CryptoARM GOST se usa cuando hay que firmar un archivo con firma electrónica en el ordenador: contrato, solicitud, archivo comprimido, archivo XML, informe, documentación de proyecto u otro documento electrónico. Tras la firma, el destinatario podrá comprobar quién firmó el archivo y si el documento cambió después de la firma.
Lo principal antes de empezar es entender qué resultado necesita el destinatario. A veces se requiere un archivo de firma separado con la extensión .sig. Otras veces se necesita un contenedor firmado donde el documento y la firma van juntos. Para la agencia tributaria, la plataforma de subastas, el banco, el tribunal, Rosreestr o el sistema interno de EDO conviene comprobar el formato con la instrucción de la plataforma. CryptoARM firmará el archivo, pero un tipo de firma incorrecto puede no ser aceptado por la plataforma.
Qué debe estar listo antes de firmar
Si el puesto de trabajo no está preparado, la firma suele detenerse al elegir el certificado o al introducir el PIN. Por eso, antes de iniciar CryptoARM conviene comprobar las cosas básicas.
- CryptoPro CSP instalado. Es un requisito obligatorio: sin CryptoPro CSP instalado en el sistema la aplicación CryptoARM GOST no se iniciará. CryptoARM GOST funciona solo con ese criptoproveedor y lo usa para acceder al certificado y a la clave privada.
- CryptoARM GOST instalado y ejecutable. Use una versión actualizada desde el sitio oficial de CryptoARM.
- Certificado de firma electrónica disponible. En la lista debe aparecer el certificado personal con la clave privada asociada.
- Token conectado. Si la clave se almacena en Rutoken, JaCarta u otro soporte, conéctelo antes de iniciar la operación.
- PIN conocido por el titular de la firma. Si la clave o el contenedor están protegidos por PIN, sin él el programa no podrá acceder a la clave privada.
- Documento original no abierto en edición. Cierre Word, Excel, el compresor u otro programa que pueda mantener el archivo bloqueado.
- Comprendido el formato de firma necesario. Aclare si se necesita una firma «adjunta» o «desacoplada», CMS simple o la versión avanzada CAdES.
Qué tipo de firma elegir
En CryptoARM los parámetros de firma se eligen antes de ejecutar la operación. No es necesario cambiar todas las opciones a la vez. En la mayoría de tareas domésticas y corporativas basta elegir el certificado, el tipo de firma y la carpeta de destino.
| Parámetro | Qué elegir | Cuándo procede |
|---|---|---|
| «Tipo de firma» | «Desacoplada» | Cuando la plataforma espera un archivo de firma separado .sig junto al documento original. El archivo original y la firma se envían como dos archivos independientes. |
| «Tipo de firma» | «Adjunta» | Cuando se necesita un único archivo firmado que ya contiene el documento original y la firma. |
| «Estándar de firma» | «CMS» | Opción habitual para crear la firma electrónica clásica, si el destinatario no exige un formato avanzado. |
| «Estándar de firma» | «CAdES-X Long Type 1» | Para firma avanzada y verificación a largo plazo: dentro de la firma se incrustan sello de tiempo y datos sobre el estado del certificado, por lo que se podrá verificar años después aun si el certificado ha caducado o ha sido revocado. Requiere servicio de sellado de tiempo configurado y los componentes CryptoPro TSP Client y CryptoPro OCSP Client instalados. |
| «Codificación» | «BASE64» o «DER» | La elección depende de los requisitos del sistema donde se subirá la firma. Si no hay requisitos, deje la configuración por defecto (habitualmente BASE64). |
| «Guardar resultado en carpeta» | Activar y elegir la carpeta | Útil si quiere saber de antemano dónde aparecerá el archivo firmado. |
Si el documento está destinado a un sistema estatal concreto o a una plataforma de comercio, abra primero sus instrucciones. Allí suele indicarse claramente: firma desacoplada, extensión .sig, codificación y requisitos de archivo. Eso es mejor que adivinar por el nombre del archivo.
Instrucciones paso a paso: cómo firmar un documento en CryptoARM GOST
A continuación se muestra el procedimiento para el escenario habitual: hay un archivo en el ordenador, hay un certificado de firma electrónica y se necesita obtener el resultado firmado. Los nombres de los botones pueden variar ligeramente entre versiones de CryptoARM GOST, pero la lógica de la operación es la misma.
- Abra CryptoARM GOST.
