Inicio de sesión

Firmas internas frente a firmas externas: ¿CAdES, XAdES o PAdES? Comparación de firmas internas y externas. (2ª parte)

Los datos XML, los archivos ZIP o los archivos de gran tamaño no siempre pueden firmarse cómodamente con una firma PAdES estándar. En estos casos, es conveniente recurrir a una firma externa (por ejemplo, XAdES o CAdES). Averigüe en qué consiste y cuándo es la mejor solución.
¿CAdES, XAdES o PAdES? Comparación de firmas internas y externas

En una sección anterior describimos PAdES y XAdES. Ahora le toca el turno a CAdES: veremos cómo funcionan las firmas internas y externas en este formato y qué utilidad tiene en los negocios.

Una firma electrónica reconocida puede crearse dentro de un documento (firma interna) o como un archivo independiente (firma externa). Ambas formas ofrecen el mismo nivel de seguridad, pero su uso es diferente desde el punto de vista técnico y práctico.

En la primera parte de este artículo, describimos en detalle las diferencias entre las firmas internas y externas utilizando como ejemplo los formatos PAdES y XAdES. Ahora, sin embargo, echaremos un vistazo a otro formato - CAdES - y daremos consejos prácticos sobre qué casos se adaptan mejor a las firmas externas y cuáles a las internas.

Formato CAdES - Firma CMS/PKCS#7 (interna o externa)

CAdES (CMS Advanced Electronic Signature) es otro formato de firma cualificado, basado en el estándar Cryptographic Message Syntax (PKCS#7).

En la práctica, CAdES suele adoptar la forma de un sobre criptográfico con extensión .p7m, .p7s o .sig, que contiene los datos firmados o referencias a ellos. Este formato es versátil en cuanto a tipos de archivo: permite firmar cualquier dato binario: documentos de texto (DOC/XLS), imágenes, archivos PDF, archivos ZIP e incluso grandes conjuntos de datos o archivos ejecutables. Gracias a esta versatilidad, CAdES se utiliza a veces en la comunicación entre sistemas informáticos y en soluciones empresariales que requieren la firma de archivos no estándar.

En el caso de CAdES, puede tratarse de una firma interna (envolvente), en cuyo caso se crea un único archivo .p7m, que contiene el documento original junto con la firma. Un archivo de este tipo es coherente y fácil de cargar como un único elemento, pero requiere un software especial para abrirlo (el usuario medio no abrirá un .p7m sin una aplicación específica). Alternativamente, CAdES puede actuar como firma externa, en cuyo caso el archivo original permanece inalterado y se genera por separado un archivo de firma (por ejemplo, con extensión .p7s o .sig), de forma similar a XAdES. Ambos métodos son compatibles con eIDAS; la elección depende de sus necesidades. Muchos programas de firma (por ejemplo, Certum) permiten elegir entre "firma externa" o "firma interna" en formato CAdES.

Ventajas del formato CAdES

  • Cualquier tipo de archivo: CAdES puede utilizarse para firmar prácticamente cualquier tipo de datos electrónicos. Es la mejor opción si necesitamos firmar un archivo que no puede cubrirse fácilmente con otro formato (por ejemplo, un formato binario no estándar).

  • Una extensión para diferentes datos: un archivo de firma .p7m puede contener un documento de cualquier formato, lo que facilita la normalización. Ya sea para firmar un PDF o un AVI, el resultado es un .p7m.

  • Firma compacta: CAdES genera una sobrecarga de datos relativamente pequeña. Una firma (independientemente del tamaño del original) suele tener un tamaño de unos pocos kilobytes. Es eficiente en memoria y rápida de verificar, gracias a la estructura binaria definida de la firma.

  • Popularidad en los sistemas: aunque es menos probable que los usuarios finales elijan conscientemente CAdES, el formato se utiliza ampliamente en aplicaciones y servicios (por ejemplo, para firmar paquetes de datos, facturas electrónicas o comunicaciones de servidor a servidor). Sus ventajas son apreciadas por las soluciones automatizadas: por ejemplo, la firma y verificación de un gran número de archivos de tablas puede implementarse precisamente en CAdES para mayor eficacia.

Limitaciones del formato CAdES

  • Requiere un software de lectura específico: la persona que reciba el archivo .p7m no podrá ver su contenido sin utilizar una aplicación de verificación de firmas específica. Para el destinatario inexperto, esto puede resultar confuso: el archivo de firma no se abrirá como un documento normal, lo que plantea la pregunta de "¿cómo firmo/leo esto?". Es necesario utilizar una herramienta de verificación (por ejemplo, un programa de un proveedor de firmas).

  • Sin sello visible en el documento: la firma de CAdES está completamente separada del contenido del documento y no ofrece ninguna representación gráfica de la firma en el propio contenido (no se puede ver la "firma" en la impresión ni en la vista previa del archivo). Si desea el efecto visual de una firma en un documento, CAdES no se lo proporcionará.

  • Dificultades con las firmas múltiples: en un escenario en el que se requiere que varias personas firmen el mismo documento, la variante interna de CAdES genera un fenómeno "matrioshka". Esto significa que cada firma sucesiva crea un nuevo archivo .p7m, que contiene el archivo firmado anteriormente dentro de - sobres anidados sobres de firmas. Como resultado, el manejo de múltiples firmas en un mismo documento se vuelve engorroso (capas sucesivas de firmas). En los formatos XAdES o PAdES no existe este problema, ya que se pueden añadir firmas sin envolver el archivo en capas sucesivas.

