¿Acaba de recibir un documento firmado electrónicamente y quiere comprobar la validez de la firma que aparece en él? ¿Cómo puedo comprobar que una firma electrónica en un archivo PDF es válida? ¿Y cómo se interpretan los distintos mensajes que aparecen en Adobe Acrobat Reader?
Mientras que verificar una firma manual puede ser difícil, en el caso de una firma digital puede comprobarse rápidamente. El software Acrobat Reader de Adobe permite comprobar la validez de una firma en un documento PDF. Todavía tienes que entender y descifrar los distintos mensajes que puede mostrar el software. Al leer este artículo, podrá comprender cómo interpretar estos mensajes y cómo asegurarse de que una
firma electrónica
.
¿Qué es Adobe Acrobat?
Adobe Acrobat Reader es un software gratuito especializado en el tratamiento de archivos PDF. El editor de software ha lanzado un programa privado denominado «AATL» (Adobe Approved Trust List), cuyo objetivo es permitir a los usuarios verificar de forma sencilla las firmas electrónicas. La empresa estadounidense elaboró entonces una serie de requisitos técnicos que debían cumplirse para ser incluido en esta lista. Cualquier Autoridad de Certificación (AC) puede solicitar su adhesión al programa AATL presentando una solicitud. El objetivo de esta certificación es proporcionar confianza a los usuarios que utilizan y comparten documentos firmados. También pretende facilitar la comprensión de la validez de una firma.
Los 3 códigos de color
Al abrir un PDF firmado en el programa, aparece un banner directamente en la parte superior del documento. Proporciona información sobre la validez de la firma. Hay 3 códigos de color diferentes para distinguir los distintos estados de la firma:
- Una marca verde acompañada del mensaje «Firmado con firmas válidas».
- Un triángulo naranja con las palabras «Al menos una firma presenta un problema».
- Una cruz roja con el mensaje «Al menos una firma no es válida».
El algoritmo analiza los datos del fichero según varios criterios:
- Garantizará la integridad del documento, es decir, que el contenido del documento no se ha modificado desde que se firmó.
- Comprobará que el certificado no ha caducado ni ha sido revocado en el momento de la consulta.
Al final de esta comprobación, se mostrará uno de los 3 mensajes siguientes.
Desacralizar la garrapata verde
El software muestra una marca verde si se cumple uno de los siguientes criterios:
- La Autoridad de Certificación (CA) está referenciada en la lista de confianza europea EUTL, regida por el reglamento eIDAS. Sólo se trata de servicios cualificados, el nivel más alto de Europa.
- La AC forma parte de la AATL y cumple los requisitos técnicos impuestos por Adobe.
- El documento se firma utilizando un certificado de entidad jurídica (sello del servidor) emitido sobre la base de una reunión física cara a cara o equivalente: se trata de una firma simple de conformidad con eIDAS.
Sombreado de las garrapatas rojas y naranjas
En el caso de la firma electrónica avanzada, este nivel se subdivide en varios niveles de certificado. Se trata de los niveles LCP y NCP+:
- La LCP (Lightweight Certificate Policy) exige la autenticación con prueba de verificación de la identidad del firmante mediante un documento de identidad.
- NCP+ (Extended Normalized Certificate Policy) corresponde al nivel LCP, con autenticación completada por un cara a cara físico o equivalente, y un dispositivo HSM.
Estos distintos niveles de firma avanzada están certificados y, por tanto, cumplen la normativa eIDAS. Sin embargo, una firma LCP avanzada puede activar un tick rojo o naranja, aunque cumpla estrictamente la normativa europea que la regula. Si el OID (identificador de política de firma) del certificado utilizado no figura en el AATL, el software muestra una cruz roja. Esto último no significa necesariamente que haya un problema con la integridad de la firma; puede ser perfectamente válida criptográficamente.
Lo mismo ocurre con una firma simple, que puede ser válida y reconocida como tal por un tribunal francés, y tener una marca roja en Acrobat.
Si el certificado ha caducado y la firma no ha sido validada a largo plazo (es decir, no contiene los datos de revocación del certificado), el software mostrará un triángulo naranja. El documento puede haber mostrado anteriormente una marca verde, pero sólo temporalmente: es lo que se conoce como una marca verde efímera.
Por lo tanto, las marcas rojas y naranjas deben matizarse y pueden referirse a firmas perfectamente válidas. Pero los mensajes rojos también pueden referirse a certificados que contienen errores: cuando el documento ha sido modificado desde que se estampó la firma, o cuando la marca de tiempo no está presente.
Para descifrar las razones de la aparición de un mensaje rojo o naranja, debemos examinar con más detalle los datos del documento.
Comprobar propiedades
Para comprobar los detalles del certificado utilizado :
1. Primer paso, abra su archivo PDF
2. En el panel izquierdo, seleccione el icono de la pluma, despliegue la información y haga clic en la flecha.
3. Último paso, haga clic en «detalles del certificado».
4. Aparece una ventana con la información contenida en el certificado del firmante.
También puede obtener información haciendo clic con el botón derecho en la firma y, a continuación, en «Mostrar propiedades de la firma». En el caso de una cruz roja, puede parecer importante comprobar la información detallada de los certificados. Podemos asegurarnos de que el documento no ha sido modificado desde que se firmó o de que contiene una marca de tiempo. También puede validar manualmente la firma en la pestaña Aprobación. La cruz roja se convierte instantáneamente en un tick verde.
Para comprobar la configuración del software y asegurarse de que la lista de confianza está actualizada :
- En el panel Edición, seleccione Preferencias
- Seleccione la categoría «Gestor de autorizaciones
- Actualizar la AATL.
En algunos casos, el programa solicita la aprobación manual de la firma y muestra el siguiente mensaje: «Al menos una firma debe ser validada, por favor complete el siguiente formulario».
Los límites del programa AATL
A pesar de la ambición del programa y de su voluntad de hacer más fácil y clara la comprobación del estado de una firma electrónica, tiene una serie de limitaciones de las que debemos ser conscientes.
Recuerde que este programa está gestionado por una empresa privada, lo que no garantiza la validez legal de una firma digital. Dos firmas que aporten pruebas idénticas, de las que sólo una esté referenciada en la AATL, tendrán el mismo valor jurídico pero podrán presentar diferencias en Adobe Acrobat.
Por lo tanto, el código de colores indicado no es garantía de seguridad. Simplemente facilita la lectura de una firma electrónica, que a veces puede ser compleja. El valor jurídico de una firma no puede cuestionarse únicamente por esta interpretación.
Los mensajes rojos y naranjas no significan necesariamente que haya un problema con la integridad de la firma. Por último, tener un distintivo verde es positivo y demuestra una firma válida, pero puede ser el legado de normas menos restrictivas que no pueden anularse (AATL V1).
Tercero de confianza reconocido como Autoridad de Registro y Certificación, Netheos y el grupo Namirial ofrecen soluciones de firma electrónica que cumplen el RGS (Référentiel Général de Sécurité), los requisitos del reglamento eIDAS y han sido validadas por la
Lista de confianza de Adobe
.