Comparativa neutral, con fuentes citadas, de las herramientas de firma de código y de documentos disponibles para los desarrolladores Delphi y C++ Builder en 2026: sgcSign, Microsoft SignTool, osslsigncode, Azure Trusted Signing, DigiCert Software Trust Manager, jsign, Adobe Acrobat y los SDK de PDF iText / Apryse. Cada afirmación sobre una característica enlaza con la documentación oficial del proyecto.
Un resumen de un párrafo de cada opción, con enlace a la documentación o repositorio oficial. La comparación detallada está en la matriz de abajo.
eSeGeCe · Comercial
Suite comercial de firma digital para Delphi / C++ Builder / .NET. Se distribuye en dos formatos complementarios que comparten el mismo núcleo de firma. La biblioteca de componentes genera firmas XAdES, PAdES, CAdES y ASiC en proceso desde Delphi 7 hasta Delphi 13. sgcSign Server añade un daemon REST de firma autoalojado que firma Authenticode (binarios PE), manifiestos ClickOnce, paquetes NuGet, paquetes VSIX y scripts PowerShell, además de los formatos de documento. Diez proveedores de claves cubren PFX/PEM local, el almacén de certificados de Windows, tokens hardware PKCS#11, AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault, Certum SimplySign y cualquier QTSP remoto CSC v2. Veintiún perfiles por país preconfigurados gestionan la facturación electrónica europea y la firma de contratos laborales eIDAS.
Microsoft · EULA del Windows SDK (gratuita para desarrollo)
Herramienta de línea de comandos de firma de código de Microsoft incluida con el SDK de Windows 10 / Windows 11. Firma y aplica sello de tiempo a archivos Windows Portable Executable (.exe, .dll, .sys, .cab, .cat), además de paquetes AppX/MSIX, manifiestos ClickOnce y proyectos Microsoft Office Visual Basic for Applications mediante el mecanismo SIP (Subject Interface Package). Lee certificados del almacén de Windows, archivos PKCS#12, tarjetas inteligentes y proveedores Cloud Signing Service (CSP). La firma de PDF, XML y ETSI XAdES / PAdES / CAdES no entra en el ámbito de SignTool.
Michał Trojnara y colaboradores · GPL-3.0-or-later (código abierto)
Herramienta open source multiplataforma de firma Authenticode construida sobre OpenSSL. Firma binarios PE de Microsoft (.exe, .dll, .sys, .cab, .cat), archivos CAB, paquetes AppX/MSIX, paquetes NuGet y archivos de script. Se ejecuta en Linux, BSD y macOS además de Windows, que es la razón histórica del proyecto — permite que las build farms Linux firmen binarios Windows sin ejecutar SignTool bajo Wine. Sellado de tiempo RFC 3161 y Authenticode heredado; las fuentes de certificados incluyen archivos PKCS#12 y tokens hardware PKCS#11.
Microsoft · Comercial (suscripción Azure, mensual)
Servicio totalmente gestionado de firma de código de Microsoft en Azure (antes Azure Code Signing). El cliente no posee el certificado de firma — Microsoft emite un certificado de corta duración cada tres días y guarda la clave privada en un HSM de Azure. Se ofrecen integraciones para SignTool, GitHub Actions, Azure Pipelines, Trusted Signing PowerShell y una dlib dedicada (Trusted Signing CSP) que expone las claves a cualquier herramienta compatible con CSP. Firma Windows PE, MSIX, AppX, ClickOnce y scripts VBScript / JScript / PowerShell; la firma de PDF / XML no está incluida.
DigiCert · Comercial (suscripción)
Plataforma de firma de código en la nube de DigiCert. Las claves privadas residen en un HSM FIPS 140-2 / 140-3 alojado por DigiCert. Firma Windows PE, Java JAR, Android APK, Linux RPM / DEB, imágenes de contenedor, NuGet, binarios Mach-O de Apple y más mediante una flota de herramientas dedicadas: el cliente de firma smctl, el plug-in DigiCert KSP / CSP para SignTool, integraciones nativas con Jenkins / GitHub Actions / Azure Pipelines y una API REST. Los documentos (PDF, XAdES) se firman con el producto independiente DigiCert Document Trust Manager.
