Planear la configuración de firma digital para Office 2013

Artículo
12/22/2017

Se aplica a: Office 2013

Última modificación del tema: 2016-12-16

Resumen: explica cómo admitir firmas digitales XAdES en documentos de Excel 2013, PowerPoint 2013 y Word 2013.

Público: profesionales de TI

Los usuarios pueden firmar digitalmente un documento de Office 2013Excel, PowerPoint o Word por muchos de los mismos motivos por los que colocarían una firma escrita a mano en un documento de papel. Se usa una firma digital para ayudar a autenticar la identidad del creador de determinada información digital, como documentos, mensajes de correo electrónico y macros, mediante algoritmos criptográficos.

Las firmas digitales están basadas en certificados digitales. Los certificados digitales son comprobadores de identidad emitidos por un tercero de confianza, conocido como entidad de certificación (CA). Esto funciona de modo similar al uso de documentos de identidad impresos. Por ejemplo, un tercero de confianza, como una entidad gubernamental o un empleador, emite documentos de identidad como licencias de conducir, pasaportes y tarjetas de identificación de los empleados. Otras personas dependen de esos documentos para comprobar que una persona es quien dice ser.

Este artículo incluye claves del Registro de firmas digitales que son nuevas en Office 2013.

Flecha del mapa de ruta para consulta sobre la seguridad de Office.

Este artículo forma parte de Guía de seguridad de Office 2013. Use esta guía como punto de partida para acceder a artículos, descargas, pósteres y vídeos de utilidad para evaluar la seguridad de Office 2013.

¿Necesita ayuda con la configuración de firmas digitales de Office 2013 en el escritorio? Quizás le interesen estos artículos, con los que le será más fácil aportar seguridad a Office 2013 en el escritorio.

En este artículo:

Introducción a firmas digitales y cómo se usan en Office 2013
Elegir tipos de certificados digitales para Office 2013
Planear niveles de firmas digitales en documentos de Office 2013

Introducción a firmas digitales y cómo se usan en Office 2013

Las firmas digitales ayudan a establecer las siguientes medidas de autenticación:

Autenticidad La firma digital y su certificado digital subyacente ayudan a asegurar que el firmante es la persona que dice ser. Esto ayuda a impedir que otras personas se hagan pasar por el originador de un documento particular, el equivalente de falsificación en un documento impreso.
Integridad La firma digital ayuda a asegurar que el contenido no fue modificado ni falsificado desde que se firmó digitalmente. Esto ayuda a impedir que los documentos sean interceptados y cambiados sin el conocimiento del originador del documento.
No rechazo La firma digital ayuda a probar a todas las partes el origen del contenido firmado. "Rechazo" hace referencia a la negación de un firmante de cualquier asociación con el contenido firmado. La firma digital ayuda a probar que el originador del documento es el originador verdadero y no otra persona, independientemente de lo que diga el firmante. Un firmante no puede rechazar la firma en ese documento sin rechazar su clave digital y, por lo tanto, otros documentos firmados con esa clave.

Requisitos para firmas digitales en Office 2013

Para establecer estas condiciones, el creador del contenido debe firmar digitalmente el contenido mediante la creación de una firma que satisfaga los siguientes criterios:

La firma digital es válida. Una CA de confianza para el sistema operativo debe firmar el certificado digital en el cual se basa la firma digital.
El certificado asociado con la firma digital no caducó o contiene una marca de tiempo que indica que el certificado era válido en el momento de la firma.
El certificado asociado con la firma digital no está revocado.
La persona u organización que firma (conocida como publicador) es de confianza para el destinatario.

Word 2013, Excel 2013 y PowerPoint 2013 detectan estos criterios y advierten al usuario si hay algún problema con la firma digital. La información sobre certificados problemáticos puede consultarse fácilmente en un panel de tareas de certificados que aparece en la aplicación Office 2013. Las aplicaciones Office 2013 permiten agregar varias firmas al mismo documento.

