Planeación de la configuración de la firma digital para Office 2010
Se aplica a: Office 2010
Última modificación del tema: 2016-11-29
Puede firmar digitalmente documentos mediante Microsoft Excel 2010, Microsoft PowerPoint 2010 y Microsoft Word 2010. También puede agregar una línea de firma o una marca de firma mediante Excel 2010, Microsoft InfoPath 2010 y Word 2010. Microsoft Office 2010 también es compatible con XAdES (firmas electrónicas avanzadas XML), un conjunto de extensiones para el estándar XML-DSig. La compatibilidad con este sistema se estableció por primera vez en 2007 Microsoft Office system.
En este artículo:
¿Qué es una firma digital?
Certificado digital: autofirmados o emitidos por entidades de certificación
Uso de las firmas digitales
¿Qué es una firma digital?
Puede firmar digitalmente un documento por muchas de las mismas razones que coloca una firma manuscrita en un documento impreso. Una firma digital se usa para autenticar la identidad del creador de determinada información digital, como documentos, mensajes de correo electrónico y macros, mediante el uso de algoritmos de cifrado.
Las firmas digitales se basan en certificados digitales. Los certificados digitales son comprobadores de identidad que emite un tercero de confianza, conocido como entidad de certificación (CA). Esto funciona de la misma forma que los documentos de identidad impresos. Por ejemplo, un tercero de confianza, como un empleador o una entidad gubernamental, emite documentos de identidad, como permisos de conducir, pasaportes y tarjetas de identificación de empleado, que otras personas usan para comprobar si una persona es quien dice ser.
Logros de las firmas digitales
Las firmas digitales permiten establecer las siguientes medidas de autenticación:
Autenticidad La firma digital y su certificado digital subyacente permiten asegurarse de que el firmante sea quien dice ser. Esto ayuda a evitar que otras personas pretendan ser autores de determinados documentos (el equivalente de la falsificación en los documentos impresos).
Integridad La firma digital permite asegurarse de que el contenido no se haya modificado o alterado desde que se firmó digitalmente. Esto ayuda a evitar que los documentos se intercepten y modifiquen sin que el autor del documento tenga conocimiento.
No rechazo La firma digital permite demostrar a todas las partes el origen del contenido firmado. "Rechazo" hace referencia a la acción de un firmante de negar toda asociación con el contenido firmado. Esto ayuda a demostrar que el autor del documento es el verdadero autor y no otra persona, independientemente de las afirmaciones del firmante. Un firmante no puede rechazar la firma en ese documento sin rechazar su propia clave digital y, como consecuencia, los demás documentos firmados con esa clave.
Requisitos de las firmas digitales
Para establecer estas condiciones, el creador del contenido debe firmar digitalmente el contenido mediante la creación de una firma que cumpla con los siguientes criterios:
La firma digital debe ser válida. Una entidad de certificación de confianza para el sistema operativo debe firmar el certificado digital en el que se basa la firma digital.
El certificado asociado con la firma digital no debe haber expirado o debe contener una marca de tiempo que indique que el certificado era válido cuando fue firmado.
El certificado asociado con la firma digital no haber sido revocado.
La persona o la organización firmante (conocida como editor) debe ser de confianza para el destinatario.
Word 2010, Excel 2010 y PowerPoint 2010 detectan estos criterios y le advierten si existe un problema con la firma digital. La información acerca de los certificados con problemas se puede ver fácilmente en un panel de tareas de certificación que aparece en la aplicación de Office 2010. Las aplicaciones de Office 2010 permiten agregar varias firmas digitales al mismo documento.
Firmas digitales en el entorno empresarial
El siguiente escenario muestra la forma en que se puede usar la firma digital de documentos en un entorno empresarial:
Un empleado usa Excel 2010 para crear un informe de gastos. A continuación, crea tres líneas de firma: una para sí mismo, una para el administrador y otra para el departamento de contabilidad. Estas líneas se usan para identificar que el empleado es el autor del documento, para garantizar que no se produzca ningún cambio en el documento durante su traspaso al administrador y al departamento de contabilidad, y para contar con una prueba de que tanto el administrador como el departamento de contabilidad recibieron y revisaron el documento.
El administrador recibe el documento y agrega su firma digital, con lo que confirma que ha revisado y aprobado el documento. A continuación, reenvía el documento al departamento de contabilidad para su pago.
Un representante del departamento de contabilidad recibe el documento y lo firma, con lo que confirma la recepción del documento.
