1

Universidad Europea de Madrid

POLÍTICA DE FIRMA ELECTRÓNICA Documento de especificación de la política de firma electrónica de la Universidad Europea de Madrid

Rev. 1.0

Fecha: 16.04.2012

2

3

Contenido

1. INTRODUCCIÓN 4

1.1 OBJETO DEL DOCUMENTO 4 1.2 REFERENCIAS 5

2. ALCANCE DE LA POLÍTICA DE FIRMA 7

2.1 ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA 7 2.2 FORMATOS ADMITIDOS DE FIRMA 7

2.2.1 XAdES 7 2.2.2 PDF 8

2.3 CREACIÓN DE LA FIRMA ELECTRÓNICA 8 2.4 VERIFICACIÓN DE LA FIRMA ELECTRÓNICA 8

3. POLÍTICA DE FIRMA ELECTRÓNICA 10

3.1 IDENTIFICACIÓN DEL DOCUMENTO 10 3.2 PERIODO DE VALIDEZ 10 3.3 IDENTIFICACIÓN DEL GESTOR DEL DOCUMENTO 10 3.4 REGLAS COMUNES 10

3.4.1 Reglas del firmante 10 3.4.2 Reglas del verificador 11 3.4.3 Reglas para los sellos de tiempo 12 3.4.4 Reglas de confianza para firmas longevas 13

3.5 REGLAS DE USO DE ALGORITMOS 13 3.6 REGLAS ESPECÍFICAS DE COMPROMISO 13 3.7 REGLAS DE CONFIANZA 13

4. ARCHIVADO Y CUSTODIA 15

5. GESTIÓN DE LA POLÍTICA DE FIRMA 16

ANEXOS 17

A. RECOMENDACIONES DE FORMATOS INTEROPERABLES 17

4

1. INTRODUCCIÓN Un documento de política de firma electrónica permite establecer y limitar las condiciones sobre un contexto dado para una transacción electrónica. Según viene determinado en Real Decreto 4/2010, de 8 de Enero, una política de firma electrónica es el conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma.

El establecimiento de políticas de firma electrónica permite fomentar la confianza de los actores involucrados en la seguridad del uso de la firma electrónica al establecer unas bases conocidas para el intercambio y operatividad sobre las firmas. Por un lado determina la información que ha de incluir el firmante y por otro lado determina la información que ha comprobar el verificador para comprobar su validez.

1.1 Objeto del documento

Este documento de política establece un conjunto de condiciones necesarias en la realización de las firmas electrónicas producidas en el contexto de los acuerdos privados de la Universidad Europea de Madrid con otros organismos del mismo carácter u otros clientes.

Las condiciones establecidas tienen por objetivo:

Establecer un marco de operaciones con las firmas electrónicas que fomente la interoperabilidad entre los actores involucrados.

Dibujar un marco operativo similar al propuesto en la política marco de firma electrónica definida por la Administración General del Estado. Esta proximidad facilita la adopción de la operativa necesaria para la emisión y verificación de firmas electrónicas al basarse en un conjunto de condiciones comunes y conocidas.

Definir con claridad las condiciones que ha de cumplir un firmante para que la generación de una firma tenga garantías.

Dar garantías a un verificador de la validez de una firma electrónica realizada acorde con estas condiciones.

Este documento se ajusta a la estructura determinada en La Norma Técnica de Interoperabilidad de Política de firma electrónica y de certificados de la Administración, aprobada en la resolución de 19 de Julio de 2011 y publicada en el Boletín Oficial del Estado número 182 de sábado de 30 de Julio de 2011.

Además define un conjunto de condiciones similares a las establecidas en la política de firma electrónica basada en certificados de la Administración General del Estado, versión 1.8, con fecha 11 de Octubre de 2010. Las condiciones disponibles en tal política de firma electrónica se encuentran definidas para un marco de interacción entre la Administración Pública y otros organismos o ciudadanos. En cambio esta política de firma electrónica se establece para los acuerdos privados de la Universidad Europea de Madrid, ajustándose a un contexto que difiere del anterior. Por ello se definen un conjunto de condiciones que difieren en mayor o menor medida de la anterior política para adaptarse a tal contexto diferenciado.