Firmas digitales en el entorno empresarial de Office 2013

La siguiente situación muestra cómo se pueden usar firmas digitales en documentos en un entorno empresarial:

Una empleada usa Excel 2013 para crear un informe de gastos. La empleada luego crea tres líneas de firmas: una para sí misma, una para su gerente y una para el departamento de contabilidad. Las firmas sirven para:
- identificar que la empleada es la originadora del documento
- indicar que no habrá cambios en el documento cuando se traspase a la gerente y al departamento de contabilidad
- demostrar que existen pruebas de que la gerente y el departamento de contabilidad recibieron y revisaron el documento
La gerente recibe el documento y agrega su firma digital al documento, confirmando así que lo ha recibido y aprobado. A continuación, lo reenvía al departamento de contabilidad para el pago.
Una representante del departamento de contabilidad recibe el documento y lo firma, lo cual confirma recepción del documento.

Este ejemplo demuestra la capacidad de agregar varias firmas a un solo documento de Office 2013. Además de la firma digital, la firmante del documento puede agregar un gráfico de su firma real, o usar una Tablet PC para escribir realmente la línea de firma en el documento.

Problemas de compatibilidad con documentos de Office anteriores a Office 2013

Office 2013, al igual que Office 2010 y Office 2007, usa el formato XML-DSig para firmas digitales. Además, Office 2013 tiene compatibilidad para XAdES (firmas electrónicas XML avanzadas). XAdES es un conjunto de extensiones en capas con respecto a XML-DSig, cuyos niveles se basan en los niveles anteriores para proporcionar firmas digitales más fiables. Para más información sobre los niveles XAdES admitidos en Office 2013, vea Planear niveles de firmas digitales en documentos de Office 2013 más adelante en este artículo. Para más información sobre los detalles de XAdES, vea la especificación para Firmas electrónicas XML avanzadas (XAdES).

Es importante tener en cuenta que las firmas digitales creadas en Office 2013 son incompatibles con versiones de Office anteriores a 2007 Office System. Por ejemplo, si un documento se firma con una aplicación en Office 2013, Office 2010 o Office 2007, y luego se abre mediante una aplicación en Office 2003 que tiene instalado el paquete de compatibilidad de Office, al usuario se le informa que el documento está firmado con una versión más nueva de Office y que se perdió la firma digital.

La siguiente figura muestra la advertencia que ve el usuario después de abrir un documento en una versión de Office anterior a Office 2007.

Advertencia de firma digital para documentos firmados originalmente en Office 2003 o versiones anteriores.

Figura 1. Problemas de compatibilidad

Además, si usa XAdES para una firma digital en Office 2013, la firma digital no será compatible con Office 2010 o 2007 Office System a menos que configure la opción de Directiva de grupo, No incluir objeto de referencia XAdES en el manifiesto, y la establezca en Habilitado. Para más información sobre las opciones de Directiva de grupo de firma digital, vea Planear la configuración de firma para Office 2013 más adelante en este artículo.

Si desea que las firmas digitales que crea en Office 2013 sean compatibles con Office 2003 y versiones anteriores, puede configurar la opción de Directiva de grupo, Firmas con formato heredado, y establecerla en Habilitado. Esta opción de Directiva de grupo se encuentra dentro de User Configuration\Administrative Templates\Microsoft Office 2013\Signing. Después de cambiar esta opción a Habilitado, las aplicaciones de Office 2013 usan el formato binario de Office 2003 para aplicar firmas digitales a documentos binarios de Office 97–2003 creados en Office 2013. Para más información, vea Archivos de plantilla administrativa de Office 2013 (ADMX, ADML) y Herramienta de personalización de Office

Elegir tipos de certificados digitales para Office 2013

Los certificados digitales pueden estar autofirmados o ser emitidos por CA en una organización, como un equipo con Windows Server 2012 o Windows Server 2008 que ejecuta los Servicios de certificados de Active Directory, o una CA pública, como VeriSign o Thawte. Los certificados autofirmados son usados generalmente por personas en pequeñas empresas que no desean configurar una infraestructura de clave pública (PKI) para sus organizaciones y ni comprar un certificado comercial.

El inconveniente principal de usar certificados autofirmados es que solo son útiles si intercambia documentos con quienes conoce personalmente y ellos tienen la confianza de que usted es el originador real del documento. Al usar certificados autofirmados no hay un tercero que valida la autenticidad del certificado. Cada persona que recibe el documento firmado debe decidir manualmente si va a confiar en el certificado.

