Firmas cualificadas: qué significan
Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence: Standard-backed
De un vistazo
Sección titulada «De un vistazo»«Cualificada» es un estatus jurídico en el marco del Reglamento eIDAS de la UE, no una propiedad que pueda conceder una biblioteca. Para llegar a ese estatus intervienen varias partes y responsabilidades concretas: un certificado cualificado, un dispositivo cualificado de creación de firmas, un prestador cualificado de servicios de confianza y listas de confianza publicadas. Esta página describe esos roles y expone con claridad la parte única y acotada que desempeña NextPDF, así como los tramos más amplios de la cadena que no le corresponden.
Por qué importa
Sección titulada «Por qué importa»Una qualified electronic signature tiene el efecto jurídico que la ley le asigna en su jurisdicción. Por eso la condición de «cualificada» resulta atractiva. También por eso es peligroso afirmarla a la ligera. Supongamos que un flujo se describe como productor de firmas cualificadas, pero falta un rol de la cadena: el certificado no es cualificado, el dispositivo no es un QSCD, el prestador no figura en una lista de confianza. Entonces las firmas no son cualificadas. Esa laguna suele aflorar en el momento de mayor trascendencia: un litigio, una auditoría o una comprobación de aceptación transfronteriza.
La dificultad está en que una firma avanzada perfectamente válida y una firma cualificada pueden verse idénticas en un visor de PDF. La diferencia reside en el certificado, el dispositivo, el prestador y la lista de confianza; un motor de firma no aporta ninguno de esos elementos. La clave está en saber con exactitud qué parte posee cada garantía.
La versión breve
Sección titulada «La versión breve»- Lo cualificado es una cadena, no una característica. Requiere un certificado cualificado, firmar en un QSCD, un prestador cualificado de servicios de confianza y localización a través de listas de confianza. Basta con que falte cualquiera de esos elementos para que el resultado deje de ser cualificado.
- Un QSCD es obligatorio. Conforme a las políticas de certificado cualificado, las firmas deben crearse únicamente mediante un dispositivo cualificado de creación de firmas. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
- El control exclusivo recae en el firmante y el dispositivo. La clave privada debe estar bajo el control exclusivo del firmante, alojada en un dispositivo que la protege y firma en su nombre. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
- La parte de NextPDF es acotada y honesta. Ensambla una firma de PDF estructuralmente correcta y puede incrustar una marca de tiempo de confianza y material de validación a largo plazo. No es un QSCD, no es un prestador (cualificado) de servicios de confianza, no emite certificados, no opera listas de confianza ni confiere el estatus de cualificada.
Cómo lo aborda NextPDF
Sección titulada «Cómo lo aborda NextPDF»Los roles, nombrados
Sección titulada «Los roles, nombrados»Una qualified electronic signature conforme a eIDAS se construye a partir de responsabilidades diferenciadas. NextPDF ocupa exactamente una casilla; las demás pertenecen a partes y normas externas al motor.
- Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
- Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
- Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements
- Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
- Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds
- El certificado cualificado. Emitido al firmante, incluye declaraciones QC que lo identifican, de forma legible por máquina, como un certificado cualificado para firma electrónica, e identifican al prestador cualificado de servicios de confianza que lo emitió. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF no lo emite.
- El QSCD. Un dispositivo cualificado de creación de firmas: en los términos de ETSI, un dispositivo criptográfico seguro que aloja la clave privada del usuario, la protege frente a compromisos y realiza la firma en nombre del usuario. Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF es software que firma a través de un dispositivo de ese tipo; el motor no es en sí un QSCD, y su ruta de clave por software tampoco lo es.
- El prestador cualificado de servicios de confianza. El QTSP emite el certificado cualificado y también está supervisado; las políticas exigen que las firmas bajo estos certificados se creen únicamente mediante un QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF no es un prestador de servicios de confianza.
- Listas de confianza. Evidencia publicada con la que una parte usuaria establece que el prestador y el servicio eran cualificados. NextPDF no opera listas de confianza ni responde por ellas.
La parte acotada que NextPDF desempeña
Sección titulada «La parte acotada que NextPDF desempeña»Dentro de esa cadena, la labor de NextPDF es acotada y concreta. Ensambla la firma del PDF: coloca el campo de firma, calcula el rango de bytes y construye el CMS SignedData que, según la norma, debe alojar la entrada Contents. Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Cuando la clave de firma está en un QSCD, NextPDF firma a través de él usando la misma frontera de hardware descrita en Firma respaldada por HSM, y la clave permanece en el dispositivo.
