Uso de firmas digitales con Office 2016
Resumen: Explica cómo admitir firmas electrónicas avanzadas XML (XAdES) en documentos de Excel, PowerPoint y Word. Además, determine cómo seleccionar los certificados adecuados para la implementación.
Los usuarios firman digitalmente un documento de Excel, PowerPoint o Word por muchas de las mismas razones por las que podrían colocar una firma manuscrita en un documento en papel. Una firma digital ayuda a autenticar la identidad de un creador. Comprueba el autor de información digital, incluidos documentos, mensajes de correo electrónico y macros. Este proceso usa algoritmos criptográficos.
La entidad de certificación (CA) emite certificados digitales, que sirven como verificadores de identidad. Estos certificados forman la base de las firmas digitales. Esto funciona de modo similar al uso de documentos de identidad impresos. Por ejemplo, una entidad gubernamental o un empleador emite documentos de identidad como licencias de conducir, pasaportes y tarjetas de identificación de empleados. Otras personas confían en esos documentos para comprobar que una persona es quien dice ser.
En este artículo se incluyen las claves del Registro de firma digital que son nuevas en Office 2016.
Sugerencia
¿Está buscando ayuda con la configuración de firma digital en Office 2016 en el escritorio? Es posible que esté buscando uno de estos artículos, que le ayudará a proteger Office 2016 en el escritorio: Firmas digitales y certificados, Agregar o quitar una firma digital en archivos de Office y Obtener un identificador digital.
Introducción a las firmas digitales y cómo se usan en Office
Las firmas digitales ayudan a establecer las siguientes medidas de autenticación:
Autenticidad La firma digital y su certificado digital subyacente ayudan a asegurarse de que el firmante es la persona que afirman ser. Esto ayuda a impedir que otras personas se hagan pasar por el originador de un documento particular, el equivalente de falsificación en un documento impreso.
Integridad La firma digital garantiza que el contenido no cambie ni se manipule después de firmarlo digitalmente. Esta firma digital impide que los documentos se intercepten y modifiquen sin el conocimiento del autor del documento.
No repudio La firma digital ayuda a demostrar a todas las partes el origen del contenido firmado. "Rechazo" hace referencia a la negación de un firmante de cualquier asociación con el contenido firmado. La firma digital ayuda a probar que el originador del documento es el originador verdadero y no otra persona, independientemente de lo que diga el firmante. Un firmante no puede repudiar su firma en ese documento sin repudiar también su clave digital, lo que afecta a otros documentos firmados con esa clave.
Requisitos para firmas digitales en Office 2016
Para establecer estas condiciones, el creador del contenido debe firmar digitalmente el contenido mediante la creación de una firma que satisfaga los siguientes criterios:
La firma digital es válida. El sistema operativo debe confiar en la entidad de certificación (CA) que firma el certificado digital que sustenta la firma digital.
El certificado asociado a la firma digital no ha expirado o contiene una marca de tiempo que indica que el certificado era válido en el momento de la firma.
No se revoca el certificado asociado a la firma digital.
El destinatario confía en la persona u organización de firma (conocido como publicador).
Word 2016, Excel 2016 y PowerPoint 2016 detectar estos criterios y advertir al usuario si hay un problema con la firma digital. La información sobre los certificados problemáticos se puede ver fácilmente en un panel de tareas de certificado que aparece en la aplicación de Office 2016. Las aplicaciones de Office 2016 permiten agregar varias firmas digitales al mismo documento.
Firmas digitales en el entorno empresarial de Office 2016
La siguiente situación muestra cómo se pueden usar firmas digitales en documentos en un entorno empresarial:
Un empleado usa Excel 2016 para crear un informe de gastos. A continuación, el empleado crea tres líneas de firma: una para sí misma, otra para su administrador y otra para el departamento de contabilidad. Las firmas sirven para:
identificar que la empleada es la originadora del documento
indicar que no se produce ningún cambio en el documento a medida que se mueve al administrador y al departamento de contabilidad
demostrar que hay pruebas de que tanto el administrador como el departamento contable recibieron y revisaron el documento.