En este ejemplo se muestra la capacidad de agregar varias firmas a un solo documento de Office 2010. Además de la firma digital, el firmante del documento puede agregar un gráfico de la firma real o usar un dispositivo Tablet PC para escribir una firma real en la línea de firma del documento. También existe una característica de "sello de goma" que los departamentos pueden usar para indicar que un miembro de un departamento específico ha recibido el documento.
Problemas de compatibilidad
Office 2010 usa, al igual que 2007 Office System, el formato XML-DSig para las firmas digitales. Además, Office 2010 incorpora la compatibilidad con XAdES (firmas electrónicas avanzadas XML). XAdES es un conjunto de extensiones en niveles a XML-DSig, en el que cada nivel se basa en el nivel anterior para proporcionar firmas digitales más confiables. Para obtener más información acerca de los niveles de XAdES compatibles con Office 2010, vea Uso de las firmas digitales más adelante en este artículo. Para obtener más información sobre los detalles de XAdES, vea la especificación de firmas electrónicas avanzadas XML (XAdES) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0xC0A).
Es importante saber que las firmas digitales creadas en Office 2010 no son compatibles con las versiones de Microsoft Office anteriores a 2007 Office System. Por ejemplo, si un documento se firma mediante una aplicación de Office 2010 o 2007 Office System y se abre con una aplicación de Microsoft Office 2003 con el paquete de compatibilidad de Office instalado, el usuario recibe un mensaje que indica que el documento se firmó con una versión de Microsoft Office más reciente y la firma digital se pierde.
En la siguiente figura se muestra una advertencia de que la firma digital se elimina cuando el documento se abre en una versión anterior de Office.
.jpg "Figura 1. Problemas de compatibilidad")
Además, si se usa XAdES para la firma digital en Office 2010, la firma digital no es compatible con 2007 Office System a menos que la opción de configuración No incluir objeto de referencia XAdES en el manifiesto de la directiva de grupo se establezca en Deshabilitado. Para obtener más información acerca de las opciones de configuración de la directiva de grupo para la firma digital, vea Configuración de firmas digitales más adelante en este artículo.
Si necesita que las firmas digitales creadas en Office 2010 sean compatibles con Office 2003 y versiones anteriores, puede configurar la opción Firmas con formato heredado de la directiva de grupo y establecerla en Habilitado. Esta opción de configuración de la directiva de grupo se encuentra en Configuración de usuario\Plantillas administrativas\(ADM\ADMX)\Microsoft Office 2010\Firma. Una vez establecida esta opción en Habilitado, las aplicaciones de Office 2010 usan el formato binario de Office 2003 para aplicar firmas digitales a los documentos binarios de Office 97 a 2003 creados en Office 2010.
Certificado digital: con firma personal o emitido por entidades de certificación
Los certificados digitales pueden llevar una firma personal o ser emitidos por entidades de certificación de una organización, como un equipo con Windows Server 2008 que ejecute Servicios de certificados de Active Directory, o una entidad de certificación pública, como VeriSign o Thawte. Los certificados con firma personal normalmente son usados por usuarios y pequeñas empresas que no desean establecer una infraestructura de clave pública (PKI) en sus organizaciones y no desean adquirir un certificado comercial.
La principal desventaja de usar certificados con firma personal es que sólo son útiles al intercambiar documentos con otros usuarios que lo conocen personalmente y están seguros de que es el autor real del documento. Al usar certificados con firma personal, no existe un tercero que valide la autenticidad del certificado. Cada persona que recibe el documento firmado debe decidir manualmente si el certificado es de confianza.
En las organizaciones más grandes, existen dos métodos principales para obtener certificados digitales: certificados creados mediante una PKI corporativa y certificados comerciales. Las organizaciones que desean compartir los documentos firmados sólo con otros empleados de la organización pueden preferir una PKI corporativa para reducir los costos. Las organizaciones que desean compartir los documentos firmados con personas que no pertenecen a la organización pueden preferir los certificados comerciales.
Certificados creados mediante una PKI corporativa
Las organizaciones tienen la opción de crear su propia PKI. En este escenario, la compañía establece una o varias entidades de certificación (CA) que puedan crear certificados digitales para los equipos y los usuarios de toda la compañía. Cuando se combina con el servicio de directorio de Active Directory, una compañía puede crear una solución de PKI completa para que todos los equipos administrados a nivel corporativo tengan instalada la cadena de entidades de certificación corporativa y se asignen certificados digitales automáticamente a los usuarios y los equipos para cifrar y firmar documentos. Esto permite que todos los empleados de una compañía confíen automáticamente en los certificados digitales (y, por lo tanto, en las firmas digitales válidas) de otros empleados de la misma compañía.