Emmanuel Bourg · Apache 2.0 (código abierto)
Herramienta open source de firma Authenticode basada en Java. Se ejecuta como comando independiente, como plug-in de Maven / Gradle / Ant o como API Java programática. Firma binarios PE de Microsoft, instaladores MSI, archivos de script de Microsoft (.ps1, .vbs, .js), paquetes MSIX / AppX, archivos CAB y catálogos CAT. Admite una amplia lista de HSM en la nube desde una sola CLI: AWS KMS, Azure Key Vault, Azure Trusted Signing, Google Cloud KMS, DigiCert ONE, HashiCorp Vault, Oracle Cloud KMS, Yubico YubiHSM, AWS CloudHSM (vía PKCS#11) y cualquier dispositivo PKCS#11.
Adobe · Comercial (suscripción)
Adobe Acrobat Pro y Adobe Acrobat Sign son productos de usuario final para firmar documentos PDF. Acrobat Pro aplica firmas digitales y firmas certificadas con sellos de tiempo y valida las firmas PDF entrantes; Acrobat Sign (antes EchoSign) es un servicio en la nube para recopilar firmas electrónicas de partes externas. Ninguno es una biblioteca para desarrolladores: no hay SDK para Delphi / C++ Builder ni herramienta de firma por línea de comandos. La validación PAdES a largo plazo se admite en la parte de validación mediante la Adobe Approved Trust List (AATL) y la European Union Trusted List (EUTL).
iText Group / Apryse Software (PDFTron) · Comercial (AGPL o licencia comercial)
Dos SDK comerciales de PDF muy utilizados para firma de PDF desatendida en aplicaciones del lado del servidor. iText Core (antes iTextSharp) está disponible para Java y .NET bajo AGPL-3.0 o licencia comercial; el espacio de nombres com.itextpdf.signatures cubre PAdES-B-B / B-T / B-LT / B-LTA, certificaciones MDP (detección de modificaciones) y apariencias visibles. Apryse PDFTron es un SDK comercial multiplataforma (Java, .NET, C++, Node.js, Python, Go, iOS, Android, web) con una API PDF.SignatureHandler y soporte PAdES. Ningún proveedor incluye un binding Delphi nativo.
Un tick () indica que el proyecto documenta soporte nativo. Un guion (—) indica que el proyecto no lo ofrece de forma nativa. Una tilde (~) indica parcial / mediante complemento / no documentado explícitamente — consulta la sección Fuentes para ver qué pudimos verificar.
| Característica | sgcSign | Microsoft SignTool | osslsigncode | Azure Trusted Signing | DigiCert Software Trust Manager | jsign | Adobe Acrobat / Adobe Sign | iText / Apryse |
|---|---|---|---|---|---|---|---|---|
| Firmar binarios Windows Authenticode para .exe / .dll / .sys / .ocx | — | — | ||||||
| Firmar manifiestos ClickOnce archivos .application / .manifest | ~ | ~ | — | — | ||||
| Firmar paquetes NuGet / VSIX contenedores .nupkg / .vsix | ~ | ~ | ~ | ~ | — | — | ||
| Firmar paquetes móviles (APK / IPA) paquetes Android APK o iOS IPA | — | — | — | — | — | — | — | |
| Firmar documentos PDF (PAdES) ETSI EN 319 142, compatible con Adobe | — | — | — | ~ | — | |||
| Firmar documentos Office Word / Excel / PowerPoint docx / xlsx / pptx | — | ~ | — | — | — | — | — | — |
| Firmar documentos XML (XAdES) ETSI EN 319 132 | — | — | — | ~ | — | — | ~ | |
| API nativa Delphi / C++ Builder Componentes VCL / FMX de primer nivel | — | — | — | — | — | — | — | |
| Herramientas multiplataforma Se ejecuta en Windows, Linux y macOS | ~ | — | ~ | |||||
| Compatibilidad con Cloud HSM AWS / Azure / GCP / HashiCorp / CSC v2 | ~ | ~ | ~ | ~ | ||||