El administrador recibe el documento y agrega su firma digital al documento, confirmando que lo revisaron y aprobaron. A continuación, se reenvía al departamento de contabilidad para su pago.
Una representante del departamento de contabilidad recibe el documento y lo firma, lo cual confirma recepción del documento.
En este ejemplo se muestra la capacidad de agregar varias firmas a un único documento de Office 2016. Además de la firma digital, el firmante del documento puede agregar un gráfico de su firma real o usar un Tablet PC para escribir realmente una firma en la línea de firma del documento.
Problemas de compatibilidad con documentos de Office anteriores a Office 2016
Office 2016, al igual que Office 2013, Office 2010 y Office 2007, usa el formato XML-DSig para las firmas digitales. Además, Office 2016 es compatible con XAdES (firmas electrónicas avanzadas XML). XAdES es un conjunto de extensiones en capas con respecto a XML-DSig, cuyos niveles se basan en los niveles anteriores para proporcionar firmas digitales más fiables. Para obtener más información sobre los niveles de XAdES que se admiten en Office 2016, vea Planear los niveles de firma digital en documentos de Office 2016 más adelante en este artículo. Para obtener más información sobre los detalles de XAdES, consulte la especificación de firmas electrónicas avanzadas XML (XAdES).
Las firmas digitales creadas en Office 2016 no son compatibles con las versiones de Office anteriores al sistema de Office de 2007. Por ejemplo, considere la posibilidad de firmar un documento con una aplicación en Office 2016, Office 2013, Office 2010 u Office 2007. Cuando un usuario abre este documento en Office 2003 con el paquete de compatibilidad de Office, el sistema lo notifica. Informa de que el documento se firmó en una versión más reciente de Office. Como resultado, se pierde la firma digital.
La siguiente figura muestra la advertencia que ve el usuario después de abrir un documento en una versión de Office anterior a Office 2007.
Advertencia de firma digital para documentos firmados originalmente en Office 2003 o versiones anteriores.
Si usa XAdES para una firma digital en Office 2016, la firma digital no es compatible con el sistema office 2010 o 2007 a menos que configure la configuración de directiva de grupo, no incluya el objeto de referencia XAdES en el manifiesto y establézcalo en Habilitado. Para obtener más información sobre la configuración de directiva de grupo de firma digital, vea Planear la configuración de firma para Office 2016 más adelante en este artículo.
Si desea que las firmas digitales que cree en Office 2016 sean compatibles con Office 2003 y versiones anteriores, puede configurar la configuración de directiva de grupo, firmas de formato heredado y establecerla en Habilitado. Esta configuración de directiva de grupo se encuentra en Configuración de usuario\Directivas\Plantillas administrativas\Microsoft Office 2016\Firma. Después de cambiar esta configuración a Habilitado, las aplicaciones de Office 2016 usan el formato binario de Office 2003 para aplicar firmas digitales a documentos binarios de Office 97-2003 que creó en Office 2016.
Elección de tipos de certificado digital para Office 2016
Las entidades de certificación (CA) pueden emitir certificados digitales o se pueden firmar automáticamente. Dentro de una organización, el proceso podría implicar un equipo Windows Server 2012 que ejecuta Servicios de certificados de Active Directory. Como alternativa, una ENTIDAD de certificación pública, como VeriSign o Thawte, puede emitirlas. Los certificados autofirmados suelen ser utilizados por individuos y pequeñas empresas. Eligen esta opción cuando no desean establecer una infraestructura de clave pública (PKI) para sus organizaciones ni comprar un certificado comercial.
El principal inconveniente de los certificados autofirmados radica en su utilidad limitada. Solo son eficaces al intercambiar documentos con personas que lo conocen personalmente. Las personas también deben estar seguras de que usted es el autor real del documento. Cuando se usan certificados autofirmados, no hay ninguna autenticidad de validación externa del certificado. Cada persona que reciba el documento firmado debe decidir manualmente si desea confiar en el certificado.