Espere a que se cargue la ventana principal. Si el programa no se inicia o aparece una ventana en blanco, compruebe primero la instalación de CryptoARM, CryptoPro CSP y la licencia. - Vaya a la sección «Firma y cifrado».
La instrucción oficial también indica la opción a través de la sección «Documentos». Para una firma puntual es más cómodo trabajar desde «Firma y cifrado». - Añada el archivo.
Pulse el botón «+» y elija el documento en el equipo. Otra opción es arrastrar el archivo con el ratón al área de la lista. Puede añadir varios archivos si desea firmarlos en una sola operación. - Seleccione la operación «Firma».
Tras seleccionar la operación se activarán los parámetros de firma. Si en la interfaz ya está seleccionado un perfil por defecto, revíselo antes de ejecutar. - Abra «Parámetros».
Compruebe «Certificado de firma», «Estándar de firma», «Tipo de firma», «Codificación» y la carpeta de guardado. Si el destinatario no pidió un formato especial, no cambie parámetros adicionales sin necesidad. - Seleccione el certificado.
Si el programa puso un certificado incorrecto, pulse «Cambiar», seleccione el certificado correcto en la lista y pulse «Seleccionar». Verifique el titular, la validez y el uso del certificado. - Indique la carpeta para el resultado.
Active «Guardar resultado en carpeta» y elija la carpeta si desea guardar la firma en un lugar específico. Si esta opción no está activada, el resultado normalmente se guarda junto al archivo original. - Confirme que ha revisado el documento.
Marque «Documentos revisados antes de su firma». Sin esta confirmación, el botón de ejecución puede estar deshabilitado. - Inicie la firma.
Pulse «Firmar» o «Ejecutar», según la versión de la interfaz. Si la clave está en un token, introduzca el PIN. - Revise el resultado de la operación.
Tras la operación exitosa CryptoARM mostrará el resultado. Para una firma desacoplada aparecerá junto al documento un archivo de firma independiente, normalmente con la extensión .sig.
Qué debe obtenerse al final
El resultado depende del tipo de firma elegido. Es un punto importante: al destinatario puede hacerle falta no solo el archivo .sig, sino también el documento original.
| Opción elegida | Qué aparecerá tras la firma | Qué enviar al destinatario |
|---|---|---|
| Firma «Desacoplada» | Archivo de firma independiente, con frecuencia con extensión .sig | Enviar el documento original y el archivo .sig. Si se envía solo el .sig, el destinatario no podrá verificar el documento. |
| Firma «Adjunta» | Un único archivo firmado que contiene el documento y la firma | Enviar el archivo firmado. El original separado solo es necesario si la plataforma o el contratante lo exige. |
| «Guardar copia en Documentos» | Copia del resultado en el directorio especial de CryptoARM | Enviar el archivo desde la carpeta de resultados de la operación o desde la sección «Documentos», si allí se guardó la copia. |
La firma desacoplada se verifica por el contenido del archivo, no por su nombre, por lo que renombrar el documento original no invalida la verificación matemática de la firma. Pero muchas plataformas esperan una pareja estricta por nombre: documento original y archivo de firma junto, con nombres coincidentes (por ejemplo, documento.pdf y documento.pdf.sig). Por eso, salvo que sea necesario, es mejor no renombrar el archivo original: renombrarlo innecesariamente suele confundir a usuarios y soporte y puede impedir la carga.
Cómo verificar la firma antes de enviar
La verificación no es tarea exclusiva del destinatario. Es mejor asegurarse de inmediato de que la firma se abre, el certificado es visible, el archivo no está dañado y el resultado se guardó en la carpeta correcta.
- Abra en CryptoARM la sección «Firma y cifrado» o «Documentos».
- Añada el archivo firmado o el par de archivos: documento original y .sig.
- Seleccione la operación «Verificar firma» o use la acción «Comprobar firma» en los resultados de la operación.
- Espere a que termine la verificación.
- Abra la información de la firma y verifique el titular del certificado, la validez y el resultado de la comprobación.
Si CryptoARM indica que la firma es matemáticamente correcta pero no hay confianza completa en el certificado, suele significar un problema con la cadena de confianza: no están instalados los certificados raíz o intermedios de la autoridad certificadora, no se han cargado las listas de revocación o no es posible comprobar el estado del certificado.