| Preajustes eIDAS / perfiles por país Preajustes de firma por país (VeriFactu, KSeF, etc.) | — | — | — | ~ | — | ~ | ~ | |
| CLI independiente Cliente de línea de comandos incluido | ~ | — | — | |||||
| Biblioteca / SDK API programática para que la invoque una aplicación | — | — | ~ | ~ | ~ | — | ||
| Mantenimiento activo Release o actividad etiquetada en los últimos 12–18 meses | ||||||||
| Modelo de licencia Tipo de licencia | Comercial | EULA del Windows SDK | GPL-3.0-or-later | Comercial (suscripción Azure) | Comercial (suscripción) | Apache 2.0 | Comercial (suscripción) | AGPL o Comercial (iText) / Comercial (Apryse) |
Cada opción aquí tiene un público real. La elección adecuada depende de si firmas código, documentos o ambos, del runtime que aloja la lógica de firma, de tus preferencias de custodia de claves y de tus preferencias de licencia.
Elige sgcSign cuando construyas la aplicación en Delphi 7–13, C++ Builder o .NET y quieras un único conjunto de componentes que produzca firmas de documentos (XAdES, PAdES, CAdES, ASiC) y firmas de código (Authenticode, ClickOnce, NuGet, VSIX, PowerShell) desde la misma abstracción de proveedor de claves. Los 21 perfiles por país preconfigurados cubren la facturación electrónica europea y la firma de contratos laborales bajo eIDAS; el formato de servidor centraliza la custodia de claves para build farms.
Elige Microsoft SignTool cuando los artefactos que firmas sean todos binarios Windows (PE / .cab / AppX / MSIX) y el host de build sea Windows. SignTool es la interfaz de línea de comandos de referencia que se empareja con cada servicio de firma en la nube que distribuye un CSP / KSP (DigiCert KeyLocker, Azure Trusted Signing, GlobalSign Atlas, etc.), y la instalación del Windows SDK es gratuita.
Elige osslsigncode cuando tu host de build sea Linux, BSD o macOS y los artefactos a firmar sean binarios Windows — archivos CAB, archivos PE, paquetes MSIX o paquetes NuGet. La licencia GPL-3.0 encaja con naturalidad en pipelines de CI que ya usen OpenSSL y tokens hardware PKCS#11.
Elige Azure Trusted Signing cuando quieras un servicio totalmente gestionado de firma de código Windows en el que Microsoft sea propietario del certificado y del HSM, cuando tu equipo ya opere sobre Azure y cuando los artefactos a firmar sean Windows PE, MSIX, AppX, ClickOnce o PowerShell. El modelo de certificado de corta duración elimina la carga de renovación y verificación de identidad asociada a poseer un certificado de firma de código.
Elige DigiCert Software Trust Manager cuando ya compres el certificado de firma de código de DigiCert y quieras almacenarlo en su HSM validado FIPS con un único panel central para renovaciones, revocaciones y auditoría. El cliente nativo smctl y el plug-in KSP para SignTool cubren binarios Windows, JAR de Java, imágenes de contenedor y paquetes móviles desde un mismo flujo de trabajo.
Elige jsign cuando el pipeline de build ya se ejecute en una cadena de herramientas JVM (Maven, Gradle, Ant o Jenkins sobre JDK), cuando quieras una sola CLI que gestione todos los HSM en la nube habituales y cuando los artefactos a firmar sean Windows PE / MSI / MSIX / archivos de script. La licencia Apache 2.0 encaja con limpieza en flujos de build de código cerrado.
