La Firma Digital CoSign

Las firmas digitales CoSign® permiten la sustitución de los lentos, costosos e improductivos procesos de aprobación, colaboración y envío basados en papel por unas operaciones electrónicas rápidas, de bajo coste y eficientes.

CoSign funciona perfectamente con todos los formatos de documento habituales como puedan ser los de Microsoft® Word, Excel®, Outlook®, InfoPath®, Adobe® PDF, AutoCAD®, Bentley® MicroStation, TIFF, y otros tipos de documentos. CoSign está basado en estándares (en la infraestructura de seguridad basada en criptografía de clave pública Public Key Infrastructure, PKI), lo que evita un bloqueo por parte del proveedor y permite que pueda verificar el documento cualquier persona, en cualquier lugar, en cualquier momento, sin necesidad de software de verificación propietario o soporte de terceros.

CoSign está disponible en dos versiones de producto: CoSign Central y CoSign Desktop. CoSign Central se basa en un software fácil de usar que se comunica con un servidor de firmas digitales centralizado y seguro. Es rápido de implementar e ideal para organizaciones de tamaño medio a grande; ofreciendo una integración perfecta en sistemas de gestión de contenidos y de flujos de trabajo. Para organizaciones de menor tamaño (hasta 10 firmantes),  CoSign Desktop es la solución independiente que no necesita ningún componente de hardware. Más información sobre las diferencias entre CoSign Central y CoSign Desktop.

Características de la firma (CoSign Central y CoSign Desktop):

• Puede firmar de forma digital con un simple clic del ratón: Al estar equipado con una interfaz de usuario muy intuitiva, solo se necesita un clic con el botón derecho del ratón para firmar y sellar un documento. Puede ver una demostración de la firma digital.
• Podrá firmar digitalmente cualquier tipo de documento: CoSign funciona con todos los formatos de archivo estándares: los de Microsoft® Word, Excel®, Outlook®, InfoPath®, Adobe® PDF, AutoCAD®, Bentley® MicroStation, TIFF, y otros tipos de documentos. 
• Podrá convertir cualquier documento en un PDF firmado digitalmente y sellado: La función de firma virtual integrada de CoSign convierte cualquier documento electrónico en un PDF firmado. Vea cómo convierte CoSign cualquier formato de documento en un PDF firmado.
• Garantiza la aceptación externa: CoSign inserta la firma digital directamente en el propio documento, permitiendo que este actúe como una especie de registro electrónico independiente. Después de capturar la firma, cualquiera puede verificar la firma y la integridad del contenido en cualquier lugar y en cualquier momento, con un simple clic.
• Puede añadir su firma gráfica y la justificación de su firma: La firma gráfica del firmante se coloca en el documento junto con la razón para la firma (p. ej., “Aprobado por”, “Estoy de acuerdo”, etc.).
• Podrá aprobar junto con sus compañeros: CoSign permite múltiples firmas en un mismo documento (una tras otra), asegurando al mismo tiempo la integridad del documento. Esto es algo útil cuando se requiere una serie de aprobadores y una pista de auditoría.
• Puede aprobar solo unas áreas concretas del documento: Las firmas digitales pueden utilizarse en un área específica del documento. Esto resulta muy eficiente en caso de hojas de cálculo.

Funciones especiales para empresas (solo CoSign Central)

• Integración del flujo de trabajo: CoSign se integra perfectamente en los principales sistemas de flujo de trabajo y gestión de contenidos (Content Management Systems) como pueda ser SharePoint® de Microsoft, permitiendo la automatización de procesos de aprobación formales desde los propios sistemas de flujo de trabajo ya existentes en su organización. Vea cómo se integra CoSign en un sistema de gestión de documentos.
• Control centralizado simple: CoSign aprovecha sistemas de gestión de usuarios ya existentes, como Active Directory® de Microsoft, para controlar autorizaciones de firmantes (nuevos empleados que se añaden y otros que se eliminan de la lista de firmantes autorizados dado que abandonan la organización, con un simple clic). CoSign garantiza una rápida utilización y unos requisitos de gestión de TI continuos mínimos, lo que se traduce en una mayor seguridad y un coste total muy bajo de la propiedad.
• Fácil de integrar en la infraestructura existente: CoSign ha sido diseñado como plugin para los sistemas DM/ECM/BPM o para cualquier otra infraestructura existente en su organización. CoSign incluye SAPI®, una sólida API que permite contar con interfaces de servicio web intuitivas. Más información sobre SAPI.
• Adaptabilidad: CoSign puede graduarse según se desee que lo utilicen unos pocos firmantes o millones de usuarios, y funciona en su entorno de autenticación.
• Rápida implementación: CoSign se suele implementar en cuestión de horas.
• Gestión permanente de TI mínima: una vez instalado, CoSign suele necesitar menos de 10 horas de gestión de TI anuales.
• Formularios basados en la web: CoSign permite firmar digitalmente y con validez legal en un portal hacia el exterior. Más información sobre los servicios web de CoSign.
• Firma por lotes: gracias a su gran rendimiento, CoSign puede firmar millones de documentos, lo que lo convierte en una solución ideal cuando se necesitan grandes cantidades de firmas como, por ejemplo, para facturación electrónica y archivo electrónico.

