Sinekarta su ipad: ci stiamo lavorando!


In questi giorni ho avuto modo di approfondire un argomento che per molti è già  molto chiaro, ma che io non avevo ancora studiato.

Molte CA accreditate, davanti a tutti Aruba, forniscono un servizio di firma digitale che non necessita della smart card : la firma digitale remota.

Come funziona questo sistema?

Entrambi i tipi di firma digitale si basano sullo stesso tipo di algoritmo a chiave asimmetrica (chiave pubblica e chiave privata), quello che cambia è il dispositivo in cui viene memorizzata la chiave privata.

Con la buona vecchia smart card, la chiave privata è memorizzata nella smart card (o token USB); gli algoritmi crittografici vengono eseguiti dal processore presente nella smart card.

In un precedente articolo abbiamo parlato dell’infrastrutura necessaria per poter usufruire dei servizi della smart card attraverso il lettore. Utilizzando la firma digitale remota questa infrastruttura non è più valida perchè non esiste più una smart card.

Nel caso della firma digitale remota, la chiave privata è memorizzata in un HSM (Hardware Security Module) che è gestito dal fornitore della firma digitale. I servizi che attualmente vengono richiesti alla smart card (tramite lettore collegato via porta USB), con il nuovo metodo vengono richiesti ad un HSM gestito dalla CA.

Ma come fa la CA ad esporre questi servizi?

Ecco uno schema che descrive (a grandi linee) quella che sarebbe la nuova infrastruttura applicata a sinekarta :

 

Ma in pratica come si applica la firma remota?

Anzichè specificare un PIN per l’accesso alla smart card l’utente deve digitare uno userId ed una password per accedere al servizio di firma digitale remota fornito dalla CA. In più, vista la “debolezza” del semplice user e password, la CA fornisce un OTP (One Time Password), ovvero uno di quegli aggeggini in formato portachiavi che già quasi tutte le banche adottano per proteggere i propri internet banking.

L’utente, per apporre la firma digitale, dovrà  quindi fornire lo user, la password ed il codice fornito dall’OTP. NON sono necessari lettori USB, smart card, driver, ne altri ammennicoli tecnici/tecnologici.

Questo metodo è (dal punto di vista dell’utente) decisamente più semplice!

Ovviamente la valenza legale della firma digitale applicata è la stessa, questo è garantito dalla CA che offre il servizio.

Attualmente non esistono delle regole tecniche normate relative a questo tipo di firma digitale, per questo ogni CA ha implementato un sistema proprietario. Tutte le implementazioni sono basate sul client fornito dalla CA come accessorio per l’apposizione della firma ad un documento.

Ma cosa succederebbe se si potesse “attaccare” a sinekarta una firma digitale remota?

Sarebbe un’evoluzione fantastica!

In pratica sarebbe possibile utilizzare i servizi di sinekarta da qualsiasi dispositivo (nota bene non per forza un PC) che possiede un browser web. La firma digitale sarebbe applicabile senza sforzo tramite IPAD, IPHONE, IPOD, TABLET, SMARTPHONE e qualsiasi dispositivo di ultima generazione!

GRANDE RIVOLUZIONE!!!

Conserviamo i vecchi p7m (2/2)


Nello scorso articolo abbiamo lasciato in sospeso i dettagli tecnici della conservazione dei documenti p7m e di tutti gli altri formati previsti dalla normativa.

Bando alle ciance, avete dovuto aspettare fino ad oggi e non voglio farvi aspettare oltre vediamo i dettagli tecnici.

La funzionalità  di SineKarta che permette la configurazione della tipologia di documenti archiviabili è stata modificata aggiungendo due nuovi campi :

  1. Documento già  firmato
  2. Necessaria conversione PDF/A

Il primo campo indica a SineKarta che deve gestire i documenti di questa tipologia come documenti già  firmati (es. p7m o m7m o PEC).

Il secondo campo indica a SineKarta che la conversione in PDF/A NON deve essere eseguita.

Visto che un documento già  firmato non puù essere modificato, se selezionate soltanto il primo dei due flag, la conversione non verrà  comunque fatta.

Censire una diversa tipologia di documenti per ciascuna formato potrebbe però non essere sempre la scelta migliore. Per ovviare a questo problema abbiamo definito un aspect (sinekarta:signedDocument) che potete associare al vostro documento.

Se aggiungete in archivio un documento che presenta questo aspect, indipendentemente dalla tipologia assegnata, SineKarta lo considererà  come già  firmato e non lo convertirà  in PDF/A.

