Servizio di Firma Grafometrica - Caprino Veronese Progetto di firma grafometria per assegnazione SIM...

Servizio di Firma

Grafometrica

Aruba PEC S.p.A.

Redatto da: Marco Capelli

Data: 08/08/2018

Versione: 1.0

Aruba PEC S.p.A. VIA SAN CLEMENTE 53 24036 PONTE SAN PIETRO (BG) Tel. +39 0575.050.350 – FAX +39 0575.862.350 www.pec.it

Capitale Sociale € 6.500.000,00 i.v. REA: 445886 Codice Fiscale 01879020517 Partita IVA 01879020517 R.E.A. 436479

Sommario_____________________________________________________________________________

1 INTRODUZIONE ................................................................................................................................. 3

1.1 PRESENTAZIONE DI ARUBA PEC ................................................................................................................... 3

1.2 REFERENZE ............................................................................................................................................... 4

2 DESCRIZIONE DEL SERVIZIO DI FIRMA GRAFOMETRICA ....................................................................... 6

2.1 DESCRIZIONE GENERALE ............................................................................................................................. 6

2.2 NORMATIVA DI RIFERIMENTO ...................................................................................................................... 7

2.3 COS’È LA FIRMA GRAFOMETRICA ................................................................................................................. 7

2.4 FIRMA GRAFOMETRICA COME PROCESSO DI FEA ............................................................................................ 8

2.4.1 Obblighi a carico dei soggetti erogatori del servizio di Firma Elettronica Avanzata Grafometrica .................................................................................................................................................... 10

2.5 LA FIRMA GRAFOMETRICA IN UN PROCESSO DI FEA ...................................................................................... 10

2.5.1 Compliance Normativa ............................................................................................................... 12

3 CARATTERISTICHE DELLA SOLUZIONE PROPOSTA ............................................................................. 15

3.1 SCENARIO DI UTILIZZO .............................................................................................................................. 15

3.1.1 Applicazione Client Desktop ........................................................................................................ 16

3.2 PROTEZIONE DEI DATI BIOMETRICI .............................................................................................................. 17

4 ARCHITETTURA E CARATTERISTICHE DELLA SOLUZIONE .................................................................... 18

4.1 TABLET/PAD MANAGER – STANDARD BIOMETRICI UTILIZZATI ........................................................................ 18

4.2 PDF MANAGER E GESTIONE PDF ............................................................................................................... 20

4.3 PROCESSO APPLICATIVO LOGICO ................................................................................................................ 21

4.3.1 Formato del documento .............................................................................................................. 23

4.3.2 Acquisizione vettori grafometrici ................................................................................................ 24

4.3.3 Creazione del G-blob ................................................................................................................... 25

4.3.4 Firma d’integrità ......................................................................................................................... 27

4.3.5 Memorizzazione sicura del documento....................................................................................... 27

4.3.6 Chiusura del documento con Firma Digitale Qualificata ............................................................ 29

Indice delle Figure___________________________________________________________________________________

FIGURA 1: FIRMA GRAFOMETRICA .................................................................................................................... 7 FIGURA 2: PROCESSO APPLICATIVO/LOGICO (FEA) ......................................................................................... 11 FIGURA 3: AGI CLIENT ...................................................................................................................................... 16 FIGURA 4: ARCHITETTURA LOGICA .................................................................................................................. 18 FIGURA 5: PROCESSO APPLICATIVO LOGICO ................................................................................................... 21 FIGURA 6: PROCESSO CIFRATURA G-BLOB ...................................................................................................... 26 FIGURA 7: FIRMA D’INTEGRITÀ ....................................................................................................................... 27 FIGURA 8: CIFRATURA DOCUMENTO .............................................................................................................. 28

Indice delle Tabelle__________________________________________________________________________________

TABELLA 1: REFERENZE ARUBA PEC .................................................................................................................. 5 TABELLA 2: FIRMA GRAFOMETRICA - REQUISITI DI SICUREZZA ........................................................................ 9 TABELLA 3: COMPLIANCE NORMATIVA ........................................................................................................... 14 TABELLA 4: STRUTTURA DATI ISO .................................................................................................................... 19

Aruba PEC S.p.A. – Via San Clemente, 53 – 24036 Ponte San Pietro (BG)

of 29



1 Introduzione Il presente documento descrive la soluzione tecnica di Firma Grafometrica proposta da Aruba PEC, con particolare riferimento alle caratteristiche tecnologiche utilizzate e di come queste permettono di ottemperare ai requisiti previsti dalla normativa vigente ed in particolare la DPCM 22 febbraio 2013.

