@Signatura

@signatura és la solució tecnològica en la qual es basa la Plataforma de validació i signatura electrònica del Ministeri. La versió actual d'@signatura és la 6.4 i constitueix una evolució de la versió 6.2 a partir de l'aportació de múltiples Organismos Públicos cooperants. 

@signatura és un producte robust i integral, desenvolupada inicialment per la Junta d'Andalusia, cedida a la resta de les Administracions Públiques amb l'objecte de fomentar i estendre el desenvolupament de l'Administració Electrònica i la Societat de la Informació.

És una solució basada en programari lliure, estàndards oberts i en java: servidor d'aplicacions Wildfly, Sistema Operativo Linux, AXIS, etc.

Els serveis proporcionats per Plataforma de validació de certificats i signatura electrònica del Ministeri (@signatura) es proporcionen a les Administracions Públiques sense cost econòmic.

La forma més comuna d'ús d'@signatura és manera servei. Aquesta manera consisteix que la plataforma @signa del Ministeri proporciona serveis de validació de certificats i signatures electròniques a través de serveis web. Les aplicacions que desitgen utilitzar els serveis d'@signatura, es connecten mitjançant la xarxa SARA als serveis web d'@signatura del Ministeri. És la manera recomanada per a aquells organismes amb un volum mensual de validacions mitjà/baix. El Ministeri proporciona una plataforma igual a l'a de producció perquè els organismes que desitgin usar els serveis d'@signatura realitzin proves, i un servei de suport per gestionar les altes i integracions.

Existeix una altra manera d'ús d'@signatura, el model federat. Aquesta únicament recomanat per a aquells organismes amb un volum de transaccions molt elevat. El Ministeri proporciona el programari d'@signatura, perquè l'organisme ho instal·li i administri en les seves dependències. En aquest cas el desplegament, instal·lació i administració és responsabilitat de l'organisme. El Ministeri proporcionarà actualitzacions i pegats del programari segons es generin.

Pot consultar els serveis disponibles o el model federat a través de les PMF corresponents.

Pot trobar tota la informació sobre @signatura en la iniciativa del PAE creada a aquest efecte. A l'àrea de descàrregues d'aquesta iniciativa poden trobar la documentació dels serveis així com els exemples d'integració.

Per tenir accés a la documentació completa ha de ser un usuari registrat al portal PAE, així com accedir al portal mitjançant la Intranet Administrativa (Xarxa SARA).

Se disposa d'un equip de suport disponible per cooperar amb els diferents Organismes Públics subministrant tota la informació necessària sobre l'ús dels serveis així com per cooperar en les activitats de prova i integració dels sistemes als serveis de la Plataforma.

Aquest Centre d'Atenció és accessible SOLAMENT PER A DESENVOLUPADORS D'APLICACIONS DE LES ADMINISTRACIONS PUBLIQUES. Per comunicar una incidència o sol·licitud de suport al Centre d'Atenció a Integradors i Desarrolladores (CAID) empleni el formulari Web d'obertura de sol·licituds de suport tècnic:
- Accés al formulari

Horari de suport: de Dilluns a Dijous de 08:30 a 18:30 i divendres 08:30 a 15:00.

Mitjançant la suite de serveis d'@signatura, s'ofereix també:

• Un Client de Signatura per a la creació de signatures en local.
• Un servei de Sellado de Tiempo ( TS@ ).
• Un component per a la integració de la signatura en els fluxos de treball organitzatius ( Port@firmas ).
• Un demostrador dels serveis d'@signatura: Validació de signatures i certificats digitals, creació de signatures digitals, etc.

Els serveis d'@signatura estan disponibles de forma gratuïta per a aquelles Administracions Públiques que ho sol·licitin. El servei es proporciona a través de la xarxa SARA (Intranet Administrativa), per la qual cosa per poder utilitzar-ho és necessari estar connectat a aquesta xarxa.

Se han signat convenis amb totes les Comunitats Autònomes per permetre la utilització dels serveis d'@signatura a les aplicacions d'administracions electròniques d'aquestes que ho desitgin. En el cas de les Entitats Locals, algunes Comunitats Autònomes inclouen en el conveni la possibilitat d'accedir als serveis d'@signatura a través d'adhesions.

Així mateix poden utilitzar el servei les Universitats, a través de la CRUE i RedIRIS.

El Ministeri proporciona un servei de suport com a suport a la integració de les aplicacions informàtiques que vagin a fer ús dels serveis de validació d'@signatura en els diferents Organismes Públics. Dins d'aquest suport, el Ministeri proporciona una plataforma de proves que poden utilitzar els Organismes Públics durant la integració de les seves aplicacions.

