Sinadura (y II): Uso y funcionamiento

Por Fernando Acero

En memoria de mi madre, Silvia, 12-10-32 / 01-04-09.

Una vez que tengamos instalado Sinadura siguiendo las instrucciones del artículo anterior, ya estamos listos para firmar nuestros documentos PDF usando este interesante programa, que entre otras cosas, nos permite usar tarjetas inteligentes, certificados de 2048 bits, enviar por correo los documentos firmados, incluir nubes de bits, realizar sellado de tiempos y otras muchas cosas más...

Comenzaremos por arrancar Sinadura, lo que lo podemos hacer a través del Menú Inicio, o mediante el acceso directo del escritorio. Una vez arrancado, introduciremos la contraseña maestra del programa.

Cuando arranquemos el programa por primera vez, lo primero que debemos hacer, es configurar nuestro almacén de firmas. Para ello, usaremos la secuencia de mandatos Herramientas | Configuración personal y en panel de la izquierda, haremos clic sobre Gestión de Certificados.

Para añadir un certificado, haremos clic sobre el botón Añadir. En el cuadro de diálogo que aparece en pantalla, escribiremos el nombre del usuario al que pertenece el certificado en la línea Nombre. Después, seleccionaremos la trayectoria en la que se encuentra el contenedor del certificado. Para ello, podemos usar el botón Examinar que aparece a la izquierda. Una vez seleccionado, escribiremos la contraseña que protege el certificado en dicho contenedor. Seguidamente, indicaremos el tipo de contenedor que estamos usando PKCS#12 (software), o PKCS#11 (tarjeta criptográfica). Como es lógico, si estamos usando un certificado en una tarjeta inteligente, para el contenedor del certificado, debemos indicar la trayectoria del archivo, .dll (windows) o .so (linux), a través del que tenemos acceso a nuestra tarjeta inteligente en nuestro sistema. Finalizaremos el proceso haciendo clic sobre el botón Aceptar.

En este punto debemos tener en cuenta que si hemos instalado el programa como root, todos los usuarios usaran la misma contraseña maestra, por lo que debemos borrar la contraseña de nuestros certificados, o desinstalarlos del programa antes de salir del programa, o de otro modo otros usuarios podrían firmar a nuestro nombre. Por ello, en el artículo anterior recomendaba instalar el programa de forma individual para cada usuario, de forma que cada uno tuviera su contraseña maestra, su propio almacén de certificados y su propio directorio resources en sus respectivas áreas de usuario.

Si tenemos instalados varios certificados o contenedores, la ventana de gestión de certificados, también nos permite seleccionar un almacén y un certificado por omisión, para agilizar la firma de documentos cuando usamos con frecuencia el mismo certificado. Asimismo, este interfaz nos permite borrar certificados, o editar las propiedades de cada uno de ellos. Si hemos modificado la contraseña, o hemos guardado nuestro certificado de software en una tarjeta inteligente, como por ejemplo, en una tarjeta Ceres, esta es nuestra opción. Para ello, solamente tenemos que hacer clic sobre el botón Modificar.

Antes de avanzar, vamos a ver el resto de las opciones de personalización que nos permite el programa. Si hacemos clic sobre la opción Firma del panel de la izquierda, nos aparecerá esta ventana de configuración, que es una de las más importantes del programa:

Este recuadro de diálogo controla la apariencia de la firma en el documento. Lo más importante que debemos saber, es que si deseamos que el documento se firme digitalmente, es indispensable marcar el la casilla de verificación Incluir sello de firma, puesto que las dos otras opciones, individual o conjuntamente, no introducen la firma digital en el documento, aunque muestren información relacionada sobre el mismo.

La casilla de verificación Incluir PDF417, permite añadir una nube de bits con los datos de la firma. La posición de la nube de bits en el documento se controla mediante las líneas de entrada Margen izquierdo del PDF417 y Margen superior del PDF417, teniendo en cuenta que estos valores son milímetros que se miden de izquierda a derecha y de arriba hacia abajo. Es importante tener cuidado para que la nube de bits, o el sello visible que veremos seguidamente, no tapen partes importantes del documento.