1.1 Presentazione di Aruba PEC

Aruba PEC S.p.A. fondata nel 2006 ben presto è diventata azienda leader nel mercato italiano per servizi quali Conservazione sostitutiva, Posta Elettronica Certificata, Firma digitale, Firma Remota e grafometrica e Marca temporale. Aruba PEC S.p.A. offre una gamma completa di prodotti e servizi e-Security rivolgendosi ad un’utenza business, sia privata che pubblica. Fanno parte del nostro portafoglio clienti società di tutti i settori, Ministeri, Banche, Enti Sanitari, Regioni, Province, Comuni, Università e Associazioni di Categoria. Al momento, risultano attivate presso il Gruppo Aruba 3.950.000 caselle di Posta Elettronica Certificata, sono state emesse oltre 2.500.000 Firme Digitali e prodotte oltre 31.000.000 di Tessere Sanitarie (TS-CNS) su tutto il territorio nazionale. Grandi risultati che testimoniano l’acquisizione di una sempre crescente competenza nell’ambito dell’e-Security. Le soluzioni Aruba PEC sono disponibili sia attraverso offerte standard, fruibili tramite self-provisioning dai siti internet, quindi attivabili online, sia attraverso soluzioni su misura, sviluppate in base alle esigenze di ciascun cliente. Tutte le soluzioni sono erogate da Data Center proprietari che si contraddistinguono per criteri di eccellenza tecnica garantiti dal possesso di alcune delle principali certificazioni in materia di sicurezza ed efficienza, nonché dalla corrispondenza delle strutture ai massimi standard di affidabilità in termini di uptime secondo gli standard internazionali.

Aruba PEC è Gestore accreditato di Posta Elettronica Certificata dal 12/10/2006 ed è Autorità di Certificazione per la Firma Digitale, iscritta all' Elenco Pubblico dei Certificatori tenuto dall’Agenzia per l’Italia Digitale, dal 06/12/2007. Aruba PEC ha inoltre ottenuto, in data 02/12/2014, l’accreditamento presso l’elenco dei conservatori tenuto dalla stessa AgID ed il 14 luglio 2016 è stata accreditata come Identity Server Provider ed è stata di conseguenza abilitata all’emissione del servizio SPID. È prestatore di servizi fiduciari qualificati per (i) emissione di validazione temporale e autorità di certificazione (ii) identificazione digitale spid (iii) servizi di conservazione a norma ed è presente nelle relative liste pubblicate da AgID a secondo quanto previsto nel Regolamento UE 910/2014 (c.d. “Regolamento eIDAS”). Certificazioni

Aruba PEC S.p.A. ha conseguito la certificazione ISO 27001:2013 per la sicurezza delle informazioni per i seguenti ambiti di applicazione: Progettazione, sviluppo ed erogazione servizi di: posta elettronica convenzionale e certificata (PEC); firma digitale e firma qualificata, Firma Grafometrica e altre soluzioni tecnologiche di firma elettronica avanzata, firma remota; servizi di Certification Authority e personalizzazione di carte a microprocessore (smart card); Conservazione digitale sostitutiva; Backup e Disaster recovery e relativa assistenza specialistica; gestione e manutenzione dei server, postazione di lavoro, reti informatiche e relativi apparati e sistemi di sicurezza logica. Emissione e gestione di “identità digitale” e delle relative credenziali di autenticazione per l’accesso ai servizi “SPID” in qualità di Identity Provider. Aruba PEC S.p.A. ha conseguito inoltre anche la certificazione di qualità ISO 9001:2015 per i seguenti ambiti di applicazione: Progettazione, sviluppo ed erogazione servizi di: posta elettronica convenzionale e certificata (PEC); firma digitale e firma qualificata, Firma Grafometrica e altre soluzioni tecnologiche di firma elettronica


of 29



avanzata, firma remota; servizi di Certification Authority; infrastrutture a chiave pubblica PKI o attinenti alla sicurezza informatica; Conservazione digitale sostitutiva; Backup e Disaster recovery; consulenza in ambito ICT e relativa assistenza specialistica anche tramite Call Center. Produzione e personalizzazione di carte a microprocessore (Smart Card). Commercializzazione, installazione e assistenza di prodotti hardware e software attinenti alla sicurezza informatica. Emissione e gestione di “identità digitale” e delle relative credenziali di autenticazione per l’accesso ai servizi “SPID” in qualità di Identity Provider.