Para organizaciones más grandes, hay disponibles dos métodos principales para obtener certificados digitales: certificados creados con la PKI de una organización o corporación, y certificados comerciales. Las organizaciones que desean compartir documentos firmados únicamente entre otros empleados de la organización podrían preferir una PKI corporativa para reducir los costes. Las organizaciones que desean compartir documentos firmados con personas externas a la organización podrían preferir usar certificados comerciales.
Certificados creados con la PKI de una organización o corporación
Las organizaciones pueden crear su propia PKI. En esta situación, la empresa configura una o más entidades de certificación (CA) que pueden crear certificados digitales para equipos y usuarios en toda la empresa. Cuando una empresa combina Active Directory Directory Services (AD DS) con sus sistemas, puede establecer una solución PKI completa. Esta integración garantiza que todos los equipos administrados por la organización o la empresa tengan instalada la cadena de CA necesaria. Además, el sistema permite la asignación automática de certificados digitales a usuarios y equipos. Estos certificados son fundamentales para la firma y el cifrado de documentos. Este proceso permite que todos los empleados de una empresa confíen automáticamente en certificados digitales (y, por lo tanto, firmas digitales válidas) de otros empleados de la misma empresa.
Certificados comerciales
Puede comprar certificados comerciales a una empresa cuya línea de negocios sea vender certificados digitales. La principal ventaja de usar certificados comerciales es que el certificado de ca raíz del proveedor de certificados comerciales se instala automáticamente en los sistemas operativos Windows de la organización. Esto permite que dichos equipos confíen automáticamente en las CA. A diferencia de la solución PKI corporativa o de la organización, los certificados comerciales le permiten compartir los documentos firmados con usuarios que no pertenecen a su organización.
Existen tres tipos de certificados comerciales:
Clase 1 Los certificados de clase 1 se emiten a personas que tienen direcciones de correo electrónico válidas. Los certificados de clase 1 son adecuados para firmas digitales, cifrado y control de acceso electrónico para transacciones no comerciales en las que no se requiere una prueba de identidad.
Clase 2 Los certificados de clase 2 se emiten a personas y dispositivos. Los certificados individuales de clase dos son adecuados para firmas digitales, cifrado y control de acceso electrónico en transacciones donde la prueba de identidad basada en la información de la base de datos de validación es suficiente. Los certificados de dispositivos de clase 2 son adecuados para autenticación de dispositivos; integridad de mensajes, software y contenido; y cifrado de confidencialidad.
Clase 3 Los certificados de clase 3 se emiten a personas, organizaciones, servidores, dispositivos y administradores para entidades de certificación y entidades de certificación raíz (CA). Los certificados individuales de clase tres son adecuados para las firmas digitales, el cifrado y el control de acceso en las transacciones en las que se debe garantizar la prueba de identidad. Los certificados de servidores de clase 3 son adecuados para autenticación de servidores; integridad de mensajes, software y contenido; y cifrado de confidencialidad.
Para obtener más información sobre los certificados comerciales, consulte Buscar identificador digital o servicios de firma digital.
Planeamiento de los niveles de firma digital en documentos de Office 2016
Los usuarios pueden firmar documentos digitalmente mediante Excel 2016, PowerPoint 2016 y Word 2016. También pueden usar Excel 2016, InfoPath 2016 o Word 2016 para agregar una línea de firma o una marca de firma. La firma digital de un documento que tiene un certificado digital pero que no tiene una línea de firma o un sello se conoce como creación de una firma digital invisible. Tanto las firmas digitales visibles como las invisibles usan un certificado digital para firmar el documento. La diferencia es la representación gráfica en el documento donde se usa una línea de firma digital visible. Para obtener más información sobre cómo agregar una firma digital, vea Agregar o quitar una firma digital en archivos de Office.
De forma predeterminada, Office 2016 crea firmas digitales XAdES-EPES, cuando se usa un certificado autofirmado o un certificado firmado por una entidad de certificación durante la creación de la firma digital.
Los niveles de firma digital XAdES, que se basan en el estándar de firma digital XML-DSig y están disponibles en Office 2016, se enumeran en la tabla siguiente. Cada uno de los niveles se basa en los niveles anteriores y contiene las capacidades de los niveles anteriores. Por ejemplo, XAdES-X también contiene todas las capacidades de XAdES-EPES, XAdES-T y XAdES-C, además de la nueva funcionalidad introducida en XAdES-X.
