Progetto

Progetto C3T-Awareness

Le applicazioni per la firma digitale

mark_paper

La firma digitale è il risultato di una procedura informatica basata su tecniche crittografiche che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico, ovvero ad un altro insieme di bit che rappresenta fatti, atti o dati giuridicamente rilevanti. E’ indispensabile per conferire validità legale ai documenti digitali in una serie di contesti come la sottoscrizione di contratti, di dichiarazioni o di atti amministrativi nel pubblico e nel privato.

DISPOSITIVI DI FIRMA

La firma digitale si ottiene dai prestatori di servizi fiduciari presenti in una serie di elenchi di fiducia gestiti dai singoli stati membri europei.

Esistono diversi prodotti di firma digitale ed essi sono generalmente costituiti da un device, solitamente una smart card, che contiene un certificato di firma digitale rinnovabile ed un dispositivo che serve per leggere la smart card.

smart-card

Inoltre, sul mercato è possibile trovare da un po’ di anni anche un kit che è costituito da una chiavetta USB che include il certificato di firma digitale (solitamente inserito in una sim card poi inserita all’interno della chiavetta.

usb-token

Infine, esistono dispositivi di firma digitale remota che permettono di firmare documenti, anche massivamente, grazie alle soluzioni in cloud. Operano mediante dei dispositivi di firma che sono virtuali e che possono essere accessibili solo mediante sistemi di accesso “sicuro” con dispositivi fisici che forniscono delle password usa e getta mediante una chiavetta OTP (simili a quelli utilizzati dalle banche), o app per smartphone o messaggi sms.

otp

In pratica, bisogna quindi rivolgersi a uno dei provider qualificati per ottenere il kit di installazione e i relativi dettagli sulla procedura.

Le azioni da fare per chi vuole iniziare ad utilizzare una firma digitale sono:

  • individuare uno dei provider che vendono i kit di firma digitale
  • essere identificati da un pubblico ufficiale
  • attivare il kit acquistato usando le differenti procedure
  • usare il software specifico per apporre la propria firma digitale su un certo documento

COME FIRMARE

Per firmare, il titolare utilizza un software che iniziata la procedura di firma e calcola l’impronta digitale del documento tramite la cosiddetta funzione di hash (a documento diverso corrisponde un’impronta diversa). La lunghezza dell’impronta allo stato dell’arte deve essere di 256 bit.

Predisposta l’impronta, il software la invia all’ ”ambiente sicuro” dove è custodita la chiave privata (dispositivo di firma). Questa, per essere attivata, deve validare il PIN inserito dal titolare. A questo punto il dispositivo di firma procede alla cifratura dell’impronta del documento con la chiave privata. Il risultato dell’operazione è la firma digitale del documento. E’ indispensabile associare la firma al documento e questo avviene attraverso specifici formati. Per esempio se utilizziamo il PDF il formato è denominato PAdES.

COME VERIFICARE

Per verificare la firma, il destinatario utilizza uno specifico software che estrae la chiave pubblica dal certificato del titolare. Spacchetta il file con documento e firma. Ricalcola l’impronta e decifrando con la chiave pubblica la firma del titolare può verificare se l’impronta del mittente e quella ricalcolata dal destinatario sono identiche. In caso positivo la firma è valida. Nell’ altro caso la firma non è valida e bisogna indagare sullo specifico che ha determinato l’errore.

SOFTWARE

Per quanto riguarda gli ambienti software per apporre firme digitali va fatta una netta distinzione tra quelle soluzioni che non hanno valore legale (come ad esempio Acrobat Reader DC, FastStone Photo Resizer o DigiSigner) e quelle invece con valore legale.

Tra le soluzioni più usate con valore legale ricordiamo Aruba Key. Dopo essersi rivolti all’ azienda di riferimento (Aruba) per la consegna e l’attivazione del kit necessario, è necessario scaricare i driver e avvalersi del software dal rispettivo sito.

A software avviato normalmente si ha un’icona cliccabile per l’applicazione della firma digitale. Dopo averla cliccata, verrà richiesto di scegliere il file da firmare, inserire il PIN del dispositivo di firma del kit ed infine il tipo di firma da applicare.

Solitamente, i tipi di firma disponibili sono i seguenti:

  • Busta crittografica P7M (CAdES) – crea un nuovo file in formato P7M che contiene il documento originale e i file della firma digitale. Si può applicare a tutti i tipi di documenti.
  • Firma PDF – crea un file PDF con firma inclusa, la quale può essere invisibile o grafica.
  • Firma XML (XAdES) – crea un nuovo file in formato P7M. Applicabile a tutti i tipi di documenti.

Dopo aver apposto la firma, i documenti possono essere verificati tramite l’apposita funzionalità annessa al software.

AMBIENTE SICURO

L’efficacia delle firme digitali è garantita se c’è un legame indissolubile tra il firmatario e la sua chiave privata. Paradossalmente, lo schema della firma digitale, deve proteggere la chiave privata dell’utente dall’utente stesso!

Un malintenzionato potrebbe far trapelare la sua chiave privata e ripudiare che egli abbia firmato un certo documento che in realtà ha effettivamente firmato.

Per ovviare a questo problema entra in gioco il dispositivo fidato (che prende il nome di “ambiente sicuro”) la cui funzione è appunto quella di stabilire un forte legame tra l’utente e la sua chiave privata. È importante dunque che l’utente abbia cura del dispositivo di firma fornitogli e che sia scrupoloso nel suo uso.

Tale dispositivo farà in modo di autenticare l’utente al momento effettivo della firma; inoltre, l’applicazione di un “timestamp” (data e ora precise della firma) farà in modo di non sollevare nessun problema di ripudiabilità.

-- scarica la brochure --