1.2 Referenze

Di seguito si riportano le principali referenze di Aruba per forniture paragonabili a quella in oggetto:

Esperienza Descrizione

Notartel

Progetto per la fornitura di una piattaforma di Gestione dell’Atto Informatico Notarile basata sull’uso ibrido di Firme Grafometriche e Firme Elettroniche Qualificate. Piattaforma desktop e Web utilizzata destinata a oltre 5000 studi notarili.

RFI Direzione Sanità

Progetto di firma grafometria dei pazienti per cartella clinica dematerializzata. Integrazione con work flow di gestione cartella clinica. Superamento Verifica preliminare Garante per soluzione FEA RFI.

WIND Progetto di firma grafometria per assegnazione SIM dipendenti Wind. In corso di delivery

CGN Firma Grafometrica dei documenti 730 ed altri dei CAF e commercialisti associati (oltre 20.000)

Decathlon

Firma Grafometrica utilizzata per La sottoscrizione dei documenti per le assunzioni. Procedura di firma Grafometrica e Conservazione Digitale integrata nei processi decathlon.

Trenitalia Progetto di Frima Grafometrica relativo al reso riguardante i biglietti ferroviari.

Banca IFIS Progetto di Firma Grafometrica per la sottoscrizione di contratti per il Recupero Crediti.

Partecipazione ad Assocertificatori

Actalis/Aruba è membro di Assocertificatori l'associazione italiana dei Certificatori Accreditati. La presenza in questa associazione, membro di Confindustria, ha assicurato e assicura un ruolo di interlocutore privilegiato con gli organismi pubblici (AgID) in carico della definizione delle norme e delle regole che vigono nel contesto della firma elettronica in tutte le sue varianti.

Partecipazione al Comitato Tecnico di Assocertificatori per la Firma Elettronica e per la PEC

Questo comitato si occupa di contribuire alla redazione delle norme e degli standard tecnologici nazionali relativi alla firma elettronica e a garantire l'interoperabilità tra gli associati.

Partecipazione ad AIFAG,

Actalis/Aruba è membro di AIFAG l'Associazione Italiana di Firma Elettronica Avanzata, Biometrica e Grafometrica. Tale presenza ha visto i rappresentanti di ArubaPEC svolgere un ruolo attivo sui vari tavoli di lavoro mettendo a fattor comune il Know how maturato e le esperienze fatte nei progetti di firma grafometrica e più in generale di firma elettronica avanzata.


of 29



Membership ETSI (European Telecommunication Standards Institute)

Fino al 2011, con una importante partecipazione nel comitato ESI (Electronic Signature Initiative). ESI si occupa, anche per conto della Commissione Europea, della definizione degli standard tecnologici relativi alla firma elettronica e, più in generale, alle tematiche di sicurezza derivanti dalla smaterializzazione dei documenti cartacei.

Partecipazione Plugtest ETSI Actalis/Aruba partecipa regolarmente ai test di interoperabilità europei organizzati dall'ETSI. (http://www.etsi.org/Website/OurServices/Plugtests/home.aspx)