5

1.2 Referencias

Este documento se ha redactado teniendo en cuenta las mismas referencias técnicas que las utilizadas en la política marco de firma electrónica de la Administración General del Estado. Esto es:

ETSI TS 101 733, v.1.6.3, v1.7.3 y v.1.8.1. Electronic Signatures and Infrastructures (SEI); CMS Advanced Electronic Signatures (CAdES).

ETSI TS 101 903, v.1.2.2, v.1.3.2 y 1.4.1. Electronic Signatures and Infrastructures (SEI); XML Advanced Electronic Signatures (XAdES).

ETSI TS 102 176-1 V2.0.0 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms

ETSI TS 102 023, v.1.2.1 y v.1.2.2. Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities.

ETSI TS 101 861 V1.3.1 Time stamping profile

ETSI TR 102 038, v.1.1.1. Electronic Signatures and Infrastructures (SEI); XML format for signature policies.

ETSI TR 102 041, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policies report.

ETSI TR 102 045, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policy for extended business model.

ETSI TR 102 272, v.1.1.1. Electronic Signatures and Infrastructures (SEI); ASN.1 format for signature policies.

IETF RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP.

IETF RFC 3125, Electronic Signature Policies.

IETF RFC 3161 actualizada por RFC 5816, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).

IETF RFC 5280, RFC 4325 y RFC 4630, Internet X.509 Public Key Infrastructure; Certificate and Certificate Revocation List (CRL) Profile.

IETF RFC 5652, RFC 4853 y RFC 3852, Cryptographic Message Syntax (CMS).

ITU-T Recommendation X.680 (1997): "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation".

Para la normativa base se han seguido las siguientes referencias:

Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de Diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (Diario Oficial n° L 013 de 19/01/2000. pág. 0012-0020).

Ley 59/2003, de 19 de Diciembre, de firma electrónica.

Ley 56/2007 o Ley para el Impulso de la Sociedad de la Información.

Ley Orgánica 15/1999, de 13 de Diciembre, de protección de los datos de carácter personal.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal.

Real Decreto 1553/2005, de 23 de Diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

6

Las siguientes referencias no son de aplicación al contexto privado de la Universidad Europea de Madrid pero se ha contemplado su contenido en la redacción de la política siempre que no fuera en contra de sus intereses:

Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Real Decreto 1671/2009, de 6 de Noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos.

Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Real Decreto 4/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

Descripción de los perfiles de certificados de la Ley 11/2007, que estarán asociados a esta política de firma: Perfiles de certificados en su última versión disponible.

7

2. ALCANCE DE LA POLÍTICA DE FIRMA Esta política de firma electrónica se aplica, de manera implícita, a todas las firmas electrónicas emitidas en el contexto de los acuerdos privados de la Universidad Europeo de Madrid con otros agentes. En los casos en que se aplique otra política, podrá indicarse de forma explícita en la propia firma electrónica, o en el propio acuerdo privado específico que defina un contexto diferente.

Para la identificación clara de la política se declara el OID 1.3.6.1.4.1.40314.1.1.1.x.y donde x.y representa la versión de la política de firma electrónica aplicada. En este documento el valor es 1.0 (versión 1.0). En caso de realizarse la referencia a la política mediante una URI se utilizará el valor urn:oid: 1.3.6.1.4.1.40314.1.1.1.x.y.

2.1 Actores involucrados en la firma electrónica

Los actores identificados en los documentos firmados según esta política son:

Firmante: entidad que gestiona el dispositivo de creación de firma y que firma en nombre propio o en nombre de la persona física o jurídica que representa. El nivel de compromiso del firmante se derivará a partir del contexto.

Verificador: entidad que comprueba la validez de la firma aplicando las condiciones especificadas en esta política.