Per a la realització de proves amb els serveis de validació de signatura que proveeix el Ministeri, no és necessària la realització de cap acte de compromís per part de cap de les parts, i sense cap cost.

Per poder realitzar peticions als serveis proporcionats per la plataforma de validació, s'han de complir els següents punts:

1. Ús de la Intranet Administrativa: Les peticions només podran realitzar-se des de màquines connectades a la Intranet Administrativa (Xarxa SARA) i amb permisos d'accés sobre la plataforma. Per això hauran d'identificar-se aquelles màquines des de les quals es vagin a realitzar les proves i sol·licitar a suport d'@signatura ( Accés al formulari ) permís d'accés a les IPs internes d'aquestes màquines.
   Per a això s'haurà d'emplenar el fitxer corresponent amb la informació de les mateixes i enviar-ho a suport d'@signatura per a la seva alta efectiva. Pot descarregar el formulari d'alta de l'àrea de descàrregues de la pàgina web d'@signatura, al portal d'administració electrònica ( http://administracionelectronica.gob.es/ctt/afirma ). Per accedir a la documentació es necessita estar registrat al portal i accedir al mateix des de la Intranet Administrativa (xarxa SARA).
2. Identificació de les aplicacions: A fi de poder realitzar un seguiment de l'activitat de les aplicacions i la plataforma (tant en proves com en producció), les peticions hauran de ser realitzades per aplicacions identificades en la plataforma mitjançant certificat o usuari i password en la Plataforma.
3. Crear un client de Web Service: Una vegada que es disposin de permisos és necessari desenvolupar un Client de Web Service perquè realitzi la petició als serveis publicats en la plataforma.
   Per desenvolupar el Client Web Service, es proporciona als integradors la descripció del servei web de destinació. Per a això, la plataforma especifica per cada Servicio Web (W d'ara endavant) el fitxer WSDL que inclou la URL del W, el missatge de petició amb el XML schema d'entrada i el missatge de resposta retornat pel servei. Així mateix, també es proporciona informació a l'àrea de descàrregues de la pàgina web d'@signatura, al portal d'administració electrònica ( http://administracionelectronica.gob.es/ctt/afirma ), a la zona restringida per a usuaris registrats. A més dels WSDL I XML es proporciona un joc d'exemple d'integració, tant per a plataformes Java com .NET.

Actualment s'han posat a la disposició dels usuaris d'@signatura diverses llistes de distribució a les quals es poden subscriure. A través d'aquestes llistes rebran notificacions referents a canvis rellevants relacionats amb el projecte al que estiguin vinculades (actualitzacions, intervencions, etc).
Per a més informació, es prega que es consulti la secció de Contacte dels diferents projectes (plataforma de signatura @signa, Client de Signatura, TS@…).

Per integrar-se en @signatura, és necessari seguir els passos que es defineixen a continuació:

1. Estar connectat a la xarxa SARA.
2. Posar-se en contacte amb el servei de suport i facilitar les seves dades de contacte.
3. L'equip de suport li informarà dels prerequisits i li facilitarà el formulari per al control d'accés que l'organisme ha d'emplenar. Juntament amb la documentació de benvinguda, es facilitarà el Manual de Programació de W d'@signatura juntament amb les instruccions tècniques necessàries per connectar les aplicacions dels serveis d'administració electrònica a la Plataforma @signa.
4. L'organisme ha de connectar les aplicacions de serveis d'administració electrònica per accedir  a la Plataforma a través de serveis web implementats en tecnologia Microsoft® o Java.
5. Finalment, per accedir a la totalitat de la documentació és necessari ser un usuari registrat, per a això, accedir a la pàgina del PAE i donar-se de alta com usuari en el menú de la dreta: "Accés a Usuarios" -> "Registrar-se".

