AdES
(Advanced Electronic Signature)
“Curso de Introducción a la Criptografía” by Jordi Íñigo Griera is licensed under a
Creative Commons Attribution 4.0 International License.
Project hosted at github.com/jig/crypto
AdES
hay distintas codificaciones:
- CAdES: CMS AdES, ETSI TS 101 733
- XAdES: XML AdES, ETSI TS 101 903
- PAdES: PDF AdES, ETSI TS 102 778
desde el punto de vista de funcional: equivalentes
desde el punto de vista del objeto firmado: CAdES y XAdES son contenedores de ficheros genéricos, y PAdES modifica un PDF para incrustarle una firma
(fuente Adobe)
CAdES: format
el formato CAdES es el CMS (PKCS #7) restringido a firma, y las diferentes variantes son CMS con más o menos atributos, certificados, etc.
el formato XAdES es el XMLDSig, añadiendo elementos específicos
el formato PAdES es el PDF (Adobe, ISO 32000) que ya soporta firma insertando un CMS (a diferencia de los anteriores soporta las múltiples firmas de un flujo de trabajo)
Variantes
- CAdES-BES: Basic Electronic Signature
- CAdES-EPES: Explicit Policy-based Electronic Signatures
- CAdES-T: with Timestamp
- CAdES-C: with Complete Validation Data References
- CAdES-X: with EXtended Electronic Signature
- CAdES-XL: with EXtended Long Electronic Signature
- CAdES-LT: Long-Term Electronic Signature
- CAdES-A: Archival
CAdES-BES: Basic Electronic Signature
básicamente el mismo que CMS con ciertas restricciones (sólo firma)
CAdES-EPES: Explicit Policy-based Electronic Signatures
cuando se firma un documento no siempre queda claro el propósito (commitment) por el cual se firma
en ciertos procedimientos, los firmantes pueden firmar el documento por diferentes razones: "lo he leído", "estoy de acuerdo", "acepto", "apruebo"…
CAdES-EPES: Explicit Policy-based Electronic Signatures
CAdES-EPES permite añadir a la firma la Política de firma que explica desde cuáles son las condiciones que han de tener los dispositivos de firma, hasta cuáles son los propósitos de los firmantes, cuáles son sus roles en el flujo de trabajo, el flujo de trabajo, etc.
el atributo signature-policy-identifier permite indicar (mediante URL, OID, etc.) este
texto
CAdES-EPES: Explicit Policy-based Electronic Signatures
la política puede detallar (texto) qué propósitos puede tener la firma, y cuando se firma da la posibilidad
de escoger uno (atributo commitment-type-indication)
la política puede distingir entre diferentes roles, y se pueden incorporar certificados de atributo que aporten información validable del rol del firmante (e.g. auditor, emisor, verificador…) y qué propósitos para firmar puede tener
CAdES-T: Timestamped
es un atributo (no firmado) que contiene un TST (Time Stamp Token)
este atributo firma el contenido original, donde una tercera parte demuestra que el documento existía en un momento dado
el TST puede añadirse a posteriori (por el receptor, o por cualquier intermediario) sobre un CAdES-BES/EPES
CAdES-T: Timestamped
en caso de no hacerlo el firmante, hace falta añadir el TST lo más pronto posible para evitar el repudio
CAdES-C: Complete validation data refs
la validación de CAdES-T requiere de l obtención de los certificados de las CAs subordinadas y de las pruebas de (no) revocación, ya sean OCSPs o CRLs
CAdES-C es un CAdES-T con los Certificados, pruebas OCSP y CRLs adjuntos (atributos no firmados) en una lista de hashes que referencian cada uno de ellos (no incluye por tanto el valor)
el material adicional puede ser añadido a posteriori (por el receptor, o por cualquier intermediario)
CAdES-C: Complete validation data refs
el material adicional se ha de revisar pasado un periodo de gracia, y actualizado
este periodo de gracia está definido en las CSP y incluye el tiempo en el cual se permite revocar un certificado una vez conocida su invalidación (por pérdida de secreto, etc.)
CAdES-X: EXtended Electronic Signature with Time
a partir del CAdES-C incluye el valor del material referenciado (Certificados y pruebas OCSP)
hay diferentes variantes (tipos) que pueden incluir sellos de tiempo sobre las referencias y/o el material de validación incluido
CAdES-A: Archival
permite añadir TST (y certificados y pruebas OCSP necesarias) que permiten superar la vida del material original (certificados, OCSP), ya sea por caducidad próxima, o por vulnerabilidad prevista de algún algoritmo
recursivamente se puede ir "encapsulando" dentro de nuevos CAdES-A para alargar indefinidamente la integridad
QES
(Qualified Electronic Signature)
SSCD
(Secure Signature-Creation Device)