Si deseamos que la firma digital, en lugar de como firma digital invisible, aparezca en la forma de un sello gráfico sobre el documento, debemos marcar la casilla de verificación Firma visible. La apariencia de ese gráfico de la firma visible se controla mediante la línea de entrada Sello de firma. Si no nos gusta el que usa el programa por omisión, podemos crear uno propio, o seleccionar otro, haciendo clic sobre el botón Browse. Como en el caso de la nube de bits, también podemos controlar la posición de la Firma visible mediante las líneas Coordenada comienzo horizontal y Coordenada comienzo vertical y especificar unos valores de desplazamiento también en milímetros.

Cuando no hemos seleccionado la opción Firma visible, para saber si el documento tiene firma digital o no, nos debemos fijar en el panel vertical de la izquierda de Acroread. Si aparece un gráfico de un folio con un bolígrafo firmando, es que el documento tiene firma digital y haciendo clic sobre él, podremos comprobar las propiedades de dicha firma. Recordemos que en el caso de PortableSigner, el documento firmado con firma invisible, mostraba una línea azul en la parte superior de la pantalla que nos avisaba de que el documento estaba firmado digitalmente, algo que de alguna forma nos facilitaba el trabajo. En este caso no es así, si no usamos la opción de Firma visible, la mejor forma de saber si el documento PDF está firmado digitalmente, es comprobando si aparece el folio con el bolígrafo en el panel de la izquierda, por lo que es algo que se debe comprobar siempre, cuando trabajamos con documentos en PDF.

La siguiente imagen nos muestra un documento con firma digital visible, que además, por estar configurado Acroread con los certificados raíz correspondientes, nos aparece como firma válida.

Asimismo, podemos configurar Sinadura para que envíe los documentos mediante correo electrónico, para lo que deberemos seleccionar la casilla de verificación Enviar email y configurar el recuadro de diálogo Email, que veremos más adelante.

Hay que recordar, que el directorio /resources que aparece por omisión en la instalación en la línea Directorio de destino, se deberá cambiar por uno adecuado y será el directorio en el que se almacenarán los documentos firmados. Para seleccionar un directorio de destino, lo podemos escribir directamente en la línea de entrada, o hacer clic sobre el botón Browse y seleccionar uno en nuestro sistema. Finalmente, en la línea Sufijo del nombre, podemos configurar los caracteres que se añadirán al nombre original del PDF para indicar que el archivo está firmado, caracteres que por omisión son "-signed".

Una vez que hayamos configurado estos datos, podemos hacer clic sobre el botón Apply. Si recordamos cuando hablábamos sobre PortableSigner, el firmante puede decir el motivo por el que firma el documento (por ejemplo, soy el autor, o estoy de acuerdo con su contenido del documento) y también, puede especificar el lugar de la firma como (notaría de la calle Mayor de Ciempozuelos, o mi casa en Madrid). Para ello, haremos clic sobre el triángulo, o sobre la flecha de pequeño tamaño que aparece a la izquierda de la opción Firma, con lo que nos aparecerá en el menú la opción Apariencia. Si hacemos clic sobre ella, nos aparece otra ventana con los recuadros de texto Razón y Localización, que por omisión, contienen una información que poco tiene que ver con los motivos y el lugar de la firma. Después de rellenar los campos con la información adecuada, haremos clic sobre el botón Apply.

Si deseamos que Sinadura envíe de forma automática los documentos firmados por correo electrónico, lo que puede ser muy útil para facturación electrónica, debemos configurar el servidor de correo, introduciendo el nombre del host, el usuario, la contraseña de salida y el cifrado TLS, si es usado por el servidor, así como otros datos relativos al remitente y el destinatario de los documentos, todo ello, usando la ventana Email. Una vez configurados estos datos, haremos clic sobre Apply.

Como ya hemos visto la ventana Gestión de certificados, no insistiremos más en ella, solamente recordaremos que nos permite introducir varios certificados, modificar sus propiedades, o borrarlos. Hay que señalar, que el programa Sinadura no permite modificar las contraseñas que protegen a los certificados en sus contenedores, ni otros parámetros del certificado, lo que permite, es adaptarse a los cambios que realicemos en los contenedores, como especificar una contraseña nueva, si se hubiera cambiado con algún programa que sí lo permita, o cambiar el tipo de contenedor, se hubiera exportado el certificado a un contenedor de hardware.