Para organizaciones más grandes, hay disponibles dos métodos principales para obtener certificados digitales: certificados creados con la PKI de una organización o corporación, y certificados comerciales. Las organizaciones que desean compartir documentos firmados únicamente entre otros empleados de la organización podrían preferir una PKI corporativa para reducir los costes. Las organizaciones que desean compartir documentos firmados con personas externas a la organización podrían preferir usar certificados comerciales.

Certificados creados con la PKI de una organización o corporación

Las organizaciones tienen la opción de crear su propia PKI. En esta situación, la empresa configura una o más entidades de certificación (CA) que pueden crear certificados digitales para equipos y usuarios en toda la empresa. Cuando se combinan con el servicio de directorio Active Directory (AD DS), una empresa puede crear una solución de PKI completa para que todos los equipos administrados por la empresa o la organización tengan la cadena de CA corporativa o de la organización instalada y que tanto a los usuarios como a los equipos se les asignen automáticamente certificados digitales para cifrado y firmado de documentos. Esto permite que todos los empleados de una empresa confíen automáticamente en certificados digitales (y, por lo tanto, en firmas digitales válidas) de otros empleados de la misma empresa.

Para más información, vea Servicios de certificados de Active Directory.

Certificados comerciales

Puede comprar certificados comerciales a una empresa cuya línea de negocios sea vender certificados digitales. La ventaja principal de usar certificados comerciales es que el certificado de CA de raíz del proveedor se instala automáticamente en los sistemas operativos Windows de la organización. Esto permite que dichos equipos confíen automáticamente en las CA. A diferencia de la solución de PKI corporativa o de la organización, los certificados comerciales permiten compartir documentos firmados con usuarios que no pertenecen a la organización.

Existen tres tipos de certificados comerciales:

Clase 1 Los certificados de clase 1 se emiten para personas que tienen direcciones de correo electrónico válidas. Los certificados de clase 1 son adecuados para firmas digitales, cifrado y control de acceso electrónico para transacciones no comerciales donde no se requiere prueba de identidad.
Clase 2 Los certificados de clase 2 se emiten a personas y dispositivos. Los certificados individuales de clase 2 son adecuados para firmas digitales, cifrado y control de acceso electrónico en transacciones donde es suficiente la prueba de identidad que está basada en información en la base de datos de validación. Los certificados de dispositivos de clase 2 son adecuados para autenticación de dispositivos; integridad de mensajes, software y contenido; y cifrado de confidencialidad.
Clase 3 Los certificados de clase 3 se emiten a personas, organizaciones, servidores, dispositivos y administradores para CA y entidades emisoras raíz (RA). Los certificados individuales de clase 3 son adecuados para firmas digitales, cifrado y control de acceso en transacciones donde se debe garantizar la prueba de identidad. Los certificados de servidores de clase 3 son adecuados para autenticación de servidores; integridad de mensajes, software y contenido; y cifrado de confidencialidad.

Para más información sobre certificados comerciales, vea Identificación digital.

Planear niveles de firmas digitales en documentos de Office 2013

Los usuarios pueden firmar documentos digitalmente con Excel 2013, PowerPoint 2013 y Word 2013. También pueden usar Excel 2013, InfoPath 2013 o Word 2013 para agregar una línea de firma o una marca de firma. Firmar digitalmente un documento que tiene un certificado digital pero que no tiene una línea o una marca de firma se conoce como crear una firma digital invisible. Tanto las firmas digitales visibles como las invisibles usan un certificado digital para firmar el documento. La diferencia es la representación gráfica en el documento donde se usa una línea de firma digital visible. Para más información sobre cómo agregar una firma digital, vea Agregar o quitar una firma digital en archivos de Office.

De forma predeterminada, Office 2013 crea firmas digitales XAdES-EPES, cuando se usa un certificado autofirmado o un certificado firmado por una CA durante la creación de la firma digital.

Los niveles de firmas digitales XAdES, que se basan en el estándar de firmas digitales XML-DSig y están disponibles en Office 2013, aparecen en la siguiente tabla. Cada uno de los niveles se basa en los niveles anteriores y contiene las capacidades de los niveles anteriores. Por ejemplo, XAdES-X también contiene todas las capacidades de XAdES-EPES, XAdES-T y XAdES-C, además de la nueva funcionalidad introducida en XAdES-X.