Ora avete tutti gli elementi per capire quali sono i retroscena della Conservazione Sostitutiva dei formati diversi dal PDF/A e avete un quadro tecnico preciso di come SineKarta possa supportarvi in questa scelta “delicata”.

Buon lavoro!

Conserviamo i vecchi p7m (1/2)


Come anticipato nel precedente articolo eccoci a parlare della conservazione sostitutiva applicata (tramite SineKarta) a documenti informatici in formato CAdES o XAdES.

Come anticipato nel precedente articolo eccoci a parlare della conservazione sostitutiva applicata (tramite SineKarta) a documenti informatici in formato CAdES o XAdES.

SineKarta è nato con l’obettivo di semplificare la vita agli utenti, per questo, fino ad oggi, abbiamo lavorato solo con i documenti PDF/A (formato PAdES).

Attualmente però il formato più diffuso è il CAdES, legato ai vari p7m, m7m e famiglia.

Qual’è il problema di questi file? La normativa è chiara : un documento informatico deve essere sottoscritto con la firma digitale e NON DEVE contenere macroistruzioni nè codici eseguibili.

Questo significa che il RCS (Responsabile della Conservazione Sostitutiva) deve assicurarsi che i file p7m che porta in archivio siano “documenti informatici”.

Ovvero, parafrasando, è responsabilità  del RCS verificare che i file p7m non contengano macroistruzioni nè codici eseguibili.

Avete idea della quantità  di lavoro che questo comporaterebbe se fatto adeguatamente?

Il formato p7m serve per firmare digitalmete qualsiasi file, volendo potrei firmare degli eseguibili (exe) o dei video (mp4), foto (jpg) per non parlare poi di tutti i documenti legati alle suite *office.

Il solo concetto di foglio elettronico è in antitesi con il concetto di documento informatico; il documento in sè è eseguibile!

A tutto questo aggiungete poi la possibilità  che i documento contenuti nel p7m contengano dei VIRUS, magari dei VIRUS che il vostro antivirus preferito non è ancora in grado di intercettare!

La realtà  è che questo formato è ormai obsoleto, gli strumenti oggi a disposizione sono più evoluti!

Un discorso diverso è da fare invece per il formato XAdES, quello che serve per firmare i documenti XML. Questo è il futuro, non si scappa! Il problema dell’XML (ve lo dico se NON siete informatici) è che la scarsa leggibilità  da parte di un essere unamo. E’ un formato tecnico/informatico non adatto ad essere letto direttamente da un essere umano, se non tramite determinati accorgimenti.

Va bene, ho capito, siete arrivati fin qui con l’obiettivo di capire come procedere nella pratica a conservare questi file con SineKarta. Avete ben chiari quali sono i problemi di questo formato ma DOVETE farlo!

Non così in fretta! Dovrete aspettare il prossimo articolo per sapere come si fa.

Il p7m è morto! Lunga vita al PDF/A! (p.s. o all’XML)

Ora conserviamo anche la PEC


Dalla versione 2.0 rc2 di sinekarta è stata introdotta la possibilità  di conservare a norma anche la PEC.

La storia di questa release è stata parecchio intricata, prima di arrivare all’oggetto dell’articolo è opportuno fare un po’ di luce su quanto è accaduto nell’ultimo mese. La settimana prima di Natale è uscita la terza release di Alfresco 4.0 (la c) che ci ha costretto a modificare i nostri piani per anticiparne la gestione.

Con la versione 4.0 di Alfresco Share l’estensibilità  è stata migliorata MOLTO, ma alcuni tipi di plugin (SineKarta purtroppo era uno di questi) sono diventati incompatibili.

Potevamo decidere di completare l’integrazione di Share sulla versione 3.4 (con la certezza di doverci rimettere le mani) oppure lasciare perdere e scrivere codice compatibile direttamente con la versione 4.0. Inutile dirlo, abbiamo optato per la seconda strada; il problema è stato che alcune delle funzionalità  di Alfresco che abbiamo utilizzato non sono ancora documentate, abbiamo dovuto sudare sette camice.

Quando abbiamo finito gli sviluppi per “tradurre” le funzionalità  esistenti, ci siamo resi conto che il tempo rimasto NON ci sarebbe bastato per colpire gli obiettivi del piano originale, abbiamo dovuto ripianificare. Abbiamo scelto quindi di dare priorità  ad una funzione il cui rilascio era previsto per metà  Febbraio: la conservazione di documenti firmati digitalmente non in formato PAdES, quindi diversi da PDF/A.

