TrustPort eSign: Línea de comandos: operaciones con archivos

Las operaciones con archivos es una de las características no disponibles en la versión gráfica de eSign. Permite al usuario realizar operaciones básicas con archivos seleccionados usando un certificado, un archivo de certificado o un par de claves determinado. Estas operaciones incluyen firmar el archivo, cifrar el archivo, firmar y cifrar el archivo, descifrar y comprobar el archivo, crear una firma adicional, agregar una marca de tiempo, firmar y agregar una marca de tiempo, crear una firma adicional y una marca de tiempo, crear una marca de tiempo en un archivo y crear el HASH de un archivo.

Especificación del archivo

Se realiza mediante el parámetro -f nombre_archivo o --file=nombre_archivo. Se puede usar tanto una ruta de acceso del archivo absoluta como una relativa.

Especificación del destinatario

Se realiza mediante el parámetro -r nombre_archivo o --recipient=nombre_archivo. El destinatario puede ser uno de los siguientes:

  • Un archivo .CER, .BIN o .PEM que contenga el certificado del destinatario.
  • Un archivo .P7C o .P7B que contenga los certificados de uno o varios destinatarios. Atención: si existen varios certificados, se cifrará el archivo para cada uno de ellos.
  • Un archivo .P12 o .PFX que contenga un par de claves completo. Atención: para obtener acceso a la clave privada, se debe especificar la contraseña y, si hay varios certificados, se cifrará el archivo para cada uno de ellos.
  • Un archivo de texto que contenga en cada línea el nombre del archivo con el certificado del destinatario por separado.

El destinatario sólo se tiene en cuenta cuando se cifran archivos (modo enc o sge).

Establecimiento del firmante

Se puede realizar mediante los parámetros -s nombre_archivo o --signer=nombre_archivo. Sólo se puede especificar como firmante un archivo que contenga un par de claves completo, como .P12 o .PFX.

El firmante se usa en el modo de firma arbitrario (es decir, sgn, sge, sgt, esg, est) o cuando se autentican los datos firmados (modo dec).

Establecimiento del modo

Se realiza mediante el parámetro -m método_abreviado_modo o --mode=método_abreviado_modo. El método abreviado del modo puede ser uno de los siguientes:

  • sgn ... se firma un archivo,
  • enc ... se cifra un archivo,
  • sge ... se firma y cifra un archivo,
  • dec ... se descifra y/o comprueba un archivo,
  • esg ... se crea una firma extra,
  • tsa ... se crea una marca de tiempo,
  • sgt ... se firma con una marca de tiempo,
  • tst ... se crea una firma adicional con una marca de tiempo,
  • tst ... se crea un archivo con su marca de tiempo,
  • hash ... se crea el HASH del archivo.

Redireccionamiento de la salida

El redireccionamiento de la salida se realiza al archivo de salida mediante el parámetro -o archivo_salida o --output=archivo_salida. Una vez realizada la operación solicitada en el archivo determinado, se agrega automáticamente la extensión de archivo apropiada al nombre de archivo (a menos que ya la haya especificado el usuario).

Trabajo con contraseñas

Cuando se trabaja con archivos .P12, se puede especificar la contraseña de dos formas. Cuando el archivo no tiene contraseña, se debe usar --no-password. De lo contrario, se puede especificar la contraseña con la opción --password=su_contraseña, en la que su_contraseña es la contraseña del archivo en cuestión. Si no se usa ninguna de estas opciones, se le pedirá que especifique la contraseña cuando se use el archivo.

Uso de los parámetros: ejemplos

Algunas opciones se eligen de forma que es posible realizar la acción predeterminada sin necesidad de especificarla. Ejemplos:

  • esign -f archivo -r certificado.cer
    realiza el cifrado de archivos automáticamente (sin necesidad de especificad el parámetro -m enc),
  • esign -f archivo -s "par_claves.p12" --password=P1x%_34r
    firma el archivo automáticamente (sin necesidad de especificad el parámetro -m sgn) y usa la contraseña de archivo .P12 elegida.
  • esign -f archivo -r certificado.cer -s "par_claves.p12" -o salida
    cifra y firma el archivo en cuestión automáticamente (sin necesidad de especificad el parámetro -m sge) y almacena la salida en el archivo salida,
  • esign -f archivo.enc -s "par_claves.p12" -m dec
    descifra el archivo; en este caso, es necesario especificar el parámetro -m dec; de lo contrario, el programa firmará el archivo automáticamente.
  • esign -f archivo -s "par_claves.p12" -m esg
    crea una firma independiente del archivo; es necesario especificar el parámetro -m esg; de lo contrario, se firmará el archivo de forma predeterminada.