Prestador de certificados: entidad que expide los certificados electrónicos y dispositivos de creación de firma requeridos por el firmante y que permite comprobar la identidad del firmante y la integridad de los datos firmados.

Gestor de la política de firma: entidad encargada de la gestión, mantenimiento y actualización, de la política de firma.

2.2 Formatos admitidos de firma

Se admitirán algunos formatos de firma basados en XAdES y en PDF.

2.2.1 XAdES

Como estructura base para la generación de firma se acepta el uso de XAdES (XML Advanced Electronic Signature) en su versión 1.3.2. Este estándar de firma es gestionado por el organismo ETSI (Instituto Europeo de Estándares de Telecomunicaciones) a través del comité técnico de Firmas electrónicas e Infraestructuras (ESI). Este comité emite el estándar XAdES para cumplir con los requisitos indicados en la Directiva Europea que gestiona el marco comunitario para las Firmas Electrónicas, marco que facilita las transacciones basadas en firmas electrónicas entre individuos y empresas, entre empresas, entre individuos y organismos, etc.

El estándar XAdES está basado a su vez en el estándar XMLDSIG, gestionado por el Grupo de Trabajo de Firma XML del IETF/W3C (Internet Engineering Task Force/ World Wide Web Consortium). Tanto IETF como W3C son grupos de ámbito internacional dedicados a la estandarización de Internet.

8

Las especificaciones AdES definen un conjunto de formas a su vez. En esta política se admitirán las formas BES/EPES para las firmas básicas, AdES-T para las de no repudio y AdES-A para las firmas que requieran archivado.

2.2.2 PDF

Debido a que el estándar europeo de firma para PDF (PAdES) está todavía en fase de aceptación por los organismos, mientras que el formato PDF es ampliamente soportado (tanto para ciudadanos como organismos), se contemplará en esta política un formato de firma PDF que aproxime al formato PAdES. Así, se acepta la firma PDF siempre que incluya el certificado firmante (tal como se exige en los formatos avanzados o AdES). Versiones futuras de esta política, cuando consideren al estándar suficientemente maduro, podrán incorporar el formato PAdES como uno de los formatos admitidos.

2.3 Creación de la firma electrónica

Para la creación de firmas electrónicas que se adecuen a esta política, los sistemas encargados de generar las firmas deberán cumplir:

El usuario deberá poder comprobar la información que va a firmar. Es decir, antes de la realización de la firma el usuario deberá poder comprobar que está de acuerdo con el contenido que va a firmar en las condiciones o contexto en el que se realizará la firma (no repudio, compromiso, etc.).

Antes de realizar la firma el sistema comprobará:

o Que el certificado utilizado ha sido emitido por uno de los prestadores de certificación admitidos en esta política de firma (basado en una comprobación de la cadena de confianza).

o Que el estado de validez del certificado es válido. Esta comprobación se deberá realizar sobre el periodo de validez del certificado y sobre el estado del certificado y toda su cadena de certificación (es decir, comprobar que no está revocado ni suspendido tanto el certificado firmante como todos los certificados de la cadena de confianza implicados).

En caso de que no se pueda realizar alguno de los pasos anteriores o su resultado sea erróneo no se deberá permitir continuar con el proceso de generación de la firma.

El resultado final del proceso de creación de firma será un fichero con una firma electrónica siguiendo uno de los formatos indicados en el punto anterior en su forma básica.

2.4 Verificación de la firma electrónica

Para la comprobación de la validez de una firma electrónica generada según específica esta política, los sistemas encargados deberán asegurarse de:

Comprobar que se cumple la integridad de la información firmada.

Comprobar la validez de los certificados implicados. Esta comprobación se deberá realizar sobre el momento de validación si la firma no contiene una fecha de confianza, o sobre el histórico del estado de los certificados si hay una

9

fecha de confianza disponible. Esta información estará contenida en la propia firma para las formas longevas.