Funciones de seguridad (solo CoSign Central)

• Mayor seguridad: CoSign Central almacena las claves de firma (claves privadas) en un dispositivo de hardware centralizado y seguro, garantizando que se detecte cualquier intento de intrusión en el dispositivo que cuente con CoSign.
• Con certificado FIPS nivel 3: la versión FIPS de CoSign está validada como FIPS-140 nivel 3 y se utiliza por parte de organismos gubernamentales que confían en su alto nivel de seguridad (entre otros, el Tribunal Supremo holandés, la Dirección Penitenciaria estadounidense, las patrullas fronterizas estadounidenses).

Utilizando un servidor seguro para gestionar las credenciales y emitir certificados a firmantes autorizados, los ingenieros de ARX han conseguido mantener las ventajas de seguridad asociadas a las firmas digitales basadas en PKI, eliminando, al mismo tiempo, los costosos requisitos de gestión.

Vamos a utilizar el caso de Bob y Alice para mostrar la aplicación y verificación de firmas digitales estándar (firmas electrónicas estándar).

Desde el punto de vista de Bob, la operación de firma puede ser tan simple como hacer clic en un botón. Pero, en realidad, con ese simple clic suceden bastantes cosas.

Paso 1: Obtención de una clave privada y otra pública

Para firmar documentos electrónicamente con firmas digitales estándar, Bob necesita conseguir una clave privada y otra pública. Se trata de un proceso / configuración que se lleva a cabo una única vez. Como el propio nombre indica, la clave privada no se comparte y la utiliza únicamente el firmante para firmar documentos. La clave pública está disponible para todo el mundo y la utilizan aquellos que necesitan validar la firma digital del firmante.

Paso 2: Firma de un documento electrónico

1. Inicio de un proceso de firma: dependiendo del software que use, Bob necesitará iniciar el proceso de firma de una u otra forma (p. ej., haciendo clic en el botón de "Firmar" en la barra de herramientas del software).
2. Creación de una firma digital: se crea una huella digital única del documento (también denominado resumen de mensajes o troceo de documento) usando un algoritmo matemático (como SHA-1). Incluso la más mínima diferencia entre dos documentos creará una huella digital aparte de cada uno.
3. Adjuntar la firma al documento: el resultado del troceo y el certificado digital del usuario (incluida su clave pública) se combinan para formar una firma digital (usando la clave privada del usuario para cifrar el troceo del documento). La firma resultante es única tanto para el documento como para el usuario. Finalmente, se adjunta la firma digital al documento.

Bob envía el documento firmado a Alice. Alice usa la clave pública de Bob (incluida en la firma dentro del certificado digital) para autenticar la firma de Bob y asegurarse de que no se realizó ningún cambio en el documento firmado una vez firmado.

Alice:

1. Inicia el proceso de validación: dependiendo del software que use, Alice necesitará iniciar el proceso de validación de una u otra forma (p. ej., haciendo clic en el botón de opción de menú "Validar firma" en la barra de herramientas del software).    
   Descifra la firma de Bob: usando la clave pública de Bob, Alice descifra su firma y recibe el documento original (la huella del documento).          
2. Compara la huella del documento de Bob con la que ha calculado: el software de Alice calcula a continuación el troceo del documento del documento recibido y lo compara con el troceo del documento original (del paso previo). Si son iguales, no se ha alterado el documento firmado.
3. Todavía hay otro factor. ¿Cómo puede saber Alice si Bob es realmente la misma persona con la que tiene la intención de hacer negocios, o que realmente se trata de Bob? Bob necesita recibir la certificación de un tercero de toda confianza, que le conozca y que pueda verificar que realmente es la persona que dice ser. Estos terceros de total confianza se llaman Autoridades certificadoras (CA).

Emiten certificados para garantizar la autenticidad del firmante. Se pueden comparar los certificados con los pasaportes que los países otorgan a sus ciudadanos para que viajen por el mundo. Cuando un viajero llega a un país extranjero, no hay ninguna forma práctica de refrendar la identidad de esa persona. Por ello, la política inmigratoria consiste en confiar en la autoridad que ha emitido el pasaporte (en terminología PKI, la CA) y utilizar el pasaporte para autenticar a su titular de la misma forma en que Alice utiliza el certificado de la CA para autenticar la identidad de Bob.