Niveles de firma digital de XAdES en Office 2016
| Nivel de firma | Descripción |
|---|---|
| XAdES-EPES (base) |
Agrega información sobre el certificado que firma a la firma XML-DSig. Esta configuración es la predeterminada para las firmas de Office 2016. |
| XAdES-T (marca de tiempo) |
Agrega una marca de tiempo a las secciones XML-DSig y XAdES-EPES de la firma, lo que ayuda a proteger contra la caducidad del certificado. |
| XAdES-C (completo) |
Agrega referencias a la cadena de certificación e información del estado de revocación. |
| XAdES-X (extendido) |
Agrega una marca de tiempo al elemento SignatureValue XML-DSig y a las secciones -T y -C de la firma. La marca de tiempo adicional protege los datos de la repudio. |
| XAdES-X-L (período de tiempo largo y extendido) |
Almacena la información de revocación de certificados y del certificado real además de la firma. Este enfoque permite la validación de certificados incluso si los servidores de certificados ya no están disponibles. |
Planeamiento de firmas digitales con marca de tiempo en Office 2016
Cuando los usuarios agregan una marca de tiempo a una firma digital, ayudan a extender la vida de esa firma digital. Por ejemplo, considere un escenario con un certificado revocado que se usó para crear una firma digital. La inclusión de una marca de tiempo de un servidor de marca de tiempo de confianza se vuelve fundamental en tal caso. El factor clave es el tiempo de la marca de tiempo: si se aplicó antes de revocar el certificado, la firma digital todavía se puede considerar válida. Para usar la funcionalidad de marca de tiempo con firmas digitales, debe completar las siguientes tareas:
Configure un servidor de marca de tiempo que sea compatible con RFC 3161.
Use la opción de Directiva de grupo, Especificar el nombre de servidor , para especificar la ubicación del servidor de marca de tiempo en la red.
También puede configurar otros parámetros de marca de tiempo mediante la configuración de una o varias de las siguientes opciones de directiva de grupo:
Configurar algoritmo hash de marca de tiempo
Establecer tiempo de espera de servidor de marca de tiempo
Si no configura y habilita el algoritmo hash Configurar marca de tiempo, se usa el valor predeterminado de SHA1. Si no configura y habilita Establecer tiempo de espera del servidor de marca de tiempo, Office 2016 espera 5 segundos para que el servidor de marca de tiempo responda a una solicitud.
Planear la configuración de firma para Office 2016
directiva de grupo proporciona opciones para configurar los valores relacionados con la marca de tiempo. Además, ofrece configuraciones para administrar y controlar las firmas digitales dentro de una organización. Los nombres y las descripciones de las opciones aparecen en la siguiente tabla.
