acceso a tarjetas inteligentes, que generan, almacenan y protegen claves criptogrficas. Suelen aportar aceleracin hardware para operaciones criptogrficas de clave pblica, que se efectan dentro del propio hardware. Es decir, que las labores criptogrficas se realizan dentro del propio chip, de manera que las claves implicadas en el proceso no salgan de ste entorno seguro. El protocolo establece vas de comunicacin para hacer peticiones a la tarjeta. Para un correcto funcionamiento de una pasarela de comunicacin PKCS#11 con un recurso criptogrfico alojado en una tarjeta inteligente, es preciso que el fabricante del token (de la tarjeta) provea del driver de comunicaciones especfico que implementa ste protocolo estndar de comunicacin, que normalmente, viajar a travs de un lector de tarjetas (el cual tambin requerir su driver especfico).

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 45 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


El almacn MITyC El almacn de certificados desarrollado por el ministerio de industria, turismo y comercio, es un almacn basado en el estndar PKCS#12, que es un estndar para el almacenamiento de claves privadas, certificados, informacin secreta y extensiones. La utilidad del uso de un estndar es que cualquier mquina que soporte esta norma puede importar, exportar y emplear un conjunto de informaciones, protegidas con un identificador personal. El almacn, adems, contempla el acceso adicional y configurable a pasarelas PKCS#11 para la comunicacin con tarjetas inteligentes, indicando cual es el driver de comunicacin para el token deseado (la tarjeta). Este almacn consiste en un nico fichero, que puede estar ubicado en cualquier soporte fsico, cuyo acceso puede estar protegido con contrasea, u opcionalmente, puede dejarse abierto a cualquiera que pueda acceder al mismo. Los accesos a claves privadas estn protegidos adicionalmente. Dicha proteccin es configurable por el usuario, que puede escoger entre: Acceso con contrasea adicional.- Se pide la contrasea en cada peticin de acceso. Acceso con contrasea adicional cacheada.- Se pide la contrasea slo en el primer acceso. Acceso con aviso.- Se muestra un aviso en cada acceso, dando la posibilidad al usuario de que cancele. Acceso transparente.- Se accede al recurso sin que medie ninguna proteccin.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 46 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Funcionamiento del administrador El administrador del almacn es una interfaz que haciendo uso de la interfaz de escritura del almacn, permite importar, exportar, actualizar o borrar certificados, as como configurar la proteccin que se desea. Su funcionamiento es el siguiente: En primer lugar, es preciso levantar la instancia del almacn. Para ello se debe proveer de un fichero de configuracin. Dicho almacn emplea internamente el proveedor propio de SUN para la clase KeyStore, llamado JCEKS. Puede consultar la informacin sobre dicha clase en el API de Java. Si el almacn no existe y se autogenera, se pedir al usuario que introduzca la contrasea de proteccin que se pedir en los futuros accesos al almacn.

Si la configuracin del almacn incluye drivers para accesos PKCS 11 a tarjetas inteligentes, y se detecta que existe una introducida en el slot del lector, se acceder automticamente a ella, pidiendo, en caso de que sea necesario, el PIN.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 47 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Una vez que se ha accedido al almacn, se muestra su contenido en dos tablas. Est la tabla de certificados propios, que son certificados de firma, con clave privada asociada, y las autoridades de confianza, solo con clave pblica. Cada tabla tiene tres botones asociados para realizar las tareas comunes, es decir, hay un botn para importar un certificado, borrarlo o actualizarlo.

En el caso de las autoridades de confianza, no se permite actualizar certificados. Cada tabla muestra tres tipos de datos sobre los certificados que contiene. El primero de los datos indica quin es el propietario del mismo, la segunda columna de la tabla muestra que fue el emisor que lo expidi y la tercera cabecera indica cual es su fecha de caducidad.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 48 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


Si se hace doble clic sobre cualquiera de los certificados, se mostrar una ventana de informacin con los datos pormenorizados ms relevantes de dicho certificado. Adems, dicha ventana permite exportar el certificado X509Certificate. En ningn caso se permite exportar la clave privada asociada, en caso de que exista.

Si se desea borrar un certificado del almacn, haga clic en el botn Borrar. El borrado ser automtico para el caso de los certificados de autenticacin. En el caso de los certificados de firma, el borrado incluye tambin el borrado del par de claves asociadas al mismo, por lo que se requiere un acceso a la clave privada. En caso de que la clave privada a borrar est protegida, se seguir el mismo protocolo de seguridad que se sigue en los accesos a claves privadas.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 49 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


A continuacin se explica el funcionamiento de una importacin de certificado. En el siguiente apartado podr ver cmo es el sistema que permite indicar el contexto de seguridad a aplicar para los accesos a las claves privadas. Si se desea aadir un certificado al almacn, haga clic en el botn Aadir. Se mostrar un dilogo para que indique la ruta del fichero que contiene el certificado, que podr ser un fichero .p12 (para certificados con clave privada, segn PKCS 12) o un .cer. Si el contenedor del certificado est protegido con contrasea, se pedir que la indique. Es posible que el acceso a la clave privada tambin est protegido por contrasea. A continuacin, se muestra el dilogo que le permite indicar cual es el contexto de seguridad a aplicar en los futuros accesos a claves privadas. En l puede establecer que el acceso se proteja mediante una contrasea, o que no se proteja de ningn modo.. Tambin puede simplemente indicar que se avise en su uso.

Cada cambio en el almacn de certificados es automticamente salvado, por lo que cada accin realizada ser irreversible, por polticas de seguridad. Tenga cuidado con las acciones que realiza en el administrador para no perder informacin.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 50 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


El fichero de configuracin El fichero de configuracin indica dnde se encuentra situado fsicamente el almacn de certificados a cargar, es decir, el path donde se encuentra el fichero PKCS 12. Adems, el archivo de configuracin indica dnde se encuentran los drivers para la comunicacin con tarjetas inteligentes. Habr una entrada para cada uno de los prestadores que se soportarn, indicando nombre y ruta al driver.

############## Almacn de certificados ############## # Uso: KeyStoreName=./.keystore

############## Rutas a libreras PKCS#11 ############ # Uso: <prefijo>.name = # <prefijo>.library =

Incluir un driver para el acceso PKCS#11 La interfaz grfica de administracin del almacn dispone de un botn, llamado Preferencias, que al ser pulsado permite realizar dos acciones, cambiar la contrasea de acceso al propio almacn y enlazar con un driver de acceso a tarjetas inteligentes.

Para enlazar un driver, simplemente pulse el botn aadir e indique la ruta al driver.

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 51 de 52

Manual de usuario de la utilidad de copia y firma electrnica eCoFirma v1.2.1


15. Enlaces de inters
Sobre firma electrnica http://www.mityc.es/dgdsi/es-ES/Servicios/FirmaElectronica/Paginas/FirmaElectronica.aspx

Ley 59/2003 de firma electrnica en Espaa http://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf

Sobre XAdES: http://www.w3.org/TR/XAdES/

Aplicacin eCoFirma (Componentes de firma MITyC) http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofirma/index.html

Cdigo fuente y descargas de los componentes de firma bajo LGPL http://oficinavirtual.mityc.es/componentes/

Sobre el DNI electrnico http://www.dnielectronico.es/

Documentacin sobre criptografa para Java SE 1.5 http://java.sun.com/j2se/1.5.0/docs/guide/security/

MANUAL DE USUARIO DE LA UTILIDAD DE COPIA, FIRMA Y VALIDACIN ELECTRNICA eCoFirma v1.2.1 Pgina 52 de 52

Вам также может понравиться