Post on 25-Jun-2015
description
Introduzione
alla
firma digitale
StudioDialogos.net Nicola Da Rold
La firma digitale
Garantisce l'identità del sottoscrittore di un documento
Garantisce l'istante di sottoscrizione
Garantisce da eventuali modifiche successive alla sottoscrizione
StudioDialogos.net Nicola Da Rold
Come funziona?
Ogni titolare di firma digitale è dotato di un certificato, contenuto in smart-card o token USB
Il certificato è unico e univoco
Attraverso operazioni matematiche tra documento e certificato si ottiene l'impronta del documento firmato. Anche questa è univoca
StudioDialogos.net Nicola Da Rold
Firma forte e firma leggera
La firma leggera non soddisfa tutti i requisiti per essere legalmente valida
Motivo più comune è che il certificato non proviene da un ente certificatore qualificato
La firma leggera è probante, quella forte è probatoria
StudioDialogos.net Nicola Da Rold
Valore legale nel tempo
DPR 513/97: ha efficacia di scrittura privata. Equiparata a firma autografa
D.Lgs 10/2002: fa piena prova. Per essere annullata il sottoscrittore deve fare querela di falso
D.Lgs 82/2005: torna equiparata a firma autografa. Non serve querela di falso per annullarne gli effetti
StudioDialogos.net Nicola Da Rold
Obblighi di custodia
Può essere usata solo dal titolare
Lo smarrimento deve essere tempestivamente denunciato alle autorità competenti
Vige l'obbligo di conservare il PIN in modo sicuro e segreto. La perdita della sua segretezza va denunciata tempestivamente
Non si conservi il PIN insieme alla smartcard (o al token USB)
StudioDialogos.net Nicola Da Rold
Validità nal tempo
Il documento firmato non ha scadenza
Il certificato della firma ha invece scadenza (o può essere revocato o annullato prima della scadenza)
La verifica controlla che al momento della firma il certificato fosse valido
L'istante della firma viene certificato dalla marca temporale
StudioDialogos.net Nicola Da Rold
Firmare un documento
Collegare la smartcard o il token USB contenente il certificato
Aprire il software di firma
Selezionare il/i file da firmare con il software di firma
Avviare la firma. Quando richiesto digitare il PIN del dispositivo di firma
StudioDialogos.net Nicola Da Rold
Risultato della firma
Si ottiene, di norma, un file .p7m
Il .p7m è un “contenitore” che raggruppa sia il documento che “l'impronta” dello stesso firmato con il certificato digitale
Un file p7m può essere aperto con un software di firma (o con un software di verifica)
StudioDialogos.net Nicola Da Rold
Altri formati per i documenti firmati
E' possibile includere la firma digitale in un documento .pdf, se dotati del software per generarlo correttamente firmato
Nulla vieta di creare un .p7m da un file PDF usando il normale software di firma
Per altre applicazioni è possibile associare la firma e il documento in un file in formato XML
StudioDialogos.net Nicola Da Rold
Cosa posso firmare?
Potenzialmente qualsiasi file, sia esso un documento, una fotografia ma anche un programma eseguibile (sempre che la
cosa abbia senso pratico)
Il documento da firmare non deve contenere macro (es. il campo data)
Per ragioni di archiviazione sostitutiva, cercare di usare formati standard (testo semplice, PDF/A, OpenDocument Format (.odf), ...)
StudioDialogos.net Nicola Da Rold
Verifica: cosa mi garantisce?
Garantisce l'identità del sottoscrittore
Garantisce che il documento non sia stato modificato dopo la sottoscrizione
Se presente la marca temporale, garantisce l'istante di sottoscrizione
E' operazione fondamentale nel caso di ricezione di documenti sottoscritti digitalmente, al fine di accettarli
StudioDialogos.net Nicola Da Rold
Come effettuare la verifica
Aprire il software di firma/verifica
Selezionare il documento da verificare (file p7m)
Avviare la procedura di verifica e vedere il risultato
Esistono servizi web per la verifica(es. https://postecert.poste.it/verificatore/servletverificatorep7m?tipoOp=10 )
StudioDialogos.net Nicola Da Rold
Perchè può fallire la verifica?
Il documento può essere stato modificato dopo la firma
Al momento della firma il certificato poteva essere scaduto o revocato
L'Autorità di Certificazione (che ha emesso il certificato) non è ufficiamente riconosciuta e inclusa nell'Elenco Pubblico dei
Certificatori( http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatori-attivi )
StudioDialogos.net Nicola Da Rold
La marca temporale
Associa una data/ora al documento. E' un complemento della firma digitale
Per gli enti pubblici la protocollazione ha lo stesso valore legale
La Posta Elettronica Certificata offre la stessa garanzia, se vi allego il documento firmato digitalmente
StudioDialogos.net Nicola Da Rold
Collegamenti utili
DigitPA – Firma digitalehttp://www.digitpa.gov.it/firme-elettroniche-certificatori
DigitPA – Guida alla firma digitalehttp://www.digitpa.gov.it/sites/default/files/GuidaFirmaDigitale2009_a_0_0_0.pdf
Elenco pubblico dei certificatorihttp://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatori-attivi
Servizio online di verifica documenti firmati di Poste Italianehttps://postecert.poste.it/verificatore/servletverificatorep7m?tipoOp=10
StudioDialogos.net Nicola Da Rold