Formatos de firma electrónica

PAdES, XAdES y CAdES

Las firmas electrónicas avanzadas o cualificadas en cumplimiento con el Reglamento eIDAS, basadas en tecnología de clave pública (PKI), deben ser implementadas técnicamente a través de los Perfiles Baseline AdES que han sido desarrollados por el Instituto de Estándares de Telecomunicaciones europeo (ETSI).

Los formatos de firma electrónica más comunes utilizados en la Unión Europea son las firmas electrónicas XAdES, PAdES y CAdES, en función del tipo de archivo a firmar.

Es importante no confundir una firma electrónica avanzada o cualificada, en conformidad con los estándares ETSI, con una firma grafométrica en la que se captura el grafo de firma mediante un tablet o hecha con el mouse, y se estampa en un documento electrónico. Esta última, no está basada en ninguna norma europea, ni tiene equivalencia legal a una firma manuscrita, ni son firma electrónicas avanzadas. 

El Reglamento eIDAS, a través de la Decisión de Ejecución 2015/1506/UE, define una serie de perfiles de referencia para garantizar que las firmas electrónicas puedan crearse y validarse en cualquier lugar de Europa, que son los que se indican en el presente artículo.

PAdES - PDF

PAdES significa PDF Advanced Electronic Signature y es el formato adecuado cuando el archivo a firmar es un documento pdf. La firma electrónica PAdES genera un sobre criptográfico que es en sí mismo un PDF. En otras palabras, la firma electrónica PAdES es un PDF, por lo que para visualizarla, no requiere de ningún software adicional, basta con un  lector PDF. 

Este formato permite añadir una firma gráfica visible al documento, en la que introducir infromación del firmante, fecha y hora, y cualquier otro dato relevante. Además, permite firmar un documento sin invalidar otras firmas anteriores.

El software de ANF AC permite personalizar la firma electrónica visible de documentos pdf tanto como se necesite, permitiendo añadir el logo de su empresa e incluso combinarla con firmas grafométricas.

El formato PAdES se especifica en la norma europea ETSI EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES).

XAdES - XML

XAdES significa XML Advanced Electronic Signature y XML significa Lenguaje de Marcado Extensible (Extensible Markup Language). Este formato permite firmar archivos electrónicos como imágenes (.jpeg, .png), .mp3, datos binarios (.exe), PDF, facturas electrónicas para FACe, e incluso transacciones SEPA (Zona Única de Pagos en Euros). El resultado de una firma XAdES es un archivo de texto XML, lo que facilita el procesamiento automático.

El archivo XML resultado de la firma suele ser más grandes que en el caso de CAdES, por lo que no es adecuado cuando el fichero original es muy grande.

XAdES permite 2 modos de firma:

  • Detached (Separado): produce un archivo XML sin modificar el archivo inicial. Los datos están separados de la firma, pero luego se pueden empaquetar juntos.
  • Enveloped (Envuelta): produce un archivo XML que incluye los datos. La firma luego envuelve todo junto.

Consulta los tipos de empaquetado de firmas electrónicas para saber más sobre firmas "detached", "enveloped" y "enveloping".

El formato XAdES se especifica en la norma europea ETSI EN 319 132 XML Advanced Electronic Signatures (XAdES)

CAdES - CMS - Cualquier archivo

CAdES significa CMS Advanced Electronic Signature, y CMS significa "Sintaxis de mensajes criptográficos" (Cryptographic Message Syntax).

El resultado de firma CAdES, es un sobre criptográfico que contiene el archivo original. La extensión de este nuevo archivo es .p7m. Esto no permite añadir una firma gráfica visible en el documento.

El formato CAdES se especifica en la norma europea ETSI EN 319 122 CMS Advanced Electronic Signatures (CAdES). Esta firma electrónica es muy versátil, ya que se puede colocar en cualquier tipo de archivo: archivos de texto (.doc, .docx), hojas de cálculo (.xls, .xlsx), imágenes (.jpg, .png, .gif) y PDF.

Sin embargo, CAdES requiere de un software de firma electrónica específico para poder abrir el archivo resultante (.p7m), y, en caso de múltiples firmas en el mismo documento, los usuarios deben recrear un sobre p7m para cada anexión.

ASiC - Associated Signature Containers

Contenedor de datos en cumplimiento con ETSI EN 319 162-1 que se utilizan para mantener un grupo de archivos (documentos, hojas de cálculo, contenido multimedia, XMLs...) y firmas electrónicas y/o sellos de tiempo que están asociados a esos objetos. Estos datos se almacenan el ASiC en formato ZIP.

La estructura interna de un ASiC incluye dos carpetas:
  1. Una carpeta raíz que almacena los archivos firmados y posiblemente subcarpetas que reflejen la estructura de ese contenido.
  2. Una carpeta "META-INF" que reside en la carpeta raíz para los archivos que contienen metadatos sobre el contenido, incluyendo sus archivos de firma y/o de sello de tiempo asociados.
Existen dos tipos de contenedores ASiC: 
  • ASiC Sencillo (ASiC-S): un único objeto de archivo se asocia a un archivo de firma o de sello de tiempo.
  • ASiC Extendido (ASiC-E): puede contener uno o varios archivos de firma o sellos de tiempo.
ANF AC soporta ambos tipos de firmas ASiC tanto para formato CaDES como XaDES. 

Adicional: Formato PKCS7

PKCS#7 SignedData es un formato CMS que permite contener una firma electrónica, certificados o cualquier otro mensaje criptográfico. Especificado por el IETF dentro de la recomendación RFC 2315.

La firma con formato PKCS#7 no depende del certificado, sino del software empleado en la firma. Por lo que sabemos, en Adobe el formato por defecto es PKCS#7, pero tiene el problema de que no es válida la firma porque es un formato antiguo.


¿Qué formato debo emplear?

Todo dependerá del tipo de archivo a firmar y del destinatario.

Si se necesita firmar un documento PDFPadES es la mejor opción, dado que no requiere ningún software específico para abrirse. Es el formato ideal para comunicaciones entre particulares o entre empresas y particulares, ya que los PDF pueden ser abiertos fácilmente por cualquier persona.

Si se necesita firmar archivos XML, XAdES es la mejor opción.

Si se necesita firmar archivos que no sean PDFCadES es la mejor opción, ya que permite firmar cualquier tipo de extensión de archivo. Es adecuado para comunicaciones entre empresas o profesionales que dispongan de software de firma electrónica.

¿Tienes dudas? ¿Quieres saber más sobre nuestro software de firma electrónica? Contacta con nuestro servicio de atención al cliente y estaremos encantados de informarte.