Niveles de firmas digitales XAdES en Office 2013

Nivel de firma	Descripción
XAdES-EPES (base)	Agrega información sobre el certificado que firma a la firma XML-DSig. Esta es la opción predeterminada para firmas de Office 2013.
XAdES-T (marca de tiempo)	Agrega una marca de tiempo a las secciones XML-DSig y XAdES-EPES de la firma, lo que ayuda a proteger contra la caducidad del certificado.
XAdES-C (completo)	Agrega referencias a la cadena de certificación e información del estado de revocación.
XAdES-X (extendido)	Agrega una marca de tiempo al elemento XML-DSig SignatureValue y las secciones –T y –C de la firma. La marca de tiempo adicional protege los datos adicionales contra rechazo.
XAdES-X-L (período de tiempo largo y extendido)	Almacena la información de revocación de certificados y del certificado real además de la firma. Eso permite la validación de certificados incluso si los servidores de certificados ya no están disponibles.

Planear firmas digitales con marca de tiempo en Office 2013

Cuando los usuarios agregan una marca de tiempo a una firma digital, ayudan a extender la vida de esa firma digital. Por ejemplo, si un certificado revocado fue usado anteriormente para crear una firma digital, la firma digital contiene una marca de tiempo de un servidor de marca de tiempo de confianza y la marca de tiempo ocurrió antes de la revocación del certificado, la firma digital aún puede considerarse como válida. Para usar la funcionalidad de marca de tiempo con firmas digitales, debe completar las siguientes tareas:

Configure un servidor de marca de tiempo que cumpla con RFC 3161
Use la opción de Directiva de grupo, Especificar el nombre de servidor , para especificar la ubicación del servidor de marca de tiempo en la red.

También puede configurar parámetros adicionales de marca de tiempo al configurar una o más de las siguientes opciones de Directiva de grupo:

Configurar algoritmo hash de marca de tiempo
Establecer tiempo de espera de servidor de marca de tiempo

Si no configura y habilita Configurar algoritmo hash de marca de tiempo, se usará el valor predeterminado de SHA1. Si no configura y habilita Establecer tiempo de espera de servidor de marca de tiempo, Office 2013 esperará 5 segundos para que el servidor de marca de tiempo responda a una solicitud.

Planear la configuración de firma para Office 2013

Además de la opción de Directiva de grupo para configurar opciones relacionadas con marcas de tiempo, existen otras opciones de Directiva de grupo para establecer cómo se configuran y controlan las firmas en una organización. Los nombres y las descripciones de las opciones aparecen en la siguiente tabla. Se encuentran en software\policies\microsoft\office\15.0\common\signatures!

Opciones de configuración de Directiva de grupo de firma digital

Opción de Directiva de grupo	Descripción
Requerir OCSP al generarse las firmas	Esta opción de directiva permite determinar si Office 2013 requiere datos de revocación OCSP (Protocolo de estado de certificados en línea) para todos los certificados digitales en una cadena cuando se generan firmas digitales.
Especificar el nivel mínimo de XAdES para la generación de firmas digitales	Esta opción de directiva permite especificar un nivel mínimo de XAdES que las aplicaciones de Office 2013 deben alcanzar para crear una firma digital XAdES. Si las aplicaciones de Office 2013 no pueden alcanzar el nivel mínimo de XAdES, la aplicación de Office no crea la firma.
Comprobar las partes XAdES de una firma digital	Esta opción de directiva permite especificar si Office 2013 comprueba las partes XAdES de una firma digital a la hora de validar una firma digital para un documento.
No permitir certificados caducados al validar firmas	Esta opción de directiva permite configurar si las aplicaciones Office 2013 aceptan certificados digitales caducados al validar firmas digitales.
No incluir objeto de referencia XAdES en el manifiesto	Esta opción de directiva permite determinar si un objeto de referencia XAdES aparecerá en el manifiesto. Debe configurar esta opción como Habilitado si desea que 2007 Office System pueda leer firmas de Office 2013 que tienen contenido XAdES. De lo contrario, 2007 Office System considerará como no válidas a las firmas con contenido XAdES.
Seleccionar algoritmo hash de firma digital	Esta opción de directiva permite configurar el algoritmo hash que las aplicaciones Office 2013 usan para confirmar firmas digitales.
Establecer nivel de comprobación de firmas	Esta opción de directiva permite establecer el nivel de comprobación utilizado por las aplicaciones Office 2013 al validar una firma digital.
Nivel de XAdES requerido para la generación de firmas	Esta opción de directiva permite especificar un nivel de XAdES requerido o deseado en la creación de una firma digital.