Elige Adobe Acrobat / Adobe Sign cuando el flujo de firma sea interactivo y dirigido por personas — alguien abre un PDF en Acrobat, coloca una firma visible y envía el archivo. Acrobat Sign extiende ese patrón a flujos de firma multiparte recogidos por correo electrónico. No se requiere automatización en build ni en servidor.
Elige iText o Apryse PDFTron cuando la aplicación esté construida sobre Java, .NET, C++ o alguno de los otros runtimes compatibles y el PDF sea el formato de documento dominante. Ambos SDK ofrecen un soporte PAdES maduro, una sólida cobertura de funciones de PDF más allá de la firma (formularios, redacción, renderizado) y referencias empresariales conocidas.
Notas breves sobre las diferencias si vienes de alguna de las opciones anteriores. No es algo agresivo — solo la correspondencia práctica.
SignTool solo cubre firma de código Windows. Si tu aplicación ya llama a SignTool desde un script de build, sgcSign Server expone un endpoint REST de firma que recibe un binario y un nombre de proveedor y devuelve el artefacto firmado — el mismo flujo, pero la operación Authenticode se ejecuta de forma centralizada y la traza de auditoría, el flujo de aprobación y las cuotas por proyecto resultantes residen en un único lugar. La firma de documentos (XAdES / PAdES / CAdES / ASiC) queda disponible entonces desde el mismo daemon.
Si tu pipeline de build usa osslsigncode para firmar con Authenticode binarios Windows desde agentes de build Linux, sgcSign Server te ofrece el mismo flujo sobre una API HTTPS y añade drivers de primer nivel para AWS KMS, Azure Trusted Signing, Google Cloud KMS y HashiCorp Vault, además de la ruta PKCS#11 que quizá ya uses. Los formatos de documento (PDF / XML / CMS) están entonces disponibles desde el mismo endpoint.
sgcSign expone Azure Trusted Signing como uno de sus diez proveedores de claves (TsgcAzureTrustedSigningProvider), de modo que una aplicación Delphi o C++ Builder puede usar Azure Trusted Signing directamente — la misma clave privada, el mismo certificado de confianza pública emitido por Microsoft, pero el firmador se ejecuta en proceso. Si además necesitas firma de documentos PDF / XAdES / CAdES, el mismo proveedor de claves sirve a los firmadores de documentos.
Si hoy firmas binarios Windows con smctl, sgcSign Server puede usar el mismo certificado de firma de código mediante el proveedor PKCS#11 que expone DigiCert, y añade firma de documentos XAdES / PAdES / CAdES de primer nivel — útil cuando una aplicación necesita firmas de código y de documentos desde un único daemon.
jsign cubre firma de código Windows en una amplia gama de HSM en la nube. sgcSign Server se solapa en la matriz de Cloud HSM (AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault) y añade firma de documentos ETSI (PAdES, XAdES, CAdES, ASiC) más los 21 perfiles por país — útil cuando la misma clave debe producir firmas tanto de código como de documento.
Adobe Acrobat es una herramienta de usuario final, no una biblioteca para desarrolladores. Si actualmente pides a los usuarios finales que firmen PDF en Acrobat y ahora quieres firmas PAdES desatendidas en servidor, sgcSign proporciona el firmador de PDF (TsgcPAdESSigner) más los clientes de sello de tiempo y OCSP para producir firmas PAdES-T y PAdES-LT desde un pipeline de build o un servicio backend.
iText y Apryse no proporcionan un binding nativo para Delphi, por lo que las aplicaciones Delphi suelen envolver sus SDK de .NET o Java tras un puente fino. sgcSign produce firmas PAdES-B-B / B-T / B-LT desde código Delphi y C++ Builder nativos — la capa puente desaparece, y la misma cadena de proveedor de claves que firma PDF también firma artefactos XML, CMS y Authenticode.
Cada celda de la matriz anterior se traza hasta una de estas páginas oficiales de documentación, repositorios o notas de versión. Todas las URL se verificaron mediante HEAD en el momento de la redacción.