La ventana Sellado de tiempo es importante y requiere algo de atención si queremos que funcione adecuadamente. Para el sellado de tiempos se utiliza un servidor externo de tiempos, que por omisión, es http://ocsp.izenpe.com y que usa el puerto 8093. Para que funcione adecuadamente, son necesarias varias cosas:

a) Que tengamos acceso a Internet
b) Que el servidor se encuentre disponible
c) Que nuestro router y cortafuegos nos permita el acceso al puerto que usa el servidor de sellado de tiempos, en este caso, el 8093.

Si seleccionamos la casilla de verificación Habilitar sellado de tiempo y fallase cualquiera de los puntos anteriores, el programa no realizará la firma de tiempos, pero tampoco usará por omisión la fecha y hora de del ordenador del usuario, por lo que no firmará el documento y mostrará en el recuadro de mensajes de Sinadura en color rojo, el mensaje de error: "El documento /home/usuario/sinadura/resources/prueba.pdf no se ha firmado. (Connection Error ocsp.izenpe.com)".

Asimismo, para poder validar la fecha y la hora, será necesario instalar en Acroread el certificado raíz de la entidad que nos proporciona el sellado de tiempos. La ventaja del sellado de tiempos externo, es que hay un tercero de confianza que certifica que el documento fue firmado a una hora y fechas determinadas, algo que se podría falsear con facilidad, desactivando el sellado de tiempos de Sinadura y modificando la fecha y hora del ordenador del usuario, antes de firmar un documento. Una vez finalizada la configuración de las opciones de esta ventana, haremos clic sobre el botón Apply.

En todo caso, para evitar problemas, tras firmar cualquier documento con un sellado de tiempos externo, es conveniente comprobar que se ha realizado adecuadamente. Para ello, haremos clic sobre el papel con el bolígrafo que aparece en el panel de la izquierda y comprobaremos que el sellado de tiempos es correcto. Como es lógico, si no tenemos el ordenador conectado a Internet, la única opción, es usar la fecha y hora de nuestro ordenador, para lo que es conveniente mantenerla actualizada mediante algún servidor NTP.

La última ventana de configuración del programa es muy simple y nos permite modificar el idioma de la interfaz de usuario. Modificados estos datos, pulsaremos el botón Ok y estaremos listos para firmar nuestro primer documento PDF.

El procedimiento de firma es muy sencillo, primero, haremos clic sobre el botón Añadir archivo que nos aparece el la parte superior derecha de la interfaz de usuario de Sinadura. Si queremos firmar varios documentos, lo que es útil, por ejemplo, para firmar todas las facturas emitidas en un día, deberíamos usar Añadir directorio.

Una vez que hemos seleccionado el archivo que deseamos firmar, el programa nos recordará que tenemos que introducir la tarjeta para el certificado por omisión, lo que evidentemente, no tiene mucho sentido si estamos usando un certificado software PKCS#12. Para continuar haremos clic sobre el botón Aceptar.

Si deseamos modificar cualquiera de los parámetros de firma que establecimos por omisión en su momento, o si deseamos cambiar el certificado con el que se firmará el documento, por otro distinto al que hemos establecido por omisión, haremos clic sobre el trabajo de firma y haremos clic sobre el botón Modificar.

Después de hacer clic sobre el botón Aceptar, ya estamos listos para firmar nuestro archivo, o archivos. Para ello, bastará con hacer clic sobre el botón Firmar archivos que aparece en la parte inferior central de la interfaz de usuario de Sinadura. Tras unos instantes y si no aparece ningún error en rojo en el recuadro de mensajes de Sinadura, se podrá leer el mensaje: "Firma de documentos finalizada."

Recordemos que los documentos firmados tendrán el sufijo y estarán en el directorio que establecimos en su momento mediante las opciones del panel Firma de Herramientas | Configuración personal. Es importante no equivocarse, los documentos firmados, al margen del sufijo, tendrán el mismo nombre que el original sin firmar, no se borrarán en el proceso de firma y aparecerán en el directorio de destino seleccionado, con el sufijo "-signed", por ejemplo, el archivo prueba.pdf, nos aparecerá firmado como prueba-signed.pdf.

"Copyleft 2009 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"