Para obtener más información, vea el tema sobre los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0xC0A).
Certificados comerciales
Los certificados comerciales se adquieren de una compañía cuya línea de negocio es vender certificados digitales. La principal ventaja de los certificados comerciales es que el certificado raíz de la entidad de certificación del proveedor de certificados comerciales se instala automáticamente en los sistemas operativos Windows, lo que permite a esos equipos confiar automáticamente en estas entidades de certificación. A diferencia de la solución PKI corporativa, los certificados comerciales permiten compartir los documentos firmados con usuarios que no pertenecen a la organización.
Existen tres tipos de certificados comerciales:
Clase 1 Los certificados Clase 1 se otorgan a las personas que disponen de una dirección de correo electrónico válida. Los certificados Clase 1 son adecuados para operaciones de firma digital, cifrado y control de acceso electrónico en transacciones no comerciales que no requieren una prueba de identidad.
Clase 2 Los certificados Clase 2 se otorgan a personas y dispositivos. Los certificados Clase 2 para individuos son adecuados para operaciones de firma digital, cifrado y control de acceso electrónico en transacciones donde la prueba de identidad basada en la información de la base de datos de validación es suficiente. Los certificados Clase 2 para dispositivos son adecuados para operaciones de autenticación de dispositivos; integridad de mensajes, software y contenido; y cifrado de confidencialidad.
Clase 3 Los certificados Clase 3 se otorgan a personas, organizaciones, servidores, dispositivos y administradores de entidades de certificación (CA) y entidades de certificación raíz (RA). Los certificados Clase 3 para individuos son adecuados para operaciones de firma digital, cifrado y control de acceso en transacciones donde se debe garantizar una prueba de identidad. Los certificados Clase 3 para servidores son adecuados para operaciones de autenticación de servidores; integridad de mensajes, software y contenido; y cifrado de confidencialidad.
Para obtener más información acerca de los certificados comerciales, vea el tema sobre identificadores digitales en el catálogo de soluciones de Office (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0xC0A).
Uso de las firmas digitales
Puede firmar digitalmente documentos mediante Microsoft Excel 2010, Microsoft PowerPoint 2010 y Microsoft Word 2010. También puede agregar una línea de firma o una marca de firma mediante Excel 2010, Microsoft InfoPath 2010 y Word 2010. Firmar digitalmente un documento que tiene un certificado digital pero no tiene una línea de firma o un sello se conoce como creación de una firma digital invisible. Ambos métodos, las firmas digitales visibles e invisibles, usan un certificado digital para firmar el documento. La diferencia radica en la representación gráfica dentro del documento cuando se usa una línea de firma digital visible. Para obtener más información acerca de la forma de agregar una firma digital, vea el tema sobre cómo agregar o quitar una firma digital en archivos de Office (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0xC0A).
De forma predeterminada, Office 2010 crea firmas digitales XAdES-EPES, independientemente de que se use un certificado con firma personal o un certificado firmado por una entidad de certificación durante la creación de la firma digital.
En la siguiente tabla se enumeran los niveles de firma digital XAdES, que se basan en el estándar de firma digital XML-DSig, disponibles en Office 2010. Cada uno de los niveles se basa en el nivel anterior y contiene todas las capacidades de los niveles anteriores. Por ejemplo, XAdES-X también contiene todas las capacidades de XAdES-EPES, XAdES-T y XAdES-C, además de la nueva funcionalidad que se incorporó con XAdES-X.
| Nivel de firma | Descripción |
|---|---|
XAdES-EPES (base) |
Agrega información sobre el certificado de firma a la firma XML-DSig. Es el valor predeterminado de las firmas de Office 2010. |
XAdES-T (marca de tiempo) |
Agrega una marca de tiempo a las secciones XML-DSig y XAdES-EPES de la firma, lo que proporciona protección contra la expiración de certificados. |
XAdES-C (completo) |
Agrega referencias a la información de estado de revocación y la cadena de certificación. |
XAdES-X (ampliado) |
Agrega una marca de tiempo al elemento XML-DSig SignatureValue y las secciones –T y –C de la firma. La marca de tiempo adicional protege los datos contra las acciones de rechazo. |
XAdES-X-L (largo plazo ampliado) |
Almacena el certificado real y la información de revocación del certificado junto con la firma. Esto permite validar los certificados incluso cuando los servidores de certificados ya no están disponibles. |
Firmas digitales con marca de tiempo
La capacidad de Office 2010 de agregar una marca de tiempo a una firma digital permite ampliar la vida útil de una firma digital. Por ejemplo, si un certificado revocado se usó con anterioridad para la creación de una firma digital, que contiene una marca de tiempo de un servidor de marca de tiempo de confianza, la firma digital se puede seguir considerando válida si la marca de tiempo se realizó antes de la revocación del certificado. Para usar la funcionalidad de marca de tiempo con las firmas digitales, debe realizar lo siguiente:
Configurar un servidor de marca de tiempo que sea compatible con RFC 3161
Use la opción de configuración Especificar nombre de servidor de la directiva de grupo para especificar la ubicación del servidor de marca de tiempo en la red.
