Acerca de las firmas digitales
En LibreOffice, los documentos y las macros se pueden firmar digitalmente.
Certificados
Para firmar digitalmente un documento se necesita una clave personal, el certificado. La clave personal se almacena en el equipo del usuario. Es la combinación de una clave privada, que debe ser secreta, y una clave pública, que el usuario agrega a los documentos cuando los firma.
Guardar y firmar el documento
Al aplicar una firma digital a un documento, se calcula un tipo de suma de comprobación a partir del contenido del documento y la clave personal. La suma de comprobación y la clave pública se almacenan con el documento.
Abrir un documento firmado
Si el documento se abre posteriormente en cualquier equipo que disponga de una versión actual de LibreOffice, el programa calcula de nuevo la suma de comprobación y la compara con la que está almacenada. Si ambas coinciden, el programa indica que se está viendo el documento original y sin cambios. Además, el programa puede mostrar la información de clave pública del certificado.
La clave pública se puede comparar con la clave que se publica en la página web de la autoridad certificadora.
Siempre que alguien modifica un elemento del documento, dicho cambio anula la firma digital. Después del cambio, no hay nada que indique que se está viendo el documento original.
El resultado de la validación de firma se muestra en la barra de estado y dentro del diálogo Firma digital. Dentro de un documento ODF pueden existir varias firmas de macro y documentos. Si hay un problema con una firma, entonces el resultado de validación de dicha firma se asume para todas las firmas. Es decir, si hay diez firmas válidas y una firma no válida, entonces la barra de estado y el campo de estado del cuadro de diálogo indicarán que la firma no es válida.
Puede ver cualquiera de los símbolos y mensajes siguientes cuando se abre un documento firmado.
|
Icono en barra de estado |
Estado de firma |
|---|---|
|
|
La firma es válida. |
|
|
La firma es correcta, pero no se pudieron validar los certificados. La firma y el certificado son correctos, pero no se han firmado todas las partes del documento. (Para los documentos que se han firmado con versiones antiguas de este software, consulte la nota siguiente.) |
|
|
La firma no es válida. |
Firmas y versiones de software
La firma de contenidos ha cambiado en OpenOffice.org 3.2 y StarOffice 9.2. Ahora todos los contenidos de los archivos, excepto el propio archivo de firma (META-INF/documentsignatures.xml), están firmados.
Cuando se firma un documento en OpenOffice.org 3.2/StarOffice 9.2 o una versión posterior y se abre dicho documento en una versión más antigua del programa, la firma se mostrará como «no válida». Las firmas creadas con versiones más antiguas del programa se marcarán con «solo se han firmado partes del documento» cuando se cargan en el programa más reciente.
Cuando se firma un documento OOXML, la firma se marcará siempre con «solo se han firmado partes del documento». Los metadatos de los archivos OOXML nunca se firman para que sean compatibles con Microsoft Office.
Esta marca no se utiliza cuando se firman documentos PDF. En este caso, firmar partes del documento sencillamente equivale a una firma no válida.
Por el momento no se admite la firma de documentos en otros formatos.
Cuando se cargue un documento ODF, es posible que vea un icono en la barra de estado que indica que el archivo está firmado parcialmente. Este estado aparece cuando la firma y el certificado son válidos pero se crearon con una versión de OpenOffice.org anterior a la 3.2 o de StarOffice anterior a la 9.2. En las versiones previas a OpenOffice.org 3.0 y a StarOffice 9.0, la firma del documento se aplicaba únicamente al contenido principal del documento, las imágenes y los objetos incrustados; omitiendo otros elementos, como las macros. En OpenOffice.org 3.0 y StarOffice 9.0 la firma se aplicaba en la mayor parte del contenido, incluso las macros. Sin embargo, el tipo MIME y el contenido de la carpeta META-INF no se firmaban. Y en OpenOffice.org 3.2, StarOffice 9.2 y todas las versiones de LibreOffice todo el contenido se firma, excepto el archivo mismo de la firma (META-INF/documentsignatures.xml).
Avisos de seguridad
Si recibe un documento firmado y el software indica que la firma es válida, no se puede tener absoluta seguridad de que el documento sea realmente el mismo que haya enviado el remitente. La firma de documentos con certificados de software no es un método completamente seguro. Existen muchas maneras de burlar las medidas de seguridad.
Ejemplo: supongamos que recibe un mensaje procedente de alguien que afirma trabajar en una entidad bancaria en la que tiene una cuenta. Esta persona puede obtener fácilmente un certificado mediante un nombre falso y después enviarle un mensaje de correo electrónico haciéndose pasar por empleado del banco. Recibe dicho mensaje, y el mensaje o el documento adjunto presentan el icono de «firma válida».
No se fíe del icono. Examine y verifique los certificados.
La validación de una firma no constituye, en ningún caso, una garantía legalmente vinculante.
En los sistemas operativos Windows se utilizan funciones de Windows para la validación de firmas. En los sistemas Solaris y Linux, se utilizan archivos proporcionados por Thunderbird, Mozilla o Firefox. Debe asegurarse de que los archivos que se utilizan en el sistema sean realmente los originales que proporcionan sus desarrolladores. Los intrusos malintencionados tienen muchas maneras de sustituir esos archivos originales.
Los mensajes relativos a la validación de una firma que ve en LibreOffice los generan los archivos de validación. El software de LibreOffice no tiene forma de garantizar que los mensajes reflejen el estado auténtico de los certificados. El software de LibreOffice se limita a mostrar los mensajes de otros archivos que el informe de LibreOffice no controla. LibreOffice carece de responsabilidad legal alguna relativa a la autenticidad del estado de una firma digital.