Offerta dematerializzazione facile 3×2 : stendiamo un velo pietoso…

A tutti coloro che vogliono adottare soluzioni di FEA (firma elettronica avanzata) consiglio di leggere questo INTERESSANTISSIMO articolo dello STUPENDO blog di “firma-facile”

Offerta dematerializzazione facile 3×2

Se siete tra quelli che si sono fatti “abbindolare” da una (per ora) falsa promessa, mi spiace per voi.

La tecnologia è interessante sotto molti punti di vista ma nella pratica mancano ancora alcuni tasselli per completare il puzzle.

Sinekarta su ipad: ci stiamo lavorando!

In questi giorni ho avuto modo di approfondire un argomento che per molti è già  molto chiaro, ma che io non avevo ancora studiato.

Molte CA accreditate, davanti a tutti Aruba, forniscono un servizio di firma digitale che non necessita della smart card : la firma digitale remota.

Come funziona questo sistema?

Entrambi i tipi di firma digitale si basano sullo stesso tipo di algoritmo a chiave asimmetrica (chiave pubblica e chiave privata), quello che cambia è il dispositivo in cui viene memorizzata la chiave privata.

Con la buona vecchia smart card, la chiave privata è memorizzata nella smart card (o token USB); gli algoritmi crittografici vengono eseguiti dal processore presente nella smart card.

In un precedente articolo abbiamo parlato dell’infrastrutura necessaria per poter usufruire dei servizi della smart card attraverso il lettore. Utilizzando la firma digitale remota questa infrastruttura non è più valida perchè non esiste più una smart card.

Nel caso della firma digitale remota, la chiave privata è memorizzata in un HSM (Hardware Security Module) che è gestito dal fornitore della firma digitale. I servizi che attualmente vengono richiesti alla smart card (tramite lettore collegato via porta USB), con il nuovo metodo vengono richiesti ad un HSM gestito dalla CA.

Ma come fa la CA ad esporre questi servizi?

Ecco uno schema che descrive (a grandi linee) quella che sarebbe la nuova infrastruttura applicata a sinekarta :

 

Ma in pratica come si applica la firma remota?

Anzichè specificare un PIN per l’accesso alla smart card l’utente deve digitare uno userId ed una password per accedere al servizio di firma digitale remota fornito dalla CA. In più, vista la “debolezza” del semplice user e password, la CA fornisce un OTP (One Time Password), ovvero uno di quegli aggeggini in formato portachiavi che già quasi tutte le banche adottano per proteggere i propri internet banking.

L’utente, per apporre la firma digitale, dovrà  quindi fornire lo user, la password ed il codice fornito dall’OTP. NON sono necessari lettori USB, smart card, driver, ne altri ammennicoli tecnici/tecnologici.

Questo metodo è (dal punto di vista dell’utente) decisamente più semplice!

Ovviamente la valenza legale della firma digitale applicata è la stessa, questo è garantito dalla CA che offre il servizio.

Attualmente non esistono delle regole tecniche normate relative a questo tipo di firma digitale, per questo ogni CA ha implementato un sistema proprietario. Tutte le implementazioni sono basate sul client fornito dalla CA come accessorio per l’apposizione della firma ad un documento.

Ma cosa succederebbe se si potesse “attaccare” a sinekarta una firma digitale remota?

Sarebbe un’evoluzione fantastica!

In pratica sarebbe possibile utilizzare i servizi di sinekarta da qualsiasi dispositivo (nota bene non per forza un PC) che possiede un browser web. La firma digitale sarebbe applicabile senza sforzo tramite IPAD, IPHONE, IPOD, TABLET, SMARTPHONE e qualsiasi dispositivo di ultima generazione!

GRANDE RIVOLUZIONE!!!

Conserviamo i vecchi p7m (2/2)

Nello scorso articolo abbiamo lasciato in sospeso i dettagli tecnici della conservazione dei documenti p7m e di tutti gli altri formati previsti dalla normativa.

Bando alle ciance, avete dovuto aspettare fino ad oggi e non voglio farvi aspettare oltre vediamo i dettagli tecnici.

La funzionalità  di SineKarta che permette la configurazione della tipologia di documenti archiviabili è stata modificata aggiungendo due nuovi campi :

1. Documento già  firmato
2. Necessaria conversione PDF/A

Il primo campo indica a SineKarta che deve gestire i documenti di questa tipologia come documenti già  firmati (es. p7m o m7m o PEC).

Il secondo campo indica a SineKarta che la conversione in PDF/A NON deve essere eseguita.

Visto che un documento già  firmato non puù essere modificato, se selezionate soltanto il primo dei due flag, la conversione non verrà  comunque fatta.

Censire una diversa tipologia di documenti per ciascuna formato potrebbe però non essere sempre la scelta migliore. Per ovviare a questo problema abbiamo definito un aspect (sinekarta:signedDocument) che potete associare al vostro documento.

Se aggiungete in archivio un documento che presenta questo aspect, indipendentemente dalla tipologia assegnata, SineKarta lo considererà  come già  firmato e non lo convertirà  in PDF/A.