NextPDF también puede incrustar los dos elementos que hacen duradera una firma: una marca de tiempo de confianza de una autoridad de sellado de tiempo y el material de validación a largo plazo que la mantiene verificable. Una marca de tiempo es la prueba aportada por un Tercero de Confianza de que un dato existía antes de un instante determinado Spec: RFC 3161, §1 RFC 3161 §1 ; en el marco de la UE, esa autoridad opera bajo una política para prestadores de servicios de confianza que emiten sellos de tiempo. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF solicita e incrusta el token. No opera la autoridad de sellado de tiempo, y por sí sola la incrustación de una marca de tiempo no convierte una firma en cualificada.
Qué dice la evidencia
Sección titulada «Qué dice la evidencia»Evidence: Standard-backed El requisito del QSCD es explícito en las políticas de certificado cualificado: las obligaciones del suscriptor (o del TSP gestor) exigen que las firmas digitales se creen únicamente mediante un QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 El propio dispositivo se define como aquel que aloja la clave privada del usuario, la protege frente a un compromiso y realiza la firma en nombre del usuario Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; para una persona física la clave privada debe estar bajo el control exclusivo del firmante. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Una biblioteca de firma no puede satisfacer ninguna de estas obligaciones en nombre de la cadena.
Evidence: Standard-backed Lo que hace cualificado a un certificado reside en las declaraciones QC del certificado, incluida una indicación legible por máquina de que se emitió como certificado cualificado para firma electrónica, y datos que identifican al prestador cualificado de servicios de confianza que lo emitió. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Una biblioteca que consume un certificado para construir una firma no hace que el certificado sea cualificado; eso corresponde al QTSP que lo emitió.
Evidence: Standard-backed El tiempo de confianza corresponde a un rol de prestador propio. RFC 3161 define una Autoridad de Sellado de Tiempo como un Tercero de Confianza que aporta prueba de existencia de un dato en un instante determinado Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 especifica los requisitos de política y de seguridad para prestadores de servicios de confianza que emiten sellos de tiempo, que pueden respaldar firmas digitales o probar que un dato existía antes de un momento determinado. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF incrusta un token de un prestador de ese tipo; el estatus cualificado del prestador, si lo hubiera, es del prestador, no del motor.
Ejemplo práctico
Sección titulada «Ejemplo práctico»No existe ninguna API que «haga cualificada una firma», y una muestra de código que diera a entender lo contrario sería incorrecta. El recurso útil aquí es una lista de comprobación de responsabilidades que un revisor puede usar:
| Eslabón de la cadena | Quién lo posee | La parte de NextPDF |
|---|---|---|
| Certificado cualificado emitido | Prestador cualificado de servicios de confianza | Lo consume; no lo emite |
| Firma en un QSCD | El firmante + el dispositivo | Firma a través de él; no es un QSCD |
| Control exclusivo de la clave privada | El firmante + el dispositivo | Nunca posee la clave cuando está en un QSCD |
| El prestador/servicio es cualificado | El QTSP + la supervisión | No afirma nada al respecto |
| Localizable a través de listas de confianza | Operadores de listas de confianza | No las opera ni las comprueba |
| La firma del PDF está bien formada | El motor de firma | Esta es la casilla de NextPDF |
| Marca de tiempo de confianza incrustada | Una autoridad de sellado de tiempo | Solicita e incrusta el token |
| Material de validación a largo plazo | El flujo de signing/validation | Puede incrustarlo (véase Documentos relacionados) |
Si alguna fila por encima de la casilla del motor no se cumple, el resultado es —en el mejor de los casos— una firma avanzada válida, no una cualificada. NextPDF puede cumplir cada fila que le corresponde y aun así no convertir la firma en cualificada, porque no le corresponde al motor conferir ese estatus.
Error común
Sección titulada «Error común»«NextPDF produce firmas cualificadas.»
No es así, y la formulación precisa importa. NextPDF produce firmas de PDF estructuralmente correctas y es compatible con firmar en un QSCD e incrustar marcas de tiempo de prestadores cualificados. Que una firma dada sea cualificada depende del despliegue: depende de un certificado cualificado, un QSCD, un prestador cualificado de servicios de confianza y el estatus en una lista de confianza, condiciones que el motor no aporta ni certifica. La afirmación correcta es «NextPDF ensambla la firma; el estatus de cualificada proviene del certificado, el dispositivo y el prestador.» Decir más que eso es atribuir al software un estatus jurídico que no puede otorgar.
Límites y fronteras
Sección titulada «Límites y fronteras»La frontera, expuesta con claridad y sin atenuantes:
- Qué es NextPDF. Un motor de firma de PDF 2.0. Construye la firma conforme a Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , firma a través de un dispositivo cuando se le proporciona uno y puede incrustar una marca de tiempo y material de validación a largo plazo.