Comprobar que el certificado de firma ha sido emitido por uno de los prestadores de certificación admitidos en la política de firma que sea aplicable según la fecha en la que se generó la firma (si no hay fecha de confianza será sobre la política más actual disponible).

10

3. POLÍTICA DE FIRMA ELECTRÓNICA

3.1 Identificación del documento

Nombre del documento Política de Firma Electrónica

Versión 1.0

Identificador de la política OID 1.3.6.1.4.1.40314.1.1.1.1.0

urn:oid:1.3.6.1.4.1.40314.1.1.1.1.0

Fecha de expedición 16 de Abril de 2012

Ámbito de aplicación Acuerdos privados de la Universidad Europea de Madrid

3.2 Periodo de validez

Esta política de firma será de aplicación desde la fecha de expedición indicada en el apartado anterior hasta que la publicación de una nueva política de firma. La nueva política de firma determinará la forma en la que una antigua política es sustituida por la nueva.

3.3 Identificación del gestor del documento

Nombre gestor de la política Universidad Europea de Madrid

Dirección de contacto firmaelectronica@uem.es

3.4 Reglas comunes

Las reglas comunes definen las reglas que han de cumplir cada uno de los actores involucrados en la firma electrónica.

3.4.1 Reglas del firmante

3.4.1.1 Formato XAdES

La versión del estándar de firma para firmas XAdES deberá ser 1.3.2. El firmante deberá proporcionar la siguiente metainformación según está recogido en el estándar:

SigningTime: indicará la fecha y hora a la que se realiza la firma. Debido a que no se incluye información sobre la fuente de origen de la hora, esta información se utiliza a título indicativo pero no vinculante.

SigningCertificate: identificará mediante una referencia al certificado firmante. Su uso se justifica para evitar una sustitución del certificado.

SignaturePolicyIdentifier: el uso de este campo se considerará opcional. Si no se indica o se indica una política implícita se asumirá que esta política de firma electrónica será la que se aplica de manera implícita en la firma. Si se incluye

11

una política explícita deberá contener una referencia explícita que identifique de manera inequívoca la política de firma electrónica que se quiere aplicar. Además se deberá incluir la huella digital del documento que describe la política. En el caso de referenciar a esta política será la huella digital de este documento.

Para las firmas electrónicas realizadas sobre otras firmas electrónicas se utilizará lo indicado en el estándar XAdES al respecto de CounterSignatures (apartado 7.2.4). Si las firmas se realizan en serie (cada nueva firma electrónica firma a la anterior) se utilizará el campo CounterSignature de la sección UnsignedProperties de la firma que está siendo firmada.

3.4.1.2 Formato PDF

Se utilizará la especificación ISO 32000-1 para realizar las firmas en el formato PDF. Siempre que sea posible se intentará adecuar la firma a los requerimientos AdES para que la firma electrónica realizada se asemeje a la producida en el estándar PAdES.

El firmante deberá incluir los campos:

SigningTime: indicará la fecha y hora a la que se realiza la firma. Debido a que no se incluye información sobre la fuente de origen de la hora, esta información se utiliza a título indicativo pero no vinculante.

SigningCertificate: identificará mediante una referencia al certificado firmante. Su uso se justifica para evitar una sustitución del certificado.

SignaturePolicyIdentifier: el uso de este campo se considerará opcional. Si no se indica o se indica una política implícita se asumirá que esta política de firma electrónica será la que se aplica de manera implícita en la firma. Si se incluye una política explícita deberá contener una referencia explícita que identifique de manera inequívoca la política de firma electrónica que se quiere aplicar. Además se deberá incluir la huella digital del documento que describe la política. En el caso de referenciar a esta política será la huella digital de este documento.

3.4.2 Reglas del verificador

El verificador deberá comprobar que las firmas electrónicas se ajustan a los estándares anteriormente descritos (XAdES o PDF). Además deberá comprobar:

El certificado firmante indicado en el campo SigningCertificate deberá ser el mismo que ha realizado la firma que se está verificando.