El model de sol·licitud de dades d'accés i utilització dels serveis d'@signatura (formulari en format PDF) conté una sèrie de dades necessàries per realitzar la integració de l'Organisme en la plataforma. A continuació, s'expliquen els diferents camps del formulari:

• Conjunt de dades "Dades generals”: 
• “Nom de l'aplicació” que va a fer ús dels serveis W i/o OCSP de la plataforma @signa. L'identificador de l'aplicació en el sistema, que haurà d'incloure's en el camp idAplicación dins de la petició, es proporcionarà per l'equip de suport d'@signatura quan es processi l'alta. Es recomana no utilitzar el mateix identificador per a múltiples aplicacions, ja en cas de problemes amb una aplicació, dificulta la traçabilitat dels mateixos per a la seva ràpida solució.
• "Entorn": Assenyalar l'entorn de/entorn del que es desitja accedir (Desenvolupament / Servicios Estables, Producció o tots dos).
• "Volum de transaccions mensuals": Indicar el nombre aproximat de transaccions que es realitzaran per entorn en un mes.
• "Volum de transaccions per minut": Indicar el nombre aproximat de transaccions que es realitzaran per entorn en un minut.
• Conjunt de dades "Òrgan sol·licitant”: 
• Haurà d'indicar el codi DIR3 (Directori Comú d'Unitats Orgàniques i Oficines). Pot obtenir més informació del mateix en http://administracionelectronica.gob.es/ctt/dir3. 
• El nom i els cognoms del titular de l'òrgan sol·licitant han de coincidir amb els quals apareixen en el DNI/NIE.
• • Conjunt de dades “Persones de contacte”:
• És important mantenir aquestes dades actualitzades, perquè s'utilitzaran per notificar de possibles problemes en la plataforma o amb l'aplicació. Addicionalment, és recomanable subscriure's a les llistes de correu, i a les notícies i nous documents de la solució en el PAE.
• • Conjunts de dades "Certificat utilitzat per a l'autenticació de l'entitat en l'entorn" (serveis estables i producció)
• A més haurà d'adjuntar a la petició la part pública del certificat que utilitzarà per identificar-se per a la comprovació de les dades, en format codificat (fitxer amb extensió.cer).
• Si s'usa un certificat diferent per a les peticions a @signatura pel protocol OCSP, adjuntar tots dos.
• • Conjunt de dades "Adreçament utilitzat"
• En cas de rang, indicar la màscara. L'accés ha de realitzar-se des de la xarxa SARA, havent-se d'indicar un màxim de 32 IP's agrupades en un màxim de 4 rangs.
• • Conjunt de dades “Dades dels serveis web”:
• "Format de la signatura de resposta": escollir entre Sense signatura, XMLDSignature (Signatura XML Bàsica), XAdESBES (Signatura XML Avançada), XAdEST (Signatura XML avançada amb segellat temporal).
• "Política de validació": escollir entre Política light, Política avançada, Política crítica.

Existeixen dos entorns d'explotació de la plataforma @signa: un d'anomenat de desenvolupament, per a la realització de proves per part dels organismes, i un de producció, que es correspon amb l'entorn real de la plataforma. Tots dos entorns són de similars característiques, amb l'excepció que el de desenvolupament es posa a la disposició dels organismes per realitzar les proves d'integració d'aplicacions, no estant permeses les proves a l'entorn de producció.
La url d'accés als serveis de la plataforma de desenvolupament, des de dins de la xarxa interadministrativa (SARA) és:
http://des-afirma.redsara.es/afirmaws/services/ (W)
https://des-afirma.redsara.es/afirmaws/services/ (W manera Segura/Segura)
La url d'accés als serveis de la plataforma de producció, des de dins de la xarxa interadministrativa (SARA) és:
http://afirma.redsara.es/afirmaws/services/ (W)
https://afirma.redsara.es/afirmaws/services/ (W manera Segura/Segura)
Les URL del servei OCSP són:
http://des-afirma.redsara.es/servidorocsp/servidorocsp
http://afirma.redsara.es/servidorocsp/servidorocsp

Les sol·licituds de servei realitzades mitjançant serveis web (Web Services - W) han de realitzar-se pels ports 8080 o 443. Les peticions al servei ValidarCertificado mitjançant OCSP s'han de dirigir al port 80. No obstant això, ha de tenir en compte que el servei ValidarCertificado es considera “legacy” (obsolet), i no serà evolucionat. En general Es recomana a aquelles aplicacions que integrin aquest servei, o altres “legacy”, substituir-los pel seu equivalent DSS (estàndard Digital Signature Services d'OASI, com DSSAfirmaVerifyCertificate en el cas de ValidarCertificado).

Pot obtenir aquest document (Plantilla-de-alta-en-Afirma-rev3.pdf) al "Àrea de descàrregues" de la iniciativa “ Plataforma de validació de signatura electrònica @signatura ” en l'apartat "Plantilla d'alta d'IPs i Aplicacions en @signatura".

El Model Federat de la plataforma @signa consisteix en una còpia del programari d'aquesta Plataforma, llista per ser instal·lada a l'entorn de l'Organisme sol·licitant.