Le PEC sono documenti firmati (non sottoscritti) dalla CA che fornisce la casella, per questo vanno conservati a norma. L’RCS deve però tenere in considerazione un fattore importante andando a gestire questa tipologia di documenti : il formato del messaggio e-mail che viene portato in conservazione.

Potete connettere Alfresco direttamente alla casella di posta oppure potete “copiare manualmente” i messaggi di posta elettonica dal vostro client. In questo secondo caso ricordate che non tutti i fornati con cui esportate il messaggio sono validi.

L’obiettivo principale della nuova funzione è di gestire la conservazione sostitutiva dei messaggi PEC, ma tramite questa nuova funzione potrete conservare anche file p7m, m7m e tutti gli altri formati (CAdES e XAdES) previsti dalla normativa.

Nel prossimo articolo approfondiremo gli aspetti legati a questa nuova funzionalità .

Alcune riflessioni riguardo la conservazione delle PEC le potete trovare qui : http://www.linkedin.com/groups/Non-aprite-quella-PEC-Sottotitolo-3725002.S.80491741?trk=group_search_item_list-0-b-ttl&goback=.gna_3725002

Conservazione Sostitutiva in outsourcing : una scelta da fare con la testa (seconda parte)


All’interno di Jenia Software io seguo gli aspetti tecnici e tecnologici riguardanti il progetto SineKarta mentre un’altro Andrea (no, non ci chiamiamo tutti Andrea…) segue gli aspetti commerciali.

Andrea ha molto criticato il mio articolo di metà  Novembre che parlava dei servizi di Conservazione Sostitutiva in outsourcing.

Da buon commerciale mi ha indicato almeno altri tre motivi per i quali una soluzione in outsourcing ad oggi è da valutare con MOLTA attenzione.

Il primo motivo è facile da spiegare, basta citare il famosodecreto Bersani, quello che costringe gli operatori di telefonia a “prevedere la facoltà  del contraente di recedere dal contratto o di trasferire le utenze presso altro operatore senza vincoli temporali o ritardi non giustificati e senza spese non giustificate da costi dell’operatore e non possono imporre un obbligo di preavviso superiore a trenta giorni“.

Un decreto del genere applicato alla Conservazione Sostitutiva semplicemente NON ESISTE!

Quando e se vorrete cambiare outsourcer, sarete costretti a subire (e pagare) le prepotenze dell’outsourcer che state dismettendo. Vi garantisco che tutelarsi contrattualmente da questa possibilità  non è affatto facile.

Il secondo motivo non è altrettanto facile da spiegare e riguarda la filosofia con cui viene proposto SineKarta.

I progetti basati su software open source partono dal presupposto di spostare i costi dalla licenza alle attività  progettuali. Chi, come noi, sposa questa filosofia chiede ai propri possibili clienti di fare uno sforzo per cambiare mentalità .

Noi non vendiamo una torta già  fatta, quella la potete comperare sullo scaffale del supermercato.

Noi vendiamo la ricetta, un corso di cucina e vi aiutamo a cucinare la prima torta.

Cosa pensate sia meglio?

Verrebbe la tentazione di dire la prima, è più veloce e meno laboriosa.

In realtà  il rapporto qualità /prezzo è MOLTO sbilanciato a favore della seconda!

Perchè se anche il primo anno il costo delle due diverse soluzioni potrebbe essere simile, dal secondo anno in poi la seconda soluzione non costa praticamente nulla, mentre la prima… una nuova torta, una nuova fattura.

Inoltre la ricetta della torta fatta in casa può essere modificata a piacere, dipendentemente dalle varie necessità  (allergie varie, celiachia, etc…) mentre la torta confezionata è difficilmente personalizzabile.

Se avete chiaro questo concetto, capirete anche perchè una soluzione in outsourcing non possa essere facilmente personalizzata. In un progetto in outsourcing le attività  progettuali vengono, gioco forza, ridotte al minimo.

Ultimo fattore da considerare è la spesa : tipicamente i costi di un servizio in outsourcing dipendono dal numero di documenti conservati.

Tenete presente che se conservate 100 documenti l’anno, il primo anno pagherete per 100 documenti, il secondo per 200, il terzo per 300, etc…

Aspettatevi però di avere una crescita esponenziale, non lineare. Una volta che avrete potuto toccare con mano i benefici della Conservazione Sostitutiva, sarete tentati di portare in Conservazione sempre più documenti.