002 Como validar una Firma Electrónica Avanzando

 https://www.youtube.com/watch?v=ORhVSwEJhvs

¿Qué es una Firma Electrónica Avanzada?

Imagina que la firma electrónica avanzada no es solo escanear tu firma de puño y letra y pegarla en un PDF. Es como un cofre del tesoro digital ultra seguro.

Dentro de ese cofre hay tres cosas que demuestran que fuiste tú y solo tú quien firmó:

  1. Tu identidad: Quién eres.

  2. Tu voluntad: Que querías firmar ese documento exacto.

  3. La integridad: Que el documento no ha sido alterado desde que lo firmaste.

La forma técnica de crear este "cofre" es usando un par de claves criptográficas: una Privada (que solo tú tienes) y una Pública (que puedes dar a todo el mundo).

La Gran Analogía: El Candado y la Llave Única

Pensemos en la firma avanzada como un sistema de candados y llaves mágico:

  1. Tú (el firmante) tenéis una llave única e irrompible (tu Clave Privada). Esta llave no solo abre, sino que también crea candados especiales que solo se pueden hacer con esa llave. NUNCA se la das a nadie.

  2. Cuando queréis "firmar" un documento (un contrato, una factura...), pasáis el documento por una máquina especial (un algoritmo hash). Esta máquina comprime todo el documento en una pequeña huella digital única (un código de letras y números). Es como reducir el documento a una sola frase secreta. Si cambias incluso una coma en el documento, la huella digital resultante será completamente distinta.

  3. Usáis vuestra llave única (Clave Privada) para cifrar o "encerrar" esa huella digital dentro de un candado especial (la Firma Electrónica). Solo vuestra llave puede crear este candado específico.

  4. Adjuntáis ese candado (la firma) al documento original y lo enviáis.

¿Qué tiene el destinatario?

  • El documento original.

  • El candado adjunto (la firma).

Cómo Validar la Firma (Abriendo el Candado)

La validación es el proceso que hace la otra persona (o un programa) para verificar que todo es correcto. Es como si ellos recibieran el cofre y tuvieran que comprobar su autenticidad.

Paso 1: Obtener la Llave Pública del Remitente
Para abrir el candado, no se usa la llave privada (que solo tú tenéis), sino su pareja: la Llave Pública. Esta llave no es secreta; está en tu certificado digital, que a su vez está avalado por una Autoridad de Confianza (como la FNMT en España). Es como si tuvieras un llavero oficial con copias de las llaves públicas de gente verificada.

Paso 2: Abrir el Candado
El validador usa tu Llave Pública para intentar "abrir el candado" (descifrar la firma). Si se abre correctamente, significa que el candado solo pudo ser creado por la Llave Privada que forma pareja con esta Llave Pública. Por lo tanto, demuestra que fuiste tú quien firmó.

Pero esto solo prueba que usaste tu clave. ¿Y si el documento fue alterado? Ahí entra el último paso.

Paso 3: Verificar la Integridad (La Huella Digital)
Al abrir el candado, se obtiene la huella digital original que tú calculaste en el momento de firmar.

  • El validador ahora toma el documento que recibió y lo pasa por la misma máquina (el mismo algoritmo hash) para calcular una huella digital nueva.

  • Compara la huella digital que salió del candado (la original) con la que acaba de calcular (la nueva).

Aquí hay tres posibilidades:

Si las huellas......entonces la validación dice:Analogía
Coinciden exactamente¡ÉXITO! La firma es válida. El documento es íntegro y fue firmado por el titular del certificado.El documento viajó intacto. El candado y la llave eran los correctos.
NO coinciden¡FRAUDE! La firma puede ser válida, pero el documento ha sido modificado después de ser firmado. La integridad se ha roto.Alguien abrió el cofre, cambió el contenido y lo volvió a cerrar con otro candado. La huella inside no coincide.
No se puede abrir el candadoINVÁLIDA. La firma no se creó con la clave privada que corresponde a esa clave pública. El certificado podría ser falso o estar revocado.Estás intentando abrir un candado de la marca "A" con una llave de la marca "B". No encaja.

Resumen en 4 Pasos Sencillos (Para el Validador)

  1. Verificar el Certificado: Asegurarse de que el certificado (que contiene la Llave Pública) es real, está vigente y fue emitido por una Autoridad de Confianza reconocida. Es como comprobar que el carnet de conducir no es una falsificación y no está caducado.

  2. Descifrar la Firma: Usar la Llave Pública del firmante para extraer la "huella digital original" que él guardó dentro de la firma.