Errores típicos y qué hacer con ellos
| Problema | Causa probable | Qué comprobar |
|---|---|---|
| El certificado no aparece en la lista | El certificado no está instalado, no hay asociación con la clave privada, el token no está conectado o CryptoPro CSP no detecta el contenedor | Conecte el token, compruebe el certificado en CryptoPro CSP, instale el certificado desde el contenedor o contacte con la autoridad certificadora |
| El botón «Firmar» o «Ejecutar» está deshabilitado | No se ha seleccionado archivo, no se ha elegido certificado o no está marcado «Documentos revisados antes de su firma» | Revise la lista de archivos, el certificado y la marcación de revisión del documento |
| Aparece un error al acceder a la clave | PIN incorrecto, token bloqueado, soporte no compatible o problema con el criptoproveedor | Verifique el PIN, el soporte, el controlador del token y que CryptoPro CSP esté instalado |
| La plataforma no acepta la firma | Se eligió un tipo de firma, codificación o estándar incorrecto | Compare los requisitos de la plataforma con los parámetros «Tipo de firma», «Codificación» y «Estándar de firma» |
| El destinatario no puede verificar la firma desacoplada | Solo se envió el .sig o el archivo original se modificó tras la firma | Envíe el documento original sin cambios y el archivo de firma correspondiente |
| La verificación informa de un certificado no confiable | No está instalada la cadena de confianza, las listas de revocación o no hay acceso a OCSP/CRL | Instale los certificados raíz e intermedios de la autoridad certificadora, actualice las listas de revocación y compruebe el acceso a los servicios de verificación de estado |
Si no puede resolver el error con la tabla, utilice las instrucciones oficiales de diagnóstico del puesto de trabajo en el sitio de CryptoARM. Estas guías ayudan a comprobar el criptoproveedor, el soporte y la asociación del certificado con la clave privada, y si es necesario, a trasladar el contenedor de clave privada al sistema operativo requerido.
Qué no se debe hacer con un documento firmado
- No edite el archivo después de la firma. Cualquier modificación del documento original invalidará la verificación de la firma.
- No envíe la firma desacoplada sin el archivo original. El archivo .sig por sí solo no reemplaza al documento.
- No firme un documento sin haberlo revisado. La marca «Documentos revisados antes de su firma» es la confirmación del contenido.
- No comparta el PIN del token con colegas. la firma electrónica confirma la acción del titular del certificado.
- No elija CAdES-X Long Type 1 sin un servicio TSP configurado. Para esa firma se necesitan componentes y parámetros adicionales del servicio de sellado de tiempo.
Preguntas frecuentes: dudas habituales sobre la firma en CryptoARM
¿Qué archivo se debe enviar después de la firma?
Si se eligió firma «desacoplada», envíe el documento original y el archivo .sig. Si se eligió firma «adjunta», normalmente basta con un archivo firmado.
¿Por qué apareció un archivo .sig después de la firma?
El archivo .sig suele generarse con la firma desacoplada. Contiene la firma electrónica, mientras el documento permanece como archivo independiente.
¿Se pueden firmar varios documentos a la vez?
Sí. En la sección «Firma y cifrado» puede añadir varios archivos con el botón «+» o arrastrarlos a la lista. Antes de ejecutar, compruebe que el mismo tipo de firma sirve para todos los documentos.
¿Se puede firmar un PDF con sello visible de firma?
Sí. CryptoARM GOST puede añadir en el PDF un sello visible de visualización de la firma. Esta opción se activa en los parámetros de la operación al firmar un archivo PDF. Si al destinatario le importa la marca visible en la página, compruebe que el sello esté activado antes de ejecutar.
¿Qué hacer si el documento deben firmarlo varias personas?
Un documento puede ser firmado por varios certificados. Para ello cada firmante añade su firma al archivo ya firmado. Consulte de antemano con la plataforma qué formato necesita: varias firmas en un mismo archivo adjunto o archivos de firma separados para cada firmante.
¿Por qué CryptoARM no ve mi certificado?
Con mayor frecuencia, el certificado no está instalado, el token no está conectado, la clave privada no está asociada al certificado o CryptoPro CSP no detecta el contenedor. Empiece comprobando el token, CryptoPro CSP y la validez del certificado.
¿En qué se diferencia la firma «adjunta» de la «desacoplada»?
La firma adjunta guarda el documento y la firma juntos. La firma desacoplada se guarda en un archivo separado, por lo que para verificar hacen falta tanto el documento original como el archivo de firma.
