Hola, mi nombre es Shelley Gu y soy directora del programa de seguridad de informática de confianza. Quisiera presentar algunas nuevas características de firmas digitales que hemos incorporado en Office 2010. En primer lugar, explicaré brevemente qué son las firmas digitales y cómo usarlas y, a continuación, describiré en más detalle cómo funcionan en Office 2010.

¿Qué son las firmas digitales?

Cada vez son más las transacciones comerciales que se realizan por vía electrónica. En consecuencia, es cada vez más frecuente el uso de las firmas digitales para vincular legalmente a las partes de una transacción. La firma digital se usa para comprobar la identidad de la persona que firmó el documento y sirve para confirmar que el contenido no se modificó después de su aplicación. Las firmas digitales proporcionan seguridad basada en tecnologías de cifrado y ayudan a atenuar el riesgo asociado con las transacciones comerciales electrónicas. A través de mejoras en las firmas digitales, Office se propone cubrir las necesidades de seguridad de la información de empresas y entidades del sector público en todo el mundo.

Para crear una firma digital, es necesario tener un certificado digital, que prueba su identidad a los usuarios de confianza, y que se debe obtener a través de una entidad de certificación (CA) de confianza. Si no tienen un certificado digital, Microsoft cuenta con socios que pueden proporcionar certificados digitales, así como otros servicios de firma avanzados integrados en Office en el Catálogo de soluciones de Office.

Inserción de una firma digital

En Word, Excel y PowerPoint 2010, puede agregarse una firma digital mediante la vista Backstage de Office:

imagen

Puede agregarse una línea de firma o un sello de firma en Word, Excel e InfoPath mediante la ficha Insertar (Insert):

imagen

Una línea de firma se ve así:

imagen

Un sello de firma (más comúnmente usado en Asia Oriental) se ve así:

imagen

¿Cómo funcionan las firmas en Office?

Office 2007, y las versiones posteriores, usan un estándar de firmas abierto llamado XML-DSig que sustituye las firmas binarias menos avanzadas de Office 2003 y versiones anteriores. XML-DSig representa una firma en un formato XML legible por humanos. Para obtener más información sobre XML-DSig, consulte http://www.w3.org/Signature.

Las firmas digitales de Office 2010 pueden usar algoritmos avanzados (como el algoritmo de clave pública de curva elíptica) admitidos por Windows Vista y versiones posteriores. Todos los sistemas operativos admitidos también permiten el uso de algoritmos de hashing más sólidos, como SHA-512.

El problema más inmediato de las firmas digitales es que el certificado que se usa por lo general expira en apenas un año. Una vez que ha expirado, nadie debería confiar en la firma. Si desea poder confiar en una firma durante un período más prolongado, debe conservar copias de la información necesaria para validar el certificado. Otro problema es que la criptografía también puede volverse obsoleta.

Por suerte, existe una solución a estos problemas a través de una extensión del estándar XML-DSig, llamada XAdES.

¿Qué es XAdES?

XAdES (firmas electrónicas XML avanzadas) es un conjunto de extensiones de XML-DSig en niveles, los cuales se agregan a los anteriores para proporcionar firmas digitales cada vez más confiables.

Con la implementación de XAdES, Office cumple con los criterios de firmas electrónicas avanzadas de la Unión Europea, establecidos en la Directiva 1999/93/CE, así como con una nueva directiva del gobierno brasileño que define XAdES como el estándar aceptado para firmas digitales en Brasil.

Office 2010 puede crear diferentes niveles de firmas XAdES sobre firmas XML-DSig:

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

La versión beta de Office 2010 solo crea firmas hasta el nivel XAdES-T inclusive, pero Office 2010 RTM podrá crear todas las firmas de la tabla anterior.

Las firmas digitales con marca de tiempo (firmas XAdES-T) son un aspecto importante del que nos ocupamos especialmente en Office 2010. Para crear una firma con marca de tiempo, es necesario:

  • Configurar un servidor de marca de tiempo que cumpla con la norma RFC 3161.
  • Configurar una directiva de firma para permitir a los sistemas del cliente saber dónde ubicar el servidor de marca de tiempo. También deberán agregar el certificado raíz del servidor de marca de tiempo al almacén de certificados raíz.