Trabajo con la marca de tiempo

Es posible agregar una marca de tiempo a cualquier archivo que esté cifrado (modo sgn) o contenga una firma independiente (modo esg). Asimismo, se debe especificar la dirección de la autoridad de marca de tiempo mediante el parámetro -I dirección:puerto o --timestampauthority=dirección:puerto. Se debe especificar el parámetro --TSAcertif=certificado para elegir el certificado de esa autoridad.

Ejemplo: esign -f archivo.sgn -m tsa -I "http://time.trustport.cz:8000/" --TSAcertif=certificadoTSA.cer.

Sin embargo, estas operaciones se pueden realizar conjuntamente eligiendo el modo sgt o esg con los parámetros apropiados.

Ejemplo: esign -f archivo -m est -s "par_claves.p12" -I "http://time.trustport.cz:8000/" --TSAcertif=certificadoTSA.cer.

Ahora existe una opción para crear únicamente una marca de tiempo con el HASH del archivo en cuestión (modo -m tst). En este caso también es necesario especificar los parámetros de la autoridad de marca de tiempo.

Ejemplo: esign -f archivo -m tst -I "http://time.trustport.cz:8000/" --TSAcertif=certificadoTSA.cer.

Si es necesario, este archivo se puede autenticar con el parámetro -m dec.

Ejemplo de salida de un archivo de este tipo: 

 Detalles acerca de la marca de tiempo creada: C:\esign.txt.tst 
 Firma comprobada Hora de la firma: 13.9.2004 8:18:49 
 Algoritmo hash: SHA-1 
 Hash: 475d6e86651a595cddb3a6c6b518c4f71bf0a9ec 
 Directiva (OIDS): 1.3.6.1.4.1.4022.1.2.2.1 
 Número de serie: b688478e48e0196480

Creación del HASH de un archivo

La siguiente característica nueva sólo crea el HASH de un archivo que no es necesario que se firme como cuando se crea una firma independiente. Este tipo de HASH se puede usar para comprobar que el contenido del archivo no ha cambiado. Esta operación se puede realizar con el parámetro --filehash. Obviamente, se debe especificar el archivo a partir del cual se creará el HASH. El parámetro -n permite especificar el algoritmo usado para crear este HASH (sin necesidad de especificar el parámetro -m hash).

Ejemplo: esign -f archivo -n MD-5.

Para comprobar un archivo de este tipo, se debe usar el parámetro -m dec. En el caso de que el archivo de entrada sea distinto, se debe especificar el parámetro --originalfile=nombre_archivo con el nombre de archivo correcto para que la operación se lleve a cabo correctamente. Si se usó el parámetro -n, se debe volver a especificar con el mismo valor.

Ejemplo: esign -f data.doc.hash --originalfile copia_seguridad_datos.doc -m dec -n MD-5.

Ejemplo de HASH: 

 475d6e86651a595cddb3a6c6b518c4f71bf0a9ec

Selección del tipo de algoritmo

Cuando se crea o se comprueba un HASH, también se puede elegir el tipo de algoritmo. Esto se realiza con -n tipo o --signalgorithm=tipo, donde tipo puede ser uno de los valores SHA-1, SHA-256, SHA-512, SHA-256, RIPEMD-160 o MD-5.

Visualización del contenido de un archivo

Los parámetros -d o --details se usan para obtener información sobre un archivo. Se pueden usar en los tipos de archivo .CER, .BIN, .PEM, .P7C, .P7B, .P12 o .PFX. No obstante, es necesario especificar el nombre del archivo; de lo contrario, el programa supondrá que desea ver los detalles de algún objeto del almacenamiento.

Ejemplo de detalles de un archivo de salida: esign -d -f "mi_par_claves.p12".

Cambio de la contraseña de un archivo de par de claves

Los parámetros -p o --changep12password permiten cambiar la contraseña de un archivo .P12 (el archivo se elige mediante el parámetro -f nombre_archivo). Al cambiar la contraseña, puede usar los parámetros --password=contraseña o --no-password para escribir la contraseña actual y --newpassword=contraseña para especificar la nueva.

Ejemplo de cambio de la contraseña de un archivo: esign -p -file.p12 --password=p13^Jl[0 --newpassword=KuI_[98%^

Referencias relacionadas

Página principal
Línea de comandos
Operaciones con almacenamientos
Administración de testigos y tarjetas de chips
Trabajo con almacenamientos LDAP y almacenamientos híbridos


Copyright © 2010, TrustPort, a.s., reservados todos los derechos.