  • Menos popular entre los usuarios - la mayoría de la gente asocia la firma de PDF (PAdES) o posiblemente archivos .xml con la firma (XAdES). CAdES como .p7s/.p7m es menos intuitivo para el usuario medio. En consecuencia, si envía a una contraparte un documento firmado en formato CAdES, es posible que no sepa cómo abrirlo o verificarlo, por lo que a veces es necesario darle instrucciones. Por lo tanto, CAdES se utiliza más a menudo en relaciones comerciales establecidas o dentro de sistemas en los que las partes saben cómo manejar una firma de este tipo.

¿Cuándo utilizar una firma interna y cuándo una externa?

La elección entre firma interna y externa depende del contexto de uso del documento y de los requisitos del destinatario. A continuación se ofrecen algunos consejos prácticos:

  • Documentos para personas (por ejemplo, contratos, cartas en PDF) - Cuando se envía un documento firmado a una persona que simplemente debe leerlo y estar segura de su autenticidad, lo mejor es una firma interna en formato PAdES. El destinatario recibe un único archivo PDF, que puede abrir fácilmente y el programa (por ejemplo, Acrobat Reader) mostrará inmediatamente información sobre la validez de la firma. Esta es la forma más sencilla de firmar un documento en el ámbito empresarial y administrativo. Una firma externa en este caso sólo podría complicar la situación (tendrías que adjuntar dos archivos y explicar cómo verificarlos).

 

  • Documentos en formatos distintos de PDF - si necesitamos firmar un archivo que no sea PDF, podemos elegir entre XAdES o CAdES. En este caso, la decisión entre interno o externo depende de las circunstancias. Si el documento va a ir a una oficina o sistema que requiere un formato específico (por ejemplo, muchas plataformas de administración electrónica sólo aceptan firmas XAdES como archivo independiente para XML), entonces utilizaremos una firma XAdES externa según sea necesario. Por otro lado, al firmar, por ejemplo, un archivo Word para uso interno de la empresa, se puede considerar CAdES interno: se creará un archivo .p7m con el documento, que los compañeros verificarán en su software. Sin embargo, si el destinatario de dicho archivo puede tener dificultades para abrir el .p7m, una alternativa es firmar externamente (un .sig separado) y dejar el DOCX original - pero entonces, de nuevo, hay que asegurarse de que las dos partes no se separan.

 

  • Archivos grandes - para documentosgrandes (enlace) (decenas de MB) a menudo se recomienda utilizar una firma externa. ¿Por qué? Porque con una firma interna se crea un nuevo archivo que contiene todo el original más la firma, lo que duplica la cantidad de datos que hay que transferir y almacenar. En cambio, una firma externa es minúscula (del orden de unos pocos/decenas de kB) y puede transferirse por separado. En la práctica, los proveedores indican que la firma externa es más adecuada para archivos de más de 25 MB. Para archivos de este tamaño, una firma interna podría ser problemática (por ejemplo, no cabría en el límite de archivos adjuntos del correo electrónico o la plataforma se negaría a aceptar un archivo demasiado grande). Con una firma externa, transferimos el archivo original de gran tamaño sin modificarlo y la firma como un archivo pequeño independiente, lo que a veces resulta una solución práctica.

 

  • Requisitos formales y del sistema - siempre es conveniente comprobar qué formatos y tipos de firma acepta el destinatario o el sistema al que va a enviar el documento. Algunas instituciones especifican explícitamente que, por ejemplo, los documentos PDF deben firmarse con PAdES y los formularios XML con una firma XAdES externa (archivo aparte) o exigen un estándar específico (por ejemplo, ASiC). En estas situaciones, la decisión viene impuesta de antemano por los requisitos. Afortunadamente, la mayoría de los programas de firma electrónica facilitan el cambio de formato y tipo de firma según las necesidades: basta con seleccionar las opciones adecuadas antes de firmar.

En resumen, una firma interna funciona bien cuando valoramos la comodidad de un único archivo y la legibilidad(principalmente PDF/PAdES para documentos típicos), mientras que una firma externa es indispensable en escenarios que requieren flexibilidad: con distintos formatos de archivo, tratamiento automatizado de datos o archivos adjuntos muy grandes. No obstante, independientemente del método elegido, ambos tipos de firma garantizan el mismo nivel de seguridad y validez jurídica, derivado de un certificado reconocido.

Es crucial que el destinatario pueda verificar la firma, por lo que siempre hay que proporcionar todos los archivos e instrucciones necesarios cuando se utilizan formas menos obvias (por ejemplo, .xades o .p7m). Con este conocimiento, podemos elegir conscientemente el formato y el tipo de firma que mejor se adapten a la situación, garantizando tanto la comodidad como el cumplimiento.

 

Firmas reconocidas SimplySign y Certum Mini

Si tiene alguna duda o pregunta, póngase en contacto con nosotros

+48 22 417 05 55

Responderemos a sus preguntas, le encontraremos una fecha adecuada y un asesor en Gdansk, Gdynia, Cracovia, Varsovia o Breslavia.

También puede enviarnos un correo electrónico a podpisano.plcontacto@ . 

Compruébelo también:

  • Sellos cualificados, Firmas cualificadas

KSeF en JDG y pequeñas empresas: firma cualificada, sello y automatización de facturas

  • Sellos cualificados

Modo sin conexión KSeF: dos códigos QR y garantía de autenticidad de la factura (Certificado KSeF Tipo 2)

  • Sellos cualificados

Dos estrategias para gestionar el KSeF en la empresa: ZAW-FA o sello electrónico de la empresa.

  • Sellos cualificados, Firmas cualificadas

KSeF seguro con firma cualificada: guía sobre la integración ERP para empresas y el envío automático de facturas electrónicas

Ver todos

¿Necesitas ayuda?

Información
Más información Añadir a la cesta
Información
Más información Añadir a la cesta

Encuentre lo que busca