También puede configurar parámetros de marca de tiempo adicionales mediante la configuración de una o varias de las siguientes opciones de la directiva de grupo:
Configurar algoritmo hash de marca de tiempo
Establecer tiempo de espera del servidor de marca de tiempo
Si no configura y habilita la opción Configurar algoritmo hash de marca de tiempo, se usará el valor predeterminado de SHA1. Si no configura y habilita la opción Establecer tiempo de espera del servidor de marca de tiempo, el valor predeterminado de tiempo de Office 2010 esperará que el servidor de marca de tiempo responda a una solicitud en 5 segundos.
Configuración de firmas digitales
Además de las opciones de configuración de la directiva de grupo para configurar opciones relacionadas con la marca de tiempo, existen otras opciones de configuración de la directiva de grupo para determinar la forma de configurar y controlar las firmas digitales en una organización. Las descripciones y los nombres de las opciones de configuración se enumeran en la siguiente tabla.
| Opción | Descripción |
|---|---|
Requerir OCSP al generarse las firmas |
Esta opción de configuración de la directiva permite determinar si Office 2010 requiere datos de revocación de OCSP (Protocolo de estado de certificado en línea) para todos los certificados digitales de una cadena cuando se generan firmas digitales. |
Especificar el nivel mínimo de XAdES para la generación de firmas digitales |
Esta opción de configuración de la directiva permite especificar el nivel mínimo de XAdES que las aplicaciones de Office 2010 deben alcanzar para crear una firma digital XAdES. Si no puede alcanzar el nivel mínimo de XAdES, la aplicación de Office no crea la firma. |
Comprobar las partes XAdES de una firma digital |
Esta opción de configuración de la directiva permite especificar si Office 2010 debe comprobar las partes XAdES de una firma digital, si existe alguna, al validar una firma digital para un documento. |
No permitir certificados caducados al validar firmas |
Esta opción de configuración de la directiva permite determinar si las aplicaciones de Office 2010 deben aceptar certificados digitales expirados al comprobar las firmas digitales. |
No incluir objeto de referencia XAdES en el manifiesto |
Esta opción de configuración de la directiva permite determinar si un objeto de referencia XAdES debe aparecer en el manifiesto. Debe configurar esta opción en Deshabilitado si desea que 2007 Office System pueda leer las firmas de Office 2010 que incluyen contenido XAdES; de lo contrario, 2007 Office System considerará que las firmas que incluyen contenido XAdES no son válidas. |
Seleccionar algoritmo hash de firma digital |
Esta opción de configuración de la directiva permite configurar el algoritmo hash que las aplicaciones de Office 2010 usan para confirmar las firmas digitales. |
Establecer nivel de comprobación de firmas |
Esta opción de configuración de la directiva permite establecer el nivel de comprobación que las aplicaciones de Office 2010 usan al validar una firma digital. |
Nivel de XAdES requerido para la generación de firmas |
Esta opción de configuración de la directiva permite especificar el nivel de XAdES requerido o deseado para la creación de una firma digital. |
A continuación se enumeran las opciones de configuración adicionales de la directiva de grupo relacionadas con las firmas digitales:
Filtro de uso de la clave
Establecer directorio de imágenes predeterminado
Filtrado de EKU
Firmas con formato heredado
Suprimir los proveedores con firma de Office
Suprimir el elemento de menú de los servicios de firma externa
Para obtener más información sobre cada opción de configuración de la directiva de grupo, vea los archivos de Ayuda incluidos con los archivos de plantillas administrativas de Office 2010. Para obtener más información acerca de los archivos de plantillas administrativas, vea Introducción a la directiva de grupo para Office 2010.
Nota
Para obtener la información más reciente acerca de la configuración de directiva, vea el libro de Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, que está disponible en la sección Archivos en esta descarga en la página de descarga de los archivos de plantillas administrativas de Office 2010 (ADM, ADMX, ADML) y la Herramienta de personalización de Office (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0xC0A).