  3. Calcular una Nueva Huella: Aplicar la misma función matemática (hash) al documento recibido para obtener su propia "huella digital actual".

  4. Comparar: ¿Coinciden la huella original y la actual?

    • SÍ -> Documento íntegro y firmante verificado.

    • NO -> El documento fue alterado o la firma es inválida.

Herramientas para Validar

Tú, como usuario, no lo haces manualmente. Usas programas que lo hacen automáticamente:

  • Adobe Acrobat Reader: Abres el PDF firmado y te muestra un tick verde si está todo bien.

  • Plugins o sitios web de entidades oficiales: (Por ejemplo, el VALIdor de la FNMT).

  • Aplicaciones de facturación electrónica: Validan las firmas de las facturas.

Espero que con estas analogías te haya quedado mucho más claro. ¡Es un sistema muy robusto y elegante!

Cómo Validar una Firma Electrónica Avanzada

1. Introducción: ¿Qué es una Firma Electrónica Avanzada?

Antes de validar, es crucial entender qué estás validando. La Firma Electrónica Avanzada (FEA) es mucho más que una imagen de tu firma escaneada. Es un sello digital seguro que se vincula a un documento y al firmante, garantizando:

  • Autenticidad: Confirma la identidad de la persona que firma.

  • Integridad: Asegura que el documento no ha sido alterado desde su firma.

  • No repudio: El firmante no puede negar haberlo firmado.

Si no estás familiarizado con el concepto, te recomendamos ver nuestro vídeo explicativo que encontrarás en el enlace de la descripción.

Técnicamente, una FEA es el resultado de unir un hash (una huella digital única del documento) y un certificado de identidad digital del firmante. Por lo tanto, para validarla, necesitarás estos mismos componentes para verificar que coinciden y son válidos.

2. ¿Qué necesitas? Requisitos para la Validación

Para realizar una validación correcta, necesitas reunir los siguientes insumos:

  1. Documento Original: El archivo (PDF, XML, etc.) en su estado original, antes de ser firmado o tal como fue firmado.

  2. Certificado Público del Firmante: La clave pública del certificado digital de la persona que firmó. Este no contiene datos privados.

  3. Constancia de Conservación de Datos (NOM-151): Un archivo que prueba que el documento se ha conservado sin cambios (formato ASN1).

  4. Firma Electrónica Avanzada: El valor de la firma en sí, que suele estar embebida dentro del documento firmado (PDF o XML).

  5. Validador Público: Una herramienta de software, preferiblemente de código libre, que realice el proceso de verificación.

3. Proceso de Validación Paso a Paso

Paso 1: Generación del Hash del Documento

El primer paso es crear la "huella digital" de tu documento original usando el algoritmo SHA-256.

  • Cómo hacerlo:

    1. Ve a Google y busca "SHA256 online" o utiliza un generador de confianza.

    2. Abre la página web del generador (enlace en la descripción).

    3. Selecciona o arrastra tu archivo original a la herramienta.

    4. La herramienta te devolverá un código alfanumérico único: ese es el hash de tu documento. Guárdalo.

Paso 2: Obtención del Certificado Público del Firmante

Necesitas la clave pública de quien firmó. Si no la tienes, puedes obtenerla así:

  1. Busca en Google "Recuperar certificados SAT" y accede al portal oficial (enlace en la descripción).

  2. Necesitarás el RFC del firmante o su número de certificado. Esta información suele estar dentro del PDF firmado.

    • Para encontrarla: Abre el PDF firmado, ve al final del documento donde se muestra el panel de la firma. Ahí encontrarás los datos del firmante, incluido su RFC.

  3. En la página del SAT, ingresa el RFC, resuelve el CAPTCHA y busca el certificado FIEL más reciente y activo. Descárgalo.

Paso 3: Obtención de la Firma Electrónica y el Expediente

La FEA itself often comes within the signed file or a special container.

  1. Si usas un sistema como Digital Firma, descarga el "expediente .ZIP" que contiene todos los elementos de la firma.

  2. Abre el PDF firmado incluido en ese ZIP. Al final del documento, verás los detalles de la Firma Electrónica Avanzada y los datos del firmante.

Paso 4: El Proceso de Validación (La Suma)

Con todos los insumos en mano:

  • Hash del documento original

  • Certificado público del firmante

  • Firma Electrónica Avanzada

Se realiza una sumatoria o verificación algorítmica. Un validador (usando el algoritmo RSA) comprueba matemáticamente que:

  • La firma se creó con la clave privada que corresponde al certificado público que proporcionaste.