Las siguientes opciones adicionales de configuración de Directiva de grupo están relacionadas con firmas digitales y también se encuentran en \software\policies\microsoft\office\15.0\common\signatures!:

Establecer directorio de imágenes predeterminado
Filtrado de EKU
Firmas con formato heredado
Suprimir los proveedores con firma de Office
Suprime el comando de los servicios de firma externa

Para más información sobre cada opción de Directiva de grupo, consulte los archivos de Ayuda que se encuentran con los archivos de Plantilla administrativa para Office 2013.

Nota

Para la información más actualizada sobre opciones de directiva, consulte el libro de Excel Office2013GroupPolicyAndOCTSettings_Reference.xls, que se encuentra disponible en la sección Archivos incluidos en esta descarga de la página de descarga Archivos de plantilla administrativa de Office 2013 (ADMX, ADML) y Herramienta de personalización de Office.

Opciones del Registro que se aplican a firmas digitales

La tabla siguiente muestra opciones del Registro de Windows que son específicas de las firmas digitales y los certificados que se usan para cifrarlas. Estas opciones del Registro se encuentran en HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures. No hay ninguna directiva de grupo correspondiente.

Opciones del Registro de firmas digitales

Entrada del Registro	Tipo	Valor	Descripción
FilterIssuer	WZ	Vacío	Reduce el conjunto de certificados disponibles a aquellos que tienen el valor FilterIssuer en su nombre.
MinSigningDSABits	DWORD	Vacío	Especifica el número mínimo de bits permitidos para crear una firma digital DSA en Office.
InvalidDSABits	DWORD	Vacío	Especifica el número máximo de bits que se leerán en una firma digital DSA. Se ignorarán los bits más allá del valor InvalidDSABits.
InvalidHashAlg	WZ	Vacío	Especifica los algoritmos hash que la organización usó previamente para crear firmas digitales en versiones anteriores de Office (Office 2007 u Office 2010, por ejemplo) que usted desea invalidar ahora. Si se especifica un hash aquí, la validación producirá un error para cualquier documento o correo electrónico que use dicho hash para validar una firma digital.
InvalidRSABits	DWORD	Vacío	Especifica el número máximo de bits que se leerán en una firma digital RSA. Se ignorarán los bits más allá del valor InvalidRSABits.
LegacyDSABits	DWORD	Vacío	Especifica el número mínimo de bits que se procesarán en una firma digital DSA heredada, donde heredada hace referencia a una firma digital creada para un documento o correo electrónico con Office 2007 u Office 2010 y donde el algoritmo hash se especificó en la opción de clave LegacyHashAlg del Registro.
LegacyHashAlg	WZ	MD5	Especifica los algoritmos hash que la organización usó para crear firmas digitales en versiones anteriores de Office (Office 2007 u Office 2010, por ejemplo) que usted desea convertir en disponibles para validar documentos y correos electrónicos heredados que no están firmados digitalmente.
LegacyRSABits	DWORD	Vacío	Especifica el número mínimo de bits que se procesarán en una firma digital RSA heredada. Heredada hace referencia a una firma digital creada para un documento o correo electrónico con Office 2007 u Office 2010 y donde el algoritmo hash se especificó en la opción de clave LegacyHashAlg del Registro.
MinSigningRSABits	DWORD	Vacío	Especifica el número mínimo de bits que se usarán para crear una firma digital en Office 2013.

Consulte también

Guía de seguridad de Office 2013

Firmas electrónicas XML avanzadas (XAdES)
Archivos de plantilla administrativa de Office 2013 (ADMX, ADML) y Herramienta de personalización de Office
Servicios de certificados de Active Directory
Identificación digital
Agregar o quitar una firma digital en archivos de Office