Si la firma cuenta con uno o varios sellos de tiempo que sean válidos (ver siguiente apartado) se deberá:

o comprobar que el certificado firmante tiene un periodo de validez que se ajuste a la cadena de sellos de tiempo. Esto es, que la firma debe haber sido realizada con posterioridad a la fecha indicada en su campo notBefore y previamente a la fecha indicada en su campo notAfter.

12

o comprobar que el estado del certificado en la fecha de la cadena de tiempo era válido a través de los datos de verificación (OCSP, CRL, etc.) históricos emitidos por el prestador de certificación del certificado.

Si la firma no cuenta con sellos de tiempo se deberá:

o comprobar que el certificado firmante tiene un periodo de validez que se ajuste a la fecha del momento de la verificación. Esto es, que la fecha de verificación debe ser posterior a la fecha indicada en su campo notBefore y previa a la fecha indicada en su campo notAfter.

o comprobar el estado del certificado en el momento de verificación a través de los datos de verificación (OCSP, CRL, etc.) disponibles por el prestador de certificación del certificado.

Si la firma cuenta con un campo SignaturePolicyIdentifier que indique una política explícita se deberá comprobar que la huella digital indicada se corresponde con el documento de política de firma del mismo campo.

El verificador deberá comprobar que los sellos de tiempo hayan sido emitidos por un prestador de servicios de confianza (indicados en el apartado 3.7).

El verificador deberá comprobar que el certificado firmante ha sido emitido por un prestador de certificación de confianza (indicados en el apartado 3.7) comprobando además que la cadena de certificados es correcta.

Todos estos pasos se deberán repetir para cada una de las firmas disponibles en el documento electrónico que pudieran aparecer en los campos CounterSignature.

3.4.3 Reglas para los sellos de tiempo

Los sellos de tiempo relacionan la existencia de cierta información con un momento en el tiempo. Son emitidos por prestadores de servicios de sellado de tiempo a través de infraestructura propia que asegura el sincronismo con relojes de tiempo oficiales.

Para esta política de firma se admitirán los sellos de tiempo emitidos según las recomendaciones de IETF RFC 3161, “Internet X.509 Public Key Infrastructure; Time-Stamp Protocol (TSP)”.

El sello de tiempo, que se asociará a la firma electrónica, debe realizarse lo más próximo a la realización de la firma, siempre antes de la fecha de caducidad del certificado firmante y de una posible revocación de éste.

Una vez que el certificado de la autoridad emisora del sello de tiempo caduca también lo hacen sus sellos de tiempo, a menos que se selle a su vez con otro certificado vigente. A esto se le conoce como cadena de sellos de tiempos. En estas cadenas el primero de los sellos sirve para indicar la fecha real en la que se realizó la firma (y por lo tanto sobre la que hay que realizar las verificaciones del estado del certificado firmante) mientras que el resto sirve para dar validez a ese primer sello de tiempo.

13

3.4.4 Reglas de confianza para firmas longevas

Las firmas longevas son formas especialmente contempladas para mantener información de verificación fiable de las firmas a largo plazo, más allá del tiempo de validez de los certificados involucrados.

Para ello las firmas incluyen información completa sobre los certificados involucrados: cadenas de confianza, sus evidencias de validez y sellos de tiempo. Mediante estos datos es posible que un verificador pueda reconstruir información histórica fiable que es aplicable a la fecha de firma.

Esta política no recoge ninguna condición para la gestión de firmas longevas.

3.5 Reglas de uso de algoritmos

Esta política de firma electrónica utiliza como especificación base para el uso de algoritmos los definidos en el estándar ETSI TS 102 1761-1 “Electronic Signatures and Infrastructures (ESI); Algorithms and parameters for secure Electronic signature”. De acuerdo con esta especificación y junto con los definidos por los estándares XMLDSig e ISO 32000-1 se admiten los siguientes algoritmos para la firma electrónica: RSA con SHA1, SHA256 y SHA512.