Opciones de configuración de Directiva de grupo de firma digital
| Configuración de directiva de grupo | Descripción |
|---|---|
| Requerir OCSP al generarse las firmas |
Puede establecer una directiva en Office 2016 para asegurarse de que comprueba los datos de revocación de OCSP (Protocolo de estado de certificado en línea). Esta comprobación es necesaria para todos los certificados digitales de una cadena al generar firmas digitales. |
| Especificar el nivel mínimo de XAdES para la generación de firmas digitales |
Esta configuración de directiva le permite especificar un nivel XAdES mínimo al que deben acceder las aplicaciones de Office 2016 para crear una firma digital XAdES. Si las aplicaciones de Office 2016 no pueden alcanzar el nivel mínimo de XAdES, la aplicación de Office no crea la firma. |
| Comprobar las partes XAdES de una firma digital |
Esta configuración de directiva le permite especificar si Office 2016 comprueba las partes XAdES de una firma digital al validar una firma digital para un documento. |
| No permitir certificados caducados al validar firmas |
Esta configuración de directiva le permite configurar si las aplicaciones de Office 2016 aceptan certificados digitales expirados al comprobar firmas digitales. |
| No incluir objeto de referencia XAdES en el manifiesto |
Esta configuración de directiva le permite determinar si un objeto de referencia XAdES aparece en el manifiesto. Debe configurar esta opción en Habilitado si desea que el sistema de Office 2007 pueda leer las firmas de Office 2016 que contienen contenido XAdES. De lo contrario, el sistema de Office 2007 considera que las firmas que contienen contenido XAdES no son válidas. |
| Seleccionar algoritmo hash de firma digital |
Esta configuración de directiva le permite configurar el algoritmo hash que usan las aplicaciones de Office 2016 para confirmar las firmas digitales. |
| Establecer nivel de comprobación de firmas |
Esta configuración de directiva le permite establecer el nivel de verificación que usan las aplicaciones de Office 2016 al validar una firma digital. |
| Nivel de XAdES requerido para la generación de firmas |
Esta opción de directiva permite especificar un nivel de XAdES requerido o deseado en la creación de una firma digital. |
La siguiente configuración de directiva de grupo está relacionada con las firmas digitales:
Establecer directorio de imágenes predeterminado
Filtrado de EKU
Firmas con formato heredado
Suprimir los proveedores con firma de Office
Suprime el comando de los servicios de firma externa
Opciones del Registro que se aplican a firmas digitales
La tabla siguiente muestra opciones del Registro de Windows que son específicas de las firmas digitales y los certificados que se usan para cifrarlas. Esta configuración del Registro se encuentra en HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures. No hay directiva de grupo correspondientes.
Opciones del Registro de firmas digitales
| Entrada del Registro | Tipo | Valor | Descripción |
|---|---|---|---|
| FilterIssuer |
WZ |
En blanco |
Reduce el conjunto de certificados disponibles a aquellos que tienen el valor FilterIssuer en su nombre. |
| MinSigningDSABits |
DWORD |
En blanco |
Especifica el número mínimo de bits permitidos para crear una firma digital DSA en Office. |
| InvalidDSABits |
DWORD |
En blanco |
Especifica el número máximo de bits que se leen en una firma digital DSA. Se ignorarán los bits más allá del valor InvalidDSABits. |
| InvalidHashAlg |
WZ |
En blanco |
Especifica los algoritmos hash que su organización usó anteriormente para crear firmas digitales en versiones anteriores de Office (Office 2007, Office 2010, por ejemplo) que desea que no sean válidas ahora. Si se especifica un hash aquí, se produce un error en la validación de los documentos o correos electrónicos que usan ese hash para validar una firma digital. |
| InvalidRSABits |
DWORD |
En blanco |
Especifica el número máximo de bits que se leen en una firma digital RSA. Se ignorarán los bits más allá del valor InvalidRSABits. |
| LegacyDSABits |
DWORD |
En blanco |
Especifica el número mínimo de bits que se procesan en una firma digital de DSA heredada, donde legacy hace referencia a una firma digital creada para un documento o correo electrónico mediante Office 2007 u Office 2010 y donde se especificó el algoritmo hash en la configuración de clave del Registro LegacyHashAlg. |
| LegacyHashAlg |
WZ |
MD5 |
Defina los algoritmos hash que su organización usó para crear firmas digitales en versiones anteriores de Office, como Office 2007 y Office 2010. Este paso garantiza la validación de documentos y correos electrónicos heredados firmados digitalmente. |
| LegacyRSABits |
DWORD |
En blanco |
Especifica el número mínimo de bits que se procesan en una firma digital RSA heredada. Una firma digital creada con Office 2007 u Office 2010 para un documento o correo electrónico se conoce como "heredada". En este contexto, el algoritmo hash se especifica mediante la configuración de clave del Registro LegacyHashAlg. |
| MinSigningRSABits |
DWORD |
En blanco |
Especifica el número mínimo de bits que se usan para crear una firma digital en Office 2016. |
Artículos relacionados
Firmas electrónicas avanzadas XML (XAdES)
directiva de grupo archivos de plantilla administrativa (ADMX/ADML) para Office
Búsqueda de servicios de identificación digital o firma digital
Adición o eliminación de una firma digital en archivos de Office
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de