- Qué no es NextPDF. No es un QSCD, no es un prestador de servicios de confianza cualificado (ni de ningún tipo), no es una autoridad de certificación y no es un operador de listas de confianza. No evalúa, confirma ni confiere el estatus de cualificada.
- Ser conforme no equivale a estar certificado. Es una afirmación estructural de que NextPDF construye firmas conformes a la norma de firma de PDF y puede portar los elementos que un perfil AdES espera. No es una certificación de que ninguna firma resultante sea cualificada, ni un sustituto de las condiciones de QSCD, certificado, prestador y lista de confianza que —en conjunto— la hacen así.
- La jurisdicción importa. «Cualificada» y su efecto jurídico están definidos por el Reglamento eIDAS dentro de su ámbito. Esta página es una explicación de ingeniería, no asesoramiento jurídico. La suficiencia jurídica de una firma para un uso concreto corresponde a la ley pertinente y a los abogados de las partes, no a la documentación de una biblioteca.
| Edition | Availability |
|---|---|
| Core | El núcleo construye el contenedor de firma del PDF y el contenedor CMS. No contribuye por sí mismo al estatus de cualificada. |
| Pro | Pro añade firma con claves gestionadas y aumento de firma, descritos en el nivel de comportamiento. Sigue sin ser un QSCD ni un prestador de servicios de confianza. |
| Enterprise | Enterprise añade firma con token de hardware mediante PKCS#11, de modo que la clave de firma puede residir en un dispositivo que un despliegue opera como un QSCD. El motor firma a través del dispositivo; el estatus de cualificada sigue siendo del certificado, del dispositivo y del prestador, nunca del motor. |
Mini-FAQ
¿Es una firma avanzada lo mismo que una cualificada? No. Pueden tener un aspecto idéntico en un visor. Una firma cualificada requiere además un certificado cualificado, un QSCD y un prestador cualificado de servicios de confianza; una firma avanzada no. La diferencia está en la cadena, no en los bytes del PDF.
¿Firmar en un HSM convierte una firma en cualificada? No por sí solo. Un QSCD es necesario, pero no suficiente. El certificado debe ser un certificado cualificado de un prestador cualificado de servicios de confianza, y el dispositivo debe cumplir los criterios de QSCD para ese despliegue. Un HSM genérico no es automáticamente un QSCD.
¿Añadir una marca de tiempo convierte una firma en cualificada? No. Una marca de tiempo de confianza refuerza la durabilidad y la prueba temporal; no aporta las condiciones de certificado, dispositivo o prestador que definen el estatus de cualificada. Es necesaria para los perfiles a largo plazo, no suficiente para el estatus de cualificada.
¿Puede NextPDF decirme si mi firma es cualificada? No. El motor no afirma nada sobre el estatus de cualificada. Establecerlo es una cuestión del certificado, el dispositivo, el prestador, las listas de confianza y la ley aplicable, ajena a la responsabilidad del motor.
Documentos relacionados
Sección titulada «Documentos relacionados»- Firma respaldada por HSM — la frontera de dispositivo que utiliza una firma basada en QSCD, y dónde se sitúa el límite de la clave.
- Marcas de tiempo y tiempo de confianza — qué prueba una marca de tiempo RFC 3161 y el rol del prestador que la respalda.
- Validación a largo plazo — el material de validación que mantiene una firma verificable a lo largo del tiempo.
Glosario
Sección titulada «Glosario»- Firma electrónica cualificada — conforme al Reglamento eIDAS, una firma electrónica avanzada creada por un QSCD y basada en un certificado cualificado; un estatus jurídico, no una característica del software.
- eIDAS — Reglamento (UE) n.º 910/2014 de la UE sobre identificación electrónica y servicios de confianza; el marco jurídico que define «cualificada» y su efecto.
- QSCD (dispositivo cualificado de creación de firmas) — un dispositivo que cumple los criterios de eIDAS; en términos de ETSI, un dispositivo criptográfico seguro que aloja la clave del usuario, la protege y firma en su nombre.
- Certificado cualificado — un certificado emitido por un prestador cualificado de servicios de confianza cuyas declaraciones QC lo identifican, de forma legible por máquina, como cualificado para firma electrónica.
- QTSP (prestador cualificado de servicios de confianza) — un prestador de servicios de confianza supervisado que emite certificados cualificados y servicios cualificados relacionados.
- Lista de confianza — evidencia publicada con la que una parte usuaria establece que un prestador y un servicio eran cualificados.
- Control exclusivo — la obligación de que la clave privada de un firmante persona física se mantenga bajo el control exclusivo de dicho firmante.
- Autoridad de Sellado de Tiempo (TSA) — un Tercero de Confianza que aporta prueba de existencia de un dato en un instante determinado (RFC 3161).