• Welcome to videoedicion.org (v8.2). Please login or sign up.
 

¡Que empiece la fiesta!

 

Nueva convocatoria del concurso de vídeos del 20º Aniversario de videoedicion.org

 
Número de vídeos recibidos a fecha 18/10/21: 3
Probabilidad de ganar UNO DE LOS DOS CUPONES DE 300 $ (dólares americanos): 50%

PUBLICIDAD

Compra y colabora

Si usas estos banners para hacer tus compras, recibiremos una pequeña comisión. ¡Gracias por colaborar!



5% de descuento hasta fin de 2021
con el código VE20




Código VID15 para
un 15% en planes anuales



Welcome to Visitante. Please login or sign up.

30 de noviembre de 2021, 17:13:19

PUBLICIDAD

Temas Recientes

93 Visitantes, 0 Usuarios

PUBLICIDAD

Verificar firmas digitales incrustadas en documentos PDF

Iniciado por ramon.cutanda, 23 de septiembre de 2011, 14:50:11

Tema anterior - Siguiente tema

ramon.cutanda

Este artículo se publicó en septiembre de 2011



1. Conceptos previos: confianza

Si estás interesado en verificar la firma digital de un documento es que te preocupa la seguridad. Considero por tanto ESENCIAL conocer no sólo el CÓMO sino también los conceptos que básicos que hay detrás de las firmas digitales. De hecho, esos conceptos básicos son extrapolables a todas las aplicaciones de firma digital, mientras el que cómo, el paso a paso, es específico de cada aplicación y variará un poco de una a otra.

A la hora de validar una firma digital hay un cocepto clave: la confianza. Cuando recibo un documento con firma digital puedo aplicarle a esa firma dos tipos de confianza:


1.1 Confio en la firma y en la persona
Si tengo la absoluta certeza de que un documento con firma digital ha sido firmado por la persona que dice ser, puede decire a la aplicación en uso que confíe en esa firma de forma permanente y, a partir de ese momento, todos los documetos firmados por esa persona se validarán automáticamente.

El principal problema de este método, confiar en una firma en particular, es que salvo que se vea de forma presencial firmar a esa persona nunca se podrá estar al 100% seguro de que la persona que haya firmado el documento es realmente quien creemos que es. Por eso es una auténtica locura confiar en la firma de un documento recibido por internet, aún proviniendo de la cuenta de correo de la persona que lo firma. Es asombrosamente sencillo falsificar el remimente de un correo electrónico.

Así pues, y en vista de lo inseguro de este método, en el 99% de los casos *NO* confiaremos en la firma de un documento sino en la entidad expedirora del certificado. Lo explicamos a continuación.


1.2 Confiar en entidades certificadoras
Un documento de identidad como un pasaporte, un DNI o un carné de conducir es válido a nivel internacional porque es expedido por una autoridad certificadora competente. Antes de obtener uno de esos documentos debemos acreditar nuestra identidad personándonos en las dependencias de estas autoridades quienes, tras analizar la documentación aportada, certificarán nuestra identidad con el documento expedido al efecto.

Del mismo modo, algunas de estas entidades también emiten firmas digitales. En el caso de España, las dos entidades certificadoras más usadas, y gratuitas (hay empresas privadas de expedición de certificados digitales, pero no las trataremos) son la Fábrica Nacional de Moneda y Timbre y la Dirección General de Policía. Si confiamos en estas dos entidades (y creo que nadie cuestiona que son de fiar) entonces está claro que podemos fiarnos de todas las firmas digitales que estas entidades emitan.

Las ventajas de confiar en una entidad sobre confiar en una firma son evidentes: ya no hace falta verificar firma a firma, remitente a remitente. Confiando en UNA sola entidad podremos verificar de forma instantánea y automática MILES de firmas: tantas como firmas digitales expidan.

La segunda ventaja es que la única forma de poder confiar en una firma individual es estar presente en el momento de la firma. Si recibimos un documento por correo electrónico, aún proviniendo de la persona adecuada, nunca podremos tener la certeza de que REALMENTE ese documento y su firma provinenen de quien creemos. Por el contrario, tanto la FNMT como la DGP son entidades totalmente de fiar y sabemos que sus certificados son auténticos y que las firmas de las personas que los usen serán auténticas.


1.3 Certificados raiz
Para que el proceso de validación sea automático es necesario instalar en el sistema, en este caso nos centraremos en Adobe Reader X, el llamado "Certificado de raiz" de la FNMT y de la DGP.


