Come si applica la marca temporale?
giugno 26, 2010 Lascia un commento
Anche questa settimana l’argomento dell’articolo sarà una roba da informatici smanettoni, che bello!!!!
Sinekarta è prima di tutto un progetto software, quindi è meglio abbituarsi all’idea che gli atricoli tecnici inizino ad aumentare mentre quelli funzionali inizino a diminuire.
Ovviamente chiunque sia interessato ad approfondire un particolare aspetto della normativa, delle scelte funzionali o delle strategie di realizzazione, basta che chieda!
Che cosa è la marca temporale ed a cosa serve? ma soprattutto : perchè è necessario pagarla?
La funzione della marca temporale è di validare il momento (nel tempo) in cui il documento è stato prodotto. Un po’ come succede con alcuni cartacei (ad esmepio il passaporto) in cui viene applicata una marca da bollo che attesta il momento in cui il documento è stato reso ufficiale (o rinnovato).
Esiste un protocollo internet standard (RFC 3161) che definisce il comportamento di un ente (TSA – TimeStamp Authority o CA – Certification Authority) che intende erogare questi “bolli” virtuali. Questo standard è stato adottato anche per la marca temporale. Nel mondo esistono diversi enti che possono erogare questo servizio, diversi anche in modo gratuito (uno per tutti geotrust.com) ma solo alcuni sono considerati attendibili dalla normativa italiana.
L’elenco delle CA (o TSA), accreditate presso il CNIPA, con il relativi riferimenti, links e offerte di mercato, si può trovare sul sito web del CNIPA (www.cnipa.it).
Per capire esattamente in cosa consiste il processo di marca temporale (o validazione temporale) è utile studiare questa immagine :
- Per prima cosa viene estratta l’impronta (HASH) del documento sul quale si intende calcolare la marca temporale (nel caso di sinekarta il documento sarà l’xml che contiene diverse impronte).
- L’impronta viene inviata alla CA che accoda il timestamp (data e ora che devono essere conformi a specifiche di precisione)
- Il risultato del punto precedente viene firmato
- Al risutalto firmato viene accodato il timestamp della firma (questa volta in chiaro)
- Il risultato ottenuto è la marca temporale, viene restituita al richiedente
Questo scambio di dati avviene su protocollo HTTP (o HTTPS).
L’ultima domanda alla quale rispondere è : perchè si paga? Non ho idea se le CA debbano pagare allo stato una quota per ogni marca temporale assegnata (non mi stupirebbe se fosse così). Sicuramente le CA sono tenute, per legge, ad avere un’infrastruttura per conservare (almeno 20 anni) le marche temporali assegnate. Questo è il motivo per cui solo alcune CA vengono accreditate e possono rilasciare marche temporali a norma.
Ho la certezza che il processo per diventare una CA accreditata (considerando tutti gli aspetti del sistema) sia abbastanza complesso da giustificare (almeno in parte) i costi.