Debido a que el algoritmo SHA1 se encuentra actualmente en fase de compromiso sólo se admitirá como algoritmo de firma o de resumen cuando no se puedan utilizar otros algoritmos debido a problemas de interoperabilidad.

3.6 Reglas específicas de compromiso

El acuerdo privado que regule el contexto en el que se circunscribe la transacción será la que determine la existencia de reglas específicas de compromiso, no añadiendo ninguna nueva esta política de firma.

3.7 Reglas de confianza

Esta política de firma establece que los certificados utilizados en las firmas deberán ser del tipo certificado reconocido. Estos certificados que garantizan una asociación clara e inequívoca con una persona física o jurídica.

Tales certificados serán admitidos cuando hayan sido emitidos por los siguientes prestadores de certificación, que se considerarán de confianza tanto para la generación como verificación de las firmas electrónicas:

DNIe: por su carácter de alcance nacional y a los marcos regulatorios de firma electrónica, el DNI electrónico es aceptado para realizar las transacciones con firma. El uso de DNIe además permite realizar firmas reconocidas, con un soporte legal superior al de las firmas avanzadas.

Firma Profesional: los certificados de tipo reconocido (Qualified Certificate) emitidos por Firma Profesional debido a sus acuerdos propios con la Universidad Europea de Madrid.

FNMT: los certificados emitidos por la Autoridad Certificadora de Clase 2 de la Fábrica Nacional de Moneda y Timbre.

14

Cualquier otro prestador que se defina en los acuerdos privados que regulen las transacciones que contienen la firma electrónica.

Otros prestadores de servicios que se considerarán de confianza son:

Firma Profesional: como emisor de sellos de tiempo.

15

4. ARCHIVADO Y CUSTODIA Esta política no contempla la gestión de firmas longevas por lo que no incluye condiciones para su archivado y custodia.

16

5. GESTIÓN DE LA POLÍTICA DE FIRMA El mantenimiento, actualización y publicación de la política de firma será realizado por la Universidad Europea de Madrid.

En caso de que se emita un nuevo documento se identificará este con un número superior de versión. Si los cambios se consideran de carácter menor se incrementará el número menor de versión. Si los cambios son de carácter mayor se incrementará el número mayor de versión y se pondrá a cero el número menor. Será la Universidad Europea de Madrid la responsable de categorizar el carácter de los cambios en el nuevo documento.

Los documentos de política de firma en todas sus versiones estarán disponibles para los validadores a través de la web de la Universidad Europea de Madrid. De esta forma, una vez que el validador identifique la versión de la política de firma que aplica a la firma que verifica, podrá aplicar las normas específicas válidas para esa firma.

Cada documento de política indica el periodo de validez en el que aplica. Para identificar qué versión de política aplica deberá buscarse la versión de la política superior cuyo plazo de validez aplique a la fecha de generación de la firma que se verifica. Si la versión de política se encuentra explicitada en la firma deberá comprobarse que tal versión es congruente con lo indicado anteriormente.

17

ANEXOS

A. RECOMENDACIONES DE FORMATOS INTEROPERABLES Se recomienda que los ficheros de documentos electrónicos sean autocontenidos, teniendo tanto el documento como las firmas. Esto es así por propia definición del estándar en PDF. En cambio el estándar XAdES es abierto en este aspecto y no fija ninguna manera para llevar esto a cabo. Por ello desde esta política se recomienda el siguiente formato para incluir documento y firmas en el mismo fichero XML:

<documento>

<documentoOriginal Id=”original” encoding=”base64” nombreFichero=nombreFichOriginal”>

...

</documentoOriginal>

<ds:Signature>

<ds:SignedInfo/>

...

<ds:Reference URI=”#original”>

</ds:Reference>

...

</ds:SignedInfo>

...

</ds:Signature>

</documento>

donde el documento se encuentra codificado en base64 en el nodo documentoOriginal.

Este formato es contemplado por otros organismos por lo que su uso fomenta la interoperabilidad a nivel nacional.