Ora avete tutti gli elementi per capire quali sono i retroscena della Conservazione Sostitutiva dei formati diversi dal PDF/A e avete un quadro tecnico preciso di come SineKarta possa supportarvi in questa scelta “delicata”.

Buon lavoro!

Conserviamo i vecchi p7m (1/2)

Come anticipato nel precedente articolo eccoci a parlare della conservazione sostitutiva applicata (tramite SineKarta) a documenti informatici in formato CAdES o XAdES.

Come anticipato nel precedente articolo eccoci a parlare della conservazione sostitutiva applicata (tramite SineKarta) a documenti informatici in formato CAdES o XAdES.

SineKarta è nato con l’obettivo di semplificare la vita agli utenti, per questo, fino ad oggi, abbiamo lavorato solo con i documenti PDF/A (formato PAdES).

Attualmente però il formato più diffuso è il CAdES, legato ai vari p7m, m7m e famiglia.

Qual’è il problema di questi file? La normativa è chiara : un documento informatico deve essere sottoscritto con la firma digitale e NON DEVE contenere macroistruzioni nè codici eseguibili.

Questo significa che il RCS (Responsabile della Conservazione Sostitutiva) deve assicurarsi che i file p7m che porta in archivio siano “documenti informatici”.

Ovvero, parafrasando, è responsabilità  del RCS verificare che i file p7m non contengano macroistruzioni nè codici eseguibili.

Avete idea della quantità  di lavoro che questo comporaterebbe se fatto adeguatamente?

Il formato p7m serve per firmare digitalmete qualsiasi file, volendo potrei firmare degli eseguibili (exe) o dei video (mp4), foto (jpg) per non parlare poi di tutti i documenti legati alle suite *office.

Il solo concetto di foglio elettronico è in antitesi con il concetto di documento informatico; il documento in sè è eseguibile!

A tutto questo aggiungete poi la possibilità  che i documento contenuti nel p7m contengano dei VIRUS, magari dei VIRUS che il vostro antivirus preferito non è ancora in grado di intercettare!

La realtà  è che questo formato è ormai obsoleto, gli strumenti oggi a disposizione sono più evoluti!

Un discorso diverso è da fare invece per il formato XAdES, quello che serve per firmare i documenti XML. Questo è il futuro, non si scappa! Il problema dell’XML (ve lo dico se NON siete informatici) è che la scarsa leggibilità  da parte di un essere unamo. E’ un formato tecnico/informatico non adatto ad essere letto direttamente da un essere umano, se non tramite determinati accorgimenti.

Va bene, ho capito, siete arrivati fin qui con l’obiettivo di capire come procedere nella pratica a conservare questi file con SineKarta. Avete ben chiari quali sono i problemi di questo formato ma DOVETE farlo!

Non così in fretta! Dovrete aspettare il prossimo articolo per sapere come si fa.

Il p7m è morto! Lunga vita al PDF/A! (p.s. o all’XML)

Firma biometrica vs firma digitalizzata

Primo concetto fondamentale da chiarire : la firma autografa digitalizzata non ha nessun valore legale!

Questo dovrebbe essere un concetto chiaro a tutti, spero…

Se firmate un documento a penna (la buona vecchia BIC) e lo fotocopiate, la fotocopia non ha valore legale, solo l’originale ha valenza legale ed è opponibile a terzi. Ovviamente lo stesso discorso vale per i fax e per i documenti digitali (es. PDF contenenti l’immagine della firma).

Nell’ultimo articolo abiamo parlato della soluzione di Intesa San Paolo basata su tablet. E’ importante sottolineare che questi tablet non sono “normali”, ovvero non c’entrano nulla con iPad o simili.

I tablet utilizzati da Intesa San Paolo sono in grado di registrare, oltre al movimento della “penna”, anche il ritmo, la velocità , la pressione e l’accellerazione.

Questi sono i dati utilizzati da un perito calligrafico per stabilire se la firma sia originale; sono personali e specifici di ogni essere umano! Un po’ come l’impronta digitale, vocale o della retina. Questi dati si chiamano dati biometrici della firma, da qui il termine firma biometrica.

Un dispositivo in grado di intercettare e registrare questi dati è anche in grado di “riconoscere” se due firme appartengano alla stessa persona. Ovviamente questo tipo di algoritmi non è “assolutamente sicuro”, nessuna firma è uguale e la firma cambia con l’età , diciamo semplicemente che ci sono dei “margini di errore”.

Ma come si trasformano questi dati in una firma digitale? Non conosco le specifiche tecniche delle varie soluzioni, ma, secondo me, più o meno lavorano così :

Il tablet produce, a fronte della firma di Mario Rossi, un codice derivato dai dati biometrici. Questo codice è univocamente associato a Mario. Il codice viene passato ad un HSM sul quale è memorizzato il certificato privato di firma dell’untete Mario Rossi, tramite l’HSM vengono eseguite tutte le operazione crittografiche (esattamente come sul lettore di smart card).

Siamo abbituati ad avere il certificato di firma sulla smart card, utilizzabile tramite PIN; con questo sistema il certificato non è sulla smart card ma sull’HSM, il PIN è sostitutito dai dati biometrici della firma.

Per approfondimenti vi consiglio di leggere questo articolo.