Signatura electr˛nica de documents amb el XolidoSign

Per fer la signatura electrònica de documents es pot emprar el programa XolidoSign.

El programa XolidoSign empra el repositori de certificats de Windows. S’ha d’assegurar que el certificat que es vol emprar per a la signatura està instal·lat correctament. Es pot consultar “Instal·lació d'un certificat en el repositori de Windows” i “Generació d'una còpia de seguretat d'un certificat i de la clau privada del repositori del Firefox”, si escau.

Per usar-lo en l’àmbit de la UIB, aquest programa s’ha de configurar per generar firmes en format CAdES-XL (extended long-term), així com algunes opcions més que es detallen en l’apartat anomenat “Configuració del XolidoSign”.

Un cop configurat el programa XolidoSign, seleccionam l’opció de l’esquerra “Signar”. En la pantalla principal ens apareixen quatre parts:

  • La llista del fitxers a signar.
  • El certificat electrònic seleccionat per signar.
  • La carpeta de sortida dels documents processats i dels fitxers de signatura.
  • Una àrea on es tria el segell de temps i algunes opcions més.

Es comprova que el certificat seleccionat és el correcte, el mateix que la carpeta de sortida.

Les firmes que s’han de generar han de dur un segell de temps associat. Aleshores la opció “Signar amb segell de temps” ha d’esta marcada i “Aplicar signatures incrustades” no ha d’estar seleccionat: es necessita que la firma estigui en un fitxer independent.

Fetes les comprovacions pertinents, seleccionam els arxius a signar amb el botó de la columna dreta “seleccionar arxiu”. La signatura es pot fer amb varis arxius cada vegada.

Còpia de pantalla de la selecció de fitxers

Per signar, pitjam el botó de la part inferior “Iniciar operació”.

Si havíem instal·lat el certificat electrònic amb la opció “habilitar protección segura de claves privadas”, haurem d’introduir la contrasenya de la nostra clau privada, tal com es mostra en la següent imatge.

Còpia de pantalla de la finestra de la contrasenya

Quan el programa ha acabat el procés de manera correcta, els fitxers signats i els fitxers de signatura associats estan en la carpeta corresponent, normalment en C:\Users\usr123\Documents\XolidoSign. Es pot comprovar que és així. Hi toquen aparèixer els fitxers originals que hem signat a més de les signatures generades. Per exemple:

123456-00000010X-Programa.PDF

123456-00000010X-Programa.PDF.P7B

123456-00000010X-Memòria.PDF

123456-00000010X-Memòria.PDF.P7B

La signatura electrònica ja està feta. En aquest moment tenim els fitxers de signatura associats als documents originals. Aquests documents es poden emprar per a tràmits que necessitin documents signats.

En aquest apartat es detalla com s’ha de configurar el programa XolidoSign per a signar electrònicament documents en format digital, ja siguin originals com còpies.

Un cop configurat el XolidoSign per primera vegada, aquest apartat es pot botar.

Per configurar el programa de manera adequada per a signar els documents d’aquest projecte s’ha de pitjar el botó “Signar” de l’esquerra i després F5, que ens duu a la pantalla de configuració:

  • En la secció “Signatura electrònica”, apartat “Format de la signatura”, s’ha de triar la opció “Signatures electròniques completes amb valors de certificats i revocació CAdES-XL”.
  • En l’apartat “Preferències de la signatura” s’ha de triar: “Seleccionar signatura electrònica amb segell de temps per defecte”, “Cancel·lar la signatura si el segellat de temps no està disponible”. L'opció “Cancel·lar la signatura si el certificat disposa de mecanismes d’accés a la informació de revocació però falla en obtenir-la” l’hem de posar en funció del tipus de certificat que empram. En general s’ha de tenir marcada, però per exemple amb els certificats de la FNMT de classe 2 s’ha de tenir deshabilitada ja que la FNMT no proporciona gratuïtament la informació de revocació dels certificats de classe 2. Totes les altres opcions no han d’estar seleccionades.
  • En l’apartat “Opcions avançades” s’ha de seleccionar l’algorisme SHA-1.

Per a configurar el programa per a generar els fitxers en la carpeta correcta, s’ha de fer:

  • En la secció “Opcions de Sortida”, apartat “Carpeta de sortida”, s’ha de comprovar la carpeta per defecte, que sol ser C:\Users\usr123\Documents\XolidoSign. (On usr123 és l’username de les credencials de l’entorn de Windows). Potser l’usuari vol canviar la carpeta de destinació dels fitxers.
  • En l’apartat “Manera de sortida” s’ha de marcar “Manera simple”.

També, s’ha de fixar el certificat electrònic que s’emprarà per signar i l’ús que en fa l’aplicació:

  • En la secció “Certificats”, apartat “Selecció de certificat”, s’ha de triar el certificat que emprem habitualment per signar electrònicament.
  • I en l’apartat “Restriccions de certificat”, s’han de triar les opcions “No permetre l’ús de certificats electrònics caducats”, “No permetre l’ús de certificats sense propòsit de signatura digital”, “Consultar en línia l’estat de revocació dels certificats” i “No permetre l’ús de certificats electrònics revocats”.

Amb el mateix programa XolidoSign es pot verificar la integritat de les firmes electròniques dels documents escanejats. Per fer-ho, s’ha de procedir tal com s’explica tot seguit.

Aquest apartat està redactat per a la versió 2.2.0.8.

Amb el botó de la columna esquerra “Verificar” i seleccionam el mode de verificació. Inicialment, el mode més còmode és “Verificació intel·ligent”. Després amb “seleccionar arxiu” de la columna de la dreta triam el fitxer original, o fitxers, a verificar. En la mateixa carpeta hi ha d’haver el fitxer de signatura, amb l’extensió P7B. Així, podem verificar múltiples fitxers a l’hora.

Pitjam el botó “Iniciar operació” per fer la comprovació.

Còpia de pantalla de la verificació correcta de la firma electrònica

Ens apareix un resum amb el resultat. Si la verificació es correcta, apareixen colors verds pertot.

Si per contra, algun fitxer original ha estat modificat, en lloc d’aparèixer colors vermells, l’aplicació dóna aquest error: “No s’ha pogut processar informació associada”.

Còpia de pantalla de la verificació incorrecta de la firma electrònica

Aquest missatge, un poc estrany, indica que no hi ha cap fitxer de firma que es correspongui amb els fitxers de dades. Possiblement, algun fitxer ha estat modificat. Per confirmar-ho, s’ha d’emprar el mode “Verificació manual”. En aquest mode, es selecciona directament el fitxer original de dades i el de firma.

Còpia de pantalla de la verificació manual de la firma electrònica

Es pitja el botó “Iniciar Operació” i el programa verifica la firma. Si no es correspon, es mostra un missatge d’error tal com a apareix en la següent figura:

Còpia de pantalla de la verificació errònia de la firma electrònica

Aquest missatge ja diu clarament “La signatura no es correspon amb l’arxiu”. Això vol dir, que hi ha hagut alguna modificació en el fitxer original o en la firma. Els fitxers que no es corresponen no s’han d’emprar en cap tràmit administratiu, ja que segurament han estat modificats.