¿Mi firma digital puede expirar?
Desde el inicio de la pandemia las empresas han ido adaptando a nuevos escenarios para poder mantener sus procesos comerciales, administrativos y de gestión.
Uno de los retos fue la firma de convenios/contratos y documentos que se firman de forma recurrente tanto para con los trabajadores de la empresa o con los clientes, así es como algunas empresas ya han adoptado la FIRMA DIGITAL en sus procesos internos y están gozando de muchos beneficios como la agilidad de tener siempre disponible los documentos firmados y ahorros en procesos (impresión, envío de documentos fisicos, almacenamiento de documentos, etc.).
Ya un buen número de personas han escuchado o utilizado la firma digital y conocen el proceso básico para tener un documento firmado digitalmente, pero ahora es necesario investigar un poco más y así absolver dudas como:
- ¿Qué característica tiene mi firma digital?
- ¿Una vez firmado mi documento, mi firma es válida de por vida? o tiene alguna vigencia.
- ¿En caso mi firma certificado digital expire las firmas realizadas ya no son válidas, los tendré que firmar nuevamente?
Ahora vamos a comentar sobre los servicios que participan en un proceso de firma digital
- Certificado digital: Se puede decir que el certificado digital es como un documento de identidad en un ambiente electrónico ya que tiene todos nuestros datos (DNI, nombres completos, correo, etc.) que han sido validados previamente por una entidad acreditada donde ellos se aseguraron que nosotros somos quienes decimos ser, para poder entregarnos nuestro certificado digital. Cabe resaltar que este documento tenemos que protegerlo así como protegemos una tarjeta de crédito o DNI para que nadie pueda utilizarlo sin nuestro consentimiento (y no suplanten nuestra identidad).
- Software de firma digital: Esta herramienta es la que hace la magia de la firma digital, utiliza el certificado digital indicado por el FIRMANTE y agrega la firma digital en el documento PDF, agregando toda la información necesaria (datos del firmante que están en el certificado digital) y protegiendo el documento de futuros cambios (integridad). Cabe resaltar que la ley indica que este software de firma debe estar acreditado ante INDECOPI.
Detallando los tipos de firma digital
Ahora teniendo claro esto, vamos a detallar sobre algunos tipos de firma digital, si bien es cierto nosotros al firmar solo hacemos un click y tenemos el documento firmado, dependiendo del software utilizado esta firma puede contar o no con ciertas características. En este post nos centraremos en las siguientes:
- Firma digital básica.- Este tipo de firma solo contiene información del firmante (obtenido del certificado digital utilizado), y en algunos casos datos de que entidad (Autoridad de certificación) ha emitido el certificado utilizado en el proceso de firma. Este tipo de firma al tener pocos datos dentro de la firma digital, una vez el certificado este expirado (vencido) es complicado validar si la firma digital no tuvo problemas en el momento que fue realizada.
- Firma digital longeva.- Este tipo de firma contiene muchos más datos y permite validar un documento electrónico a lo largo del tiempo ya que contiene la siguiente información
a. Información del firmante.- Obtenida del certificado del firmante al momento de la firma digital.
b. Cadena de confianza.- Datos de la entidad/empresa (autoridad de certificación) que validó y emitió el certificado digital.
c. Información sobre el estado del certificado (CRL/OCSP).- Es la información del estado del certificado al momento de realizar la firma digital. Esta información es descargada e insertada en el documento firmado digitalmente para validaciones futuras.
- CRL: lista de certificados revocados (entiéndase anulados), es como una lista negra de certificados que han sido reportados por sus suscriptores para que no se puedan utilizar, DATO IMPORTANTE: En esta lista solo vamos a encontrar los certificados que aún están dentro de su periodo de vigencia, pero que por algún motivo se revocó. Por ejemplo si tengo un certificado que vence el 12/12/2023 y luego solicito que se revoque, este certificado va a estar en la CRL hasta la fecha que expire 12/12/2023, luego de esa fecha se considera un certificado vencido por lo que ya no estaría en esta lista negra.