Tabella 1: Referenze Aruba PEC

http://www.etsi.org/Website/OurServices/Plugtests/home.aspx


of 29



2 Descrizione del servizio di Firma Grafometrica

2.1 Descrizione generale La firma autografa è da tempo la modalità più usata e conosciuta per sottoscrivere i documenti cartacei. Questo perché la firma è sinonimo di esplicita volontà e, pertanto, quando viene applicata a documenti con rilevanza giuridica (accordi, contratti etc.) palesa l’intenzione del sottoscrittore ad assumere gli obblighi (o essere comunque concorde) con quanto riportato nel documento sottoscritto. Il legislatore italiano si è recentemente occupato di trasferire su supporto elettronico/informatico questa consuetudine emanando una serie di disposizioni normative dirette ad individuare i criteri di collegamento fra le tecnologie disponibili e quanto previsto dal Codice Civile in tema di efficacia probatoria dei documenti e forma degli atti. Tra questi l’intervento normativo più importante è sicuramente rappresentato dal D.Lgs. 30 dicembre 2010, n. 235, “Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell’amministrazione digitale, a norma dell’art. 33 della legge 18 giugno 2009, n. 69” e particolare interesse è rivestito dalla previsione di un nuovo tipo di firma che può essere apposta con mezzi informatici: la firma elettronica avanzata. Il Legislatore, nel definirla, non ne precisa le caratteristiche tecniche, lasciando aperta la strada all’utilizzo di metodi diversi per apporre tale firma, partendo dall’impiego di codici di identificazione personali per arrivare a tecniche di tipo biometrico. La firma elettronica avanzata (FEA) viene definita, nel CAD (art. 1, comma 1°, lett. q-bis), come “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Come si può facilmente intuire rientrano certamente fra questi mezzi, ad esempio, le “One Time Password” basate su token fisici o le soluzioni di firma grafometrica realizzate con l’ausilio di specifici tablet. Fra le possibili tipologie di firma elettronica avanzata, quella basata su tecniche grafometriche appare più sicura di quella basata su di un codice personale o token, i quali potrebbero essere utilizzati all’insaputa del legittimo possessore. Questo è uno dei motivi principali per cui viene scelta in molti contesti. A ciò si aggiunga poi la comodità d’utilizzo unita al fatto che i documenti firmati con firma grafometrica potranno poi essere disconosciuti dall’apparente sottoscrittore, con l’esibizione di prove, da parte dello stesso, che egli non ha utilizzato il sistema di firma elettronica avanzata; tesi, quest’ultima, difficilmente dimostrabile, soprattutto quando il sistema è stato in grado di collezionare ed allegare in maniera sicura, ai documenti stessi, una serie di caratteristiche comportamentali riconducibili in modo certo al firmatario.


of 29



2.2 Normativa di riferimento

[1] Decreto del Presidente del Consiglio dei Ministri (DPCM) 22 febbraio 2013, “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”, GU n.117 del 21 maggio 2013.

[2] Decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante il Codice dell’amministrazione digitale (CAD)

2.3 Cos’è la Firma Grafometrica La firma grafometrica consiste in un processo informatico che, nel rispetto dei quanto previsto dal CAD, implementa un particolare tipo di firma elettronica avanzata. La firma grafometrica è una definizione comunemente usata per indicare una modalità di firma elettronica realizzata con un gesto manuale del tutto analogo alla firma autografa su carta. I dati di una firma si raccolgono mediante un dispositivo in grado di acquisire dinamicamente il movimento di uno stilo - azionato direttamente dalla mano di una persona - su una superficie sensibile (emulando una penna sulla carta).

Figura 1: Firma Grafometrica

Questa tipologia di firma si ottiene rilevando alcuni dati biometrici del firmatario, nel momento in cui egli appone la firma su di un tablet, legandoli in maniera indissolubile al documento oggetto di firma. In funzione della tecnologia impiegata si possono ottenere diversi livelli di qualità: risoluzione posizionale, frequenza dei campioni nell'unità di tempo, disponibilità del dato relativo alla pressione dello stilo sulla superficie, inclinazione, ecc. Ferma restando la modalità di acquisizione del gesto della firma, esistono diverse linee principali di applicazione di questa tecnologia. In questo documento verrà trattata l’applicazione della Grafometria quale strumento di Firma Elettronica Avanzata Grafometrica, ovvero quel tipo di FAE in cui i dati della firma acquisita sono associati univocamente al documento (in genere PDF) oggetto di sottoscrizione, cifrati per renderli inaccessibili per un utilizzo con altri documenti, quindi inseriti in un normale campo di firma elettronica che ne protegge l'integrità.


of 29



La firma associata al documento è poi verificabile, in caso di disconoscimento, da parte di un grafologo che la esamina esattamente come nel caso cartaceo. Questa modalità, in particolare, grazie al valore legale conferito dalle ultime modifiche al Codice dell'Amministrazione Digitale (soddisfacimento pieno del requisito della forma scritta), è particolarmente interessante: permette infatti di estendere la dematerializzazione anche nei casi in cui sia richiesta una firma ad un comune cittadino, non provvisto di strumenti per la Firma Digitale.