Per obtenir aquest Model Federat, ha de ser remesa una sol·licitud al Suport de la Plataforma ( Accés al formulari ), des d'on se li indicaran els passos a seguir.

És possible validar mitjançant la plataforma @signa tots els certificats inclosos en el document que poden consultar en aquest link .

Addicionalment, la Plataforma permet la validació dels certificats europeus que són reconeguts per la TSL corresponent a cada país, aquesta informació pot consultar-se en la URL https://webgate.ec.europa.eu/tl-browser/#

Com a primer pas, comprovar que el certificat es troba recollit a la web de Ministeri d'Assumptes Econòmics i Transformació Digital (https://sedeaplicaciones.minetur.gob.es/prestadores/) de Prestadors de Serveis Electrònics de Confiança Qualificats.

Addicionalment, comprovar si es tracta d'un certificat europeu reconeguts per la TSL corresponent a cada país, consultant la URL https://webgate.ec.europa.eu/tl-browser/#

Si algun dels casos és afirmatiu, ha de ser sol·licitat al suport de la plataforma @signa ( Accés al formulari ).

Poden trobar el joc de certificats de prova a l'Àrea de Descàrregues del portal del PAE de la present iniciativa. Per tenir accés a aquesta descàrrega ha de ser un usuari registrat al portal PAE i estar autenticat.

Tots els certificats del joc s'han generat per Autoritats de Certificació reals, encara que aquests certificats siguin de prova. No corresponen en cap cas a entorns de prova dels PSC.

• Peticions W: És necessari la signatura de la petició mitjançant un certificat digital configurat per a aquesta aplicació.
• Peticiones OCSP: Les peticions han de remetre's signades mitjançant un certificat digital configurat per a l'aplicació, així com incloure el requestor name.

Efectivament existeix en la plataforma el servei de verificació de certificat DSSAfirmaVerifyCertificate. Mitjançant aquesta interfície Web Service es pot sol·licitar la verificació de certificats X509 així com extreure la informació del certificat mitjançant l'aplicació del mapatge definit per al seu tipus.

També existeixen els serveis ObtenerInfoCertificado i ValidarCertificado. No obstant això, ha de tenir en compte que els serveis ObtenerInfoCertificado i ValidarCertificado es consideren “legacy” (obsolets), i no seran evolucionats. En general Es recomana a aquelles aplicacions que integrin aquest servei, o altres “legacy”, substituir-los pel seu equivalent DSS (estàndard Digital Signature Services d'OASI, com DSSAfirmaVerifyCertificate en el cas de ValidarCertificado).

El servei “legacy” ObtenerInfoCertificado li permet obtenir la informació dels camps o atributs d'un certificat donat. A l'hora d'invocar a aquest webservice, en la petició, hem d'indicar el certificat codificat en base64 per realitzar l'extracció de la informació.

En el cas de el  servei “legacy” ValidarCertificado a més de validar-ho, ens permet extreure informació dels atributs del certificat de la mateixa manera que s'obté des del servei ObtenerInfoCertificado, sempre que s'especifiqui aquesta opció en la petició.

Els formats longeus de signatura són els que permeten a una signatura electrònica poder validar-se una vegada que ha caducat el certificat electrònic amb que es van signar.

En aquests moments la plataforma @signa permet validar tots els formats longeus, a través del servei web de validació de signatures DSS. També proporciona un servei d'upgrade de signatures (mitjançant ús del servei DSSAfirmaVerify), que, a partir d'una signatura simple (BES/EPES) sense evidències de validació, retorna la mateixa signatura en format longeu.

Els formats longeus són: T, C, X, X-1, X-2, X-L. X-L-1, X-L-2 i A.

Per a més informació sobre la signatura longeva, pot consultar el document d'estàndards suportats per @signatura, disponible a la pàgina web de la plataforma en el PAE: http://administracionelectronica.gob.es/ctt/afirma

La plataforma @signa suporta els algorismes d'hash SHA1 i la família d'algorismes SHA2 (SHA256, SHA384 i SHA512), i els algorismes de signatura RSA i corbes el·líptiques.