ES FUNDAMENTAL ASEGURARNOS DE QUE DESCARGAMOS EL CERTIFICADO RAÍZ DE LA WEB OFICIAL DE ESTAS ENTIDADES.
Ejemplo:

Para mí es muy sencillo decir que el certificado raíz de la FNMT se puede descargar aquí:

http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer

Una persona descuidada, descargaría e instalaría ese certificado sin pensar. Pero podrías tratarse de un certificado falso. Para estar seguros y tranquilos deberíamos hacer dos cosas:

1. Verificar que la URL pertece REALMENTE al dominio adecuado. En este caso vemos que el dominio es cert.fnmt.es y es correcto. Pero hubiera sido muy sencillo usar un dominio similar pero falso. Mira esta otra URL:

http://www.cer.fmt.es/content/pages_std/certificados/FNMTClase2CA.cer

Podría ser fácil pensar que ese dominio, cer.fmt.es es de "certificado" (cer) "fábrica de moneda y timbre" (fmt) en lugar de los correctos "cert" y "fnmt" (fábrica nacional de moneda y timbre)

2. Ir siempre a la web oficial.

En el caso de este documento, además de proporcionar la URL del certificado raíz:

http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer

También indicaré la página exacta en la que he obtenido esa URL:

http://www.cert.fnmt.es/index.php?cha=cit&sec=4&page=34&lang=es

Y en el caso del certificado de la Dirección General de Policía (DGP):

http://www.dnielectronico.es/ZIP/ACRAIZ-SHA2.zip

Y su web oficial:

http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html

Un usuario "cauto" visitará esas webs y descargará los certificados de estas webs oficiales en lugar de confiar en el enlace que cualquiera pueda publicar.


2. Verificar firmas en Adobe Reader X (y sólo en Adobe Reader X)

El motivo de redactar este documento es que, mientras buscaba información sobre la validación de firmas, he encontrado muchos tutoriales sobre versiones anteriores, pero ninguno sobre Adobe Reader X. Aunque el proceso en Adobe Reader X es muy similar al de versiones anteriores, algunos menús cambian. Mostraré a continuación con imágenes, paso a paso, cómo se instalan los certificados de raiz de las entidades certificadoras y, tras ese paso, cómo se validarán de forma automática todos los documentos firmados con certificados emitidos por las mismas.


2.1. Descarga los certificados de raiz de las autoridades certificadoras:
FNMT

http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer
(Fuente: http://www.cert.fnmt.es/index.php?cha=cit&sec=4&page=34&lang=es)

DGP

http://www.dnielectronico.es/ZIP/ACRAIZ-SHA2.zip -> El archivo ACRAIZ-SH2.zip está comprimido. Tendrás que extrar el archivo ACRAIZ-SHA2.crt que contiene)
(Fuente: http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html)

2.2 Ve a "Edición -> Protección -> Administrar entidades de confianza"



2.3. Ve al apartado "Certificados"



2.4. Pincha en "Agregar Contacto"



2.5. Pincha en "Examinar"



2.6 Selecciona los certificados que descargaste en el paso 2.1 (primero uno y luego el otro)


2.7 Cuando hayas seleccionado los dos pincha en "Importar"



2.8 Verás el siguiente mensaje de confirmación



2.9 Pincha en uno de los nuevos certificados (al final de la lista) y selecciona "Editar confianza"



2.10 Selecciona, al menos, "Utilizar como raíz de confianza" y "Documentos certificados"

Aunque tengamos ya los certificados instalados en el sistema aún debemos indicarle a Adobe para qué podremos usarlos; es decir, cuál es el nivel de confianza de esos certificados para distintas tareas. Tratándose de la Fábrica Nacional de Moneda y Timbre y de la Dirección General de Policía podemos marcar todas las casillas y confiar en ellos plenamente. No obstante, deberemos marcar, al menos, "Utilizar este certificado como raíz de confianza" y "Documentos certificados" para que Adobe pueda certificar documentos .PDF firmados por uno de estos certificados.



2.11 Repite el proceso con el certificado restante

2.12 ¡Listo!

Autor: Ramón Cutanda (videoed)

Foros para publicación de dudas

Si tras ver el manual tienes alguna duda o quieres preguntar algo, por favor, usa uno de estos foros o hilos:
http://www.videoedicion.org/foro/index.php?topic=56411.0

Respuesta rápida

Advertencia: No se ha publicado ninguna respuesta a este tema desde hace 365 días como mínimo.
A menos que estés seguro de que quieres responder, por favor, considera el empezar un nuevo tema.

Nombre de la colección:
Correo electrónico:
Atajos: ALT+S para publicar/enviar o ALT+P para previsualizar

PUBLICIDAD

El spam de este foro está controlado por CleanTalk