2.4 Firma Grafometrica come processo di FEA Come anticipato, la firma grafometrica è un processo informatico che, nel rispetto di quanto previsto dal Codice dell’Amministrazione Digitale, implementa un particolare tipo di Firma Elettronica Avanzata, una firma in grado di sostituire una tradizionale firma autografa apposta su un documento cartaceo. Realizzare una soluzione di firma grafometrica richiede di integrare uno specifico software con dispositivi esterni (denominati tablet o signature pad), che consentono di acquisire la firma del cliente. In particolare, tali strumenti sono in grado di rilevare e registrare sia dati statici (come l’immagine della firma) sia dati dinamici (fra questi l’accelerazione, la velocità, l’inclinazione, la pressione ed i movimenti aerei). Sul documento informatico così firmato sono conseguentemente memorizzate sia informazioni statiche sia dinamiche: l’immagine della firma viene posta in una sezione visibile, mentre i dati biometrici sono integrati nella componente informatica del documento stesso (non visibili), dopo essere stati opportunamente crittografati. E’ evidente, a questo punto, come la sicurezza offerta dai prodotti utilizzati (hardware e software) sia un elemento qualificante per la scelta della soluzione. Pertanto, nel seguito si pongono alcuni punti di attenzione. La Soluzione di firma grafometrica proposta da Aruba PEC si basa sulla libreria AGI (Aruba Graphometric Interface). Tale software consente, in combinazione con opportuni dispositivi hardware e con opportune procedure operative in capo all’Organizzazione che lo utilizza, di implementare una completa soluzione di Firma Elettronica Avanzata (FEA) conforme ai requisiti della normativa vigente, con particolare riferimento all’ art. 56 del DPCM 22/2/2013. Questo implica che il software e i dispositivi utilizzati possiedano delle caratteristiche di sicurezza tali da soddisfare i seguenti requisiti:

ID Requisito (ex Art. 56 del DPCM 22/02/2013)

RQ1 Identificazione certa del firmatario del documento.

RQ2 Connessione univoca della firma al firmatario.

RQ3 Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma.


of 29



RQ4 Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma

RQ5 Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto

RQ6 Individuazione del soggetto che ha erogato la soluzione di firma elettronica avanzata

RQ7 Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati

RQ8 Connessione univoca della firma al documento sottoscritto.

Tabella 2: Firma Grafometrica - Requisiti di Sicurezza

Tali disposizioni generano obblighi per i soggetti che erogano soluzioni di FEA per la clientela ovvero (DPCM 22 febbraio 2013, Art. 57 comma 1):

a) identificare in modo certo l'utente tramite un valido documento di riconoscimento; informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso; subordinare l'attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell'utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione garantendone la disponibilità, integrità, leggibilità e autenticità;

c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;

d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;

e) rendere note le caratteristiche del sistema realizzato e specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;

f) pubblicare le caratteristiche della soluzione sul proprio sito internet;

g) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all'utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza;

Le caratteristiche di sicurezza previste dal DPCM rispecchiano in toto quelle offerte dalla libreria AGI e dai dispositivi compatibili. Tali caratteristiche, meglio descritte più avanti nel presente documento, possono però essere riassunte nelle seguenti funzionalità essenziali:

I dati biometrici della firma sono inseriti nel documento in forma cifrata mediante crittografia

asimmetrica RSA, usando una chiave specificamente dedicata a tale operazione.

La chiave privata di decifratura (cui corrisponde la chiave pubblica indicata al punto precedente)

viene custodita da una terza parte fidata (per es. un Notaio oppure un Ente Certificatore) e non è

normalmente acceduta da nessuno (custodita in modalità “off-line”) tranne che dalle Autorità in caso

di contenzioso.


of 29



I dati che vengono cifrati ed inseriti nel documento includono non solo i parametri biometrici della

firma ma anche l’impronta (hash) del documento stesso.

Dopo l’apposizione delle necessarie firme grafometriche (una o più), il documento viene “sigillato”

mediante una firma digitale qualificata dell’operatore.

Nei paragrafi seguenti sono descritte in maniera più completa e dettagliata le funzionalità della Soluzione di Firma Grafometrica proposta da Aruba PEC.

2.4.1 Obblighi a carico dei soggetti erogatori del servizio di Firma Elettronica Avanzata Grafometrica

Come riportato nel paragrafo precedente al fine di attivare un servizio di Firma Elettronica Avanzata Grafometrica, sulla base delle disposizioni di legge che ne normano il processo, sussistono per il Cliente (Ente erogatore del servizio di Firma Grafometrica) i seguenti obblighi:

Predisporre idonea e specifica informativa, relativa all’utilizzo dei dati biometrici, da rendere all'interessato (firmatario) (Art. 13 del GDPR);

Predisporre il modello per la nomina dell'incaricato al trattamento dei dati (Art. 30 del Codice Privacy