La plataforma @signa suporta els següents algorismes de canonicalización:

• Canonical XML: http://www.w3.org/tr/2001/rec-xml-c14n-20010315
• Canonical XML with comments: http://www.w3.org/tr/2001/rec-xml-c14n-20010315#WithComments
• Exclusive Canonical XML: http://www.w3.org/2001/10/xml-exc-c14n #
• Exclusive Canonical XML with comments: http://www.w3.org/2001/10/xml-exc-c14n#WithComments

En l'actualitat existeixen diversos serveis obsolets (assenyalats com deprecated a l'Àrea de Descàrregues). En aquests serveis ja no és possible donar més altes, doncs no es van a evolucionar si hi ha canvis tecnològics que els facin inservibles, per la qual cosa no es recomana iniciar una integració amb ells; en el cas que s'estiguin utilitzant ja, es recomana migrar a les solucions alternatives.

Entre les solucions anteriorment esmentades, consten:

• Per als serveis de generació de signatura/cosignatura en servidor: Un API perquè els integradors ho incloguin en els seus desenvolupaments i realitzin les signatures en local.
• Per al servei de signatura en dues fases, es proporcionarà un servei de justificant de signatura configurable.

La Suite Client de Signatura és una eina de signatura electrònica en entorns d'escriptori i dispositius mòbils, que funciona integrat en una pàgina Web mitjançant Javascript, com applet, com a aplicació d'escriptori, o com a aplicació mòbil, depenent de l'entorn de l'usuari.

Pot trobar tota la informació sobre el mateix en la iniciativa del CLIENT d'@signatura .

Encara que la resposta (el missatge de sortida, no així l'envelope SOAP) efectivament no porta indicat l'encoding, aquest és UTF-8. És a dir, tot el que retorna la plataforma està codificat en UTF-8.

L'estructura d'una signa CMS ve definida en la RFC 3852 i manté la compatibilitat amb PKCS#7 tant en el cas del Client de Signatura com en la plataforma @signa, de manera que qualsevol plataforma aliena podrà validar aquestes signatures sense problemes.

El servei de segellat de temps permet emetre segells de temps dels documents electrònics que els Organismes subministrin al servei. Un segell de temps és una signatura electrònica realitzada per una Autoritat de Segellat de Temps (TSA) que ens permet demostrar que les dades subministrades han existit i no han estat alterats des d'un instant específic en el temps (provinent d'una font fiable de temps).

Per incloure segells de temps a les signatures electronicas, pot utilitzar el servei d'upgrade d'@signatura (mitjançant ús del servei DSSAfirmaVerify).

El Ministeri també posa a la disposició de les Administracions Públiques una Autoritat de Segell de Temps ( TS@ ). A través d'aquest servei l'usuari, a més, podrà validar un segell de temps emès des de la plataforma @signa.

Si necessita més informació sobre el mateix, pot posar-se en contacte amb el nostre servei de CAID (suport) o bé consultar en el PAE la iniciativa d'Autoritat Autoritat de Segellat de Temps Ts@

La resposta que proporciona @signatura a les consultes de signatures i certificats dels organismes van signades i segellades per la plataforma.

El segell de temps de la petició SOAP ho trobarà en l'element "EncapsulatedTimeStamp" dins de les "UnsignedProperties" de la signatura del SOAP, que es troba en l'Header d'aquesta petició, sempre que tingui com a format de resposta XAdES-T.

La validació de la cadena consisteix a validar el certificat enviat a la plataforma i els certificats intermedis, corresponents al certificat a validar de la CA que va emetre el certificat.

Atès que el parser XML interpreta els tabuladors i els espais com a elements, no es permetran en les integracions la inclusió d'espais entre les etiquetes de tancament i les d'obertura.

Tota resposta OCSP, a part de la informació de l'estat del certificat, pot contenir tres camps informatius que són els següents: -producedAt: indica l'instant en el qual se signa el missatge de resposta. -thisUpdate: indica l'instant en el qual es coneix que la informació sobre l'estat del certificat és correcta. -nextUpdate: indica com és l'instant de la propera actualització de la informació de l'estat del certificat.
En definitiva, els camps thisUpdate i nextUpdate defineixen un interval de temps en el qual podem donar per vàlida la resposta OCSP, això és, una resposta serà vàlida o fiable si l'instant en el qual es rep està dins de l'interval esmentat, en cas contrari, la informació proporcionada sobre l'estat del certificat no és "fiable".

Es tracta d'un atribut d'una petició OCSP que, en el cas de ser remesa a la plataforma @signa, ha d'indicar-se en aquest atribut l'identificador de l'aplicació peticionària.

Si, la plataforma accepta Standard Digital Signature.

El que s'inclou en UTF-8 és el contingut del XML, la plataforma utilitza l'ISO-8859-1 per codificar i descodificar en base 64.