- OCSP: que es un servicio que da información al software de firma si el certificado está activo o no.
d. Sello de tiempo.- Este servicio contiene la información de la fecha y hora en que se realiza la firma digital pero obtenida desde un tercero de confianza. Si no utilizamos un sello de tiempo la fecha y hora es obtenida desde el reloj de nuestra computadora. En un próximo post, detallaremos más sobre este servicio.
¿Quizá hasta aquí se sigan preguntando, pero como puedo saber si mi firma tiene una fecha de expiración?. Pues es bastante simple, vamos a poner un caso práctico con cada tipo de firma.
Caso práctico de firma básica en un PDF
Imaginemos que el día de hoy (13/05/2022) firmamos un documento con nuestro certificado digital que aún está vigente pero que expira el día 14/05/2022 (el día siguiente). Ahora que tenemos nuestro documento firmado vamos a validar este documento en dos fechas distintas:
> Fecha 1: 13/05/2022 (mismo día): Vamos a ver qué es lo que pasa cuando validamos un documento firmado digitalmente ya sea utilizando un software de validación o el mismo adobe (lo pondré en un orden que nos permita leerlo de forma clara). Entonces cuando validamos un documento el software de validación realiza los siguientes pasos:
a. Revisar la información del firmante. – El software verificará quien ha firmado el documento. (OK)
b. Revisar que no existan cambios.- El software verificará de que no se haya modificado el documento después de la firma digital.(OK)
c. Revisar el emisor del certificado.- El software revisará si el emisor del certificado es una entidad (autoridad de certificación) de confianza. (OK)
d. Revisar que el certificado no este revocado al momento de la firma.- Como es una firma básica, nuestro documento firmado no contiene esta información por lo que el software tiene que proceder a consultarla en línea y verificar que el certificado no haya estado revocado (OJO: Recuerden que esta lista de revocación-CRL solo contiene los registros de certificados que están dentro de su fecha de vigencia y se encuentren revocados), como nuestro certificado está vigente y no esta revocado pues se valida con éxito. (OK)
> Fecha 2: 15/05/2022: Ahora vamos a validar el mismo documento un día después de que nuestro certificado haya expirado, pasamos por los mismos puntos
a. Revisar la información del firmante.- El software verificará quien ha firmado el documento. (OK)
b. Revisar que no existan cambios.- El software verificará de que no se haya modificado el documento después de la firma digital. (OK)
c. Revisar el emisor del certificado.- El software revisará si el emisor del certificado es una entidad (autoridad de certificación) de confianza. (OK)
d. Revisar que el certificado no este revocado (anulado) al momento de la firma.- Como explicamos en el punto anterior la lista de certificados revocados-CRL solo contiene información de certificados vigentes, en este caso nuestro certificado ya se encuentra vencido y el sistema no va a poder saber si el certificado ha estado revocado (anulado) o no al momento de la firma, ya que en este tipo de firma esta información es descargada en línea. (FALLO)
Como vemos en el ejemplo de la fecha 2, al no tener toda la información dentro del mismo documento, los sistemas no pueden validar si el certificado ha estado revocado o no al momento de la firma. Por este motivo podemos decir que cuando se utilizan firmas básicas la fecha de expiración de la firma es la misma que la del certificado digital y va a depender del tipo de documento poder utilizar un tipo de firma u otro.
Ahora en el caso de las firmas longevas, esto no ocurre ya que una característica de la firma longeva es incluir todos los datos de validación dentro del mismo documento, cosa que en posteriores validaciones ya no es necesario consultar nada ONLINE y nuestra firma puede ser validada durante mucho tiempo después.
Espero que este post les pueda ayudar en resolver algunas consultas y si desean información de cómo realizar firmas longevas en sus documentos pueden contactarnos a informes@bigprime.pe.