  • El hash descifrado de la firma coincide exactamente con el hash que tú calculaste del documento original.

Si los tres elementos (hash, certificado y firma) coinciden, la validación es exitosa. Cualquier cambio mínimo en uno de ellos resultará en un ERROR. Este proceso no te dirá qué se modificó, solo que algo no coincide.

4. Validación Simplificada con Herramientas

Para Validar un XML firmado:

Digital Firma y otros proveedores simplifican el proceso para archivos XML.

  1. Accede a tu validador: validador.digitalfirma.com (enlace en la descripción).

  2. Navega a la sección "Validador Integral de Firma XML".

  3. Simplemente arrastra tu archivo XML (que puedes obtener del expediente .ZIP).

  4. La herramienta te dará un resultado al instante: "Válida" o "No Válida".

Para Validar usando la Constancia NOM-151:

Otro método utiliza el documento original y la constancia de conservación.

  1. En el mismo validador, ve a la sección "Avanzado - Validador NOM-151".

  2. Arrastra tu documento original.

  3. Arrastra la constancia NOM-151 (en formato ASN1, que viene en el expediente .ZIP).

  4. La herramienta validará la firma contra estos dos elementos.

5. ¿Necesitas Ayuda?

Validar una FEA manualmente es técnico. Afortunadamente, las herramientas en línea automatizan todo el proceso por ti.

Si tienes más preguntas o necesitas soporte con Digital Firma:

Recuerda: todos los enlaces mencionados están en la descripción del vídeo para tu facilidad



Comentarios

Publicar un comentario

Entradas más populares de este blog

firma digitales PKI utilizando solo javascript y node,

Puedes hacerme una aplicacion de firma digitales PKI utilizando solo javascript y node,   Crear una aplicación de firma digital basada en Infraestructura de Clave Pública (PKI) utilizando JavaScript y Node.js implica varios pasos importantes. A continuación, te proporcionaré una guía básica para implementar una solución simple de firma digital utilizando Node.js. Esta aplicación incluirá la generación de claves, la creación de una firma digital y la verificación de dicha firma. Requisitos Previos Node.js instalado en tu máquina. Familiaridad básica con JavaScript y Node.js. Paquete crypto de Node.js para operaciones criptográficas. Paso 1: Configuración del Proyecto Crea un nuevo directorio para tu proyecto y navega a él: mkdir digital-signature-app cd digital-signature-app Inicializa un nuevo proyecto de Node.js: npm init -y Instala las dependencias necesarias: Aunque el paquete crypto es parte de Node.js, necesitaremos algunas utilidades adicionales para manejar archivos ...
Leer más

convertir un certificado .key a formato PEM utilizando solo la Web Crypto API

 es posible convertir un certificado .key a formato PEM utilizando solo la Web Crypto API, sin la necesidad de utilizar una biblioteca adicional como Forge. Aquí te dejo un ejemplo completo de cómo hacerlo: html Copiar Editar <!DOCTYPE html > < html > < head > < title >Convertir certificado .key a formato PEM </ title > < meta charset = "utf-8" > </ head > < body > < h1 >Convertir certificado .key a formato PEM </ h1 > < input type = "file" id = "fileInput" > < br > < textarea id = "output" rows = "10" cols = "80" > </ textarea > < script > const fileInput = document . querySelector ( '#fileInput' ); const outputTextarea = document . querySelector ( '#output' ); fileInput. addEventListener ( 'change' , () => { const file = fileInput. files [ 0 ]; const reader = n...
Leer más

Pilares de la firma electronica-pki-RSA

pilares de la firma electronica 1. Autenticidad (o Identificación del Firmante) Este pilar asegura que se puede identificar de manera inequívoca a la persona que realiza la firma. ¿Cómo se logra?  Generalmente mediante la vinculación del acto de firma con un certificado digital emitido por un Prestador de Servicios de Confianza Cualificado (PSCCo). Este certificado acredita la identidad del firmante tras un proceso de verificación presencial o equivalente. Objetivo:  Responder a la pregunta:  "¿Quién firmó el documento?" . Impide que alguien pueda suplantar la identidad del firmante. 2. Integridad Garantiza que el documento firmado no ha sido alterado o modificado de ninguna manera después del momento de la firma. ¿Cómo se logra?  A través de algoritmos criptográficos (como el Hash o resumen digital). Cuando se firma un documento, se genera un "resumen único" del mismo. Cualquier cambio mínimo en el documento original resultaría en un resumen completamente diferente...
Leer más