Una vez que está todo configurado, puede crear firmas como lo haría normalmente. Una marca de tiempo de un servidor de marca de tiempo de confianza extiende la vida útil de la firma, ya que incluso después de que ésta expira, la marca de tiempo prueba que el certificado no había expirado aún en el momento de firmar. En consecuencia, la marca de tiempo protege contra la expiración de certificado, y aunque el certificado se haya revocado después de aplicar la firma, ésta sigue siendo válida.

Creación de firmas XAdES en Office 2010 RTM

De forma predeterminada, Office 2010 crea firmas XAdES-EPES. La configuración del Registro se usa para especificar el nivel de firmas que se va a crear. Hay dos opciones de configuración del Registro para controlar el tipo de firma que crea Office: XAdESLevel y MinXAdESLevel.

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

La configuración MinXAdESLevel le permite asegurarse de que las firmas creadas cumplen con el nivel de XAdES requerido. Una firma de nivel XAdES-T o superior producirá un error si el servidor de marca de tiempo no está disponible, y una firma de nivel XAdES-C o superior producirá un error si la información de revocación no está disponible. Tener una configuración mínima permite escenarios en los que se puede intentar una firma XAdES-X-L y volver a XAdES-EPES si el servidor de marca de tiempo está fuera de servicio.

Para crear firmas de nivel XAdES-T y superiores, Office debe contar con un servidor de marca de tiempo para realizar consultas de marcas de tiempo:

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

Recomendaciones para las firmas XAdES

Si desea crear firmas XAdES, recomendamos usar uno de estos tres niveles:

  • XAdES-EPES – Esta configuración es la predeterminada, ya que no tiene requisitos adicionales aparte de lo necesario para crear una firma XML-DSig común.
  • XAdES-T – Esta configuración requiere que haya disponible un servidor de marca de tiempo que cumpla con la norma RFC 3161 y que Office esté configurado para usar el servidor. Si tiene un servidor de marca de tiempo, XAdES-T será la opción predeterminada.
  • XAdES-X-L – Si tiene un servidor de marca de tiempo y necesita que las firmas incluyan información detallada de revocación y cadena de certificados, use esta configuración.

Ejemplo:

Juan desea crear firmas XAdES-X-L. Si esto no es posible, está dispuesto a aceptar cualquier firma que tenga al menos el nivel XAdES-T. Usa esta configuración:

  • XAdESLevel = 5 (solicita XAdES-X-L)
  • MinXAdESLevel = 2 (el tipo de firma mínimo que acepta es una firma de nivel XAdES-T)

En este caso, Office intenta crear una firma hasta el nivel –X-L. Si no puede crear una firma XAdES-X-L, Office vuelve al último nivel XAdES que funcionó, siempre y cuando éste no sea inferior al nivel MinXAdESLevel. En este caso, las firmas XAdES-T, XAdES-C y XAdES-X serían aceptables si Office no pudiera crear una firma XAdES-X-L. De lo contrario, Office no agregará una firma.

Creación de firmas XAdES en Office 2010 Beta

Como mencionamos antes, Office 2010 Beta solo puede crear firmas hasta el nivel XAdES-T, ya que agregamos el resto de los niveles XAdES después de la versión beta. La configuración del Registro XAdESLevel que explicamos antes sigue siendo válida, pero el nivel máximo es 2 (XAdES-T). La configuración MinXAdESLevel no está presente, pero solo se pueden crear dos tipos de firmas XAdES: con y sin una marca de tiempo, controlada por la configuración TimestampRequired (que no está presente en la versión RTM).

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

Para crear una firma XAdES-T, también deberá configurar TimestampRequired (a continuación) y TSALocation (se explicó anteriormente):

Tabla de diferentes tipos de niveles de firma digital. Si no puede ver la información en la imagen, envíe un correo electrónico a OffTeam@microsoft.com y simplemente solicite la información basada en texto correspondiente a la entrada. Gracias.

La característica XAdES es una de las muchas mejoras de seguridad que hemos realizado en Office 2010. ¡Gracias por leer y esperamos recibir sus comentarios!

Publicado originalmente: Martes 8 de diciembre de 2009, 4:12 p.m. por OffTeam

Esta entrada de blog es una traducción. Puede consultar el artículo original en http://blogs.technet.com/office2010/archive/2009/12/08/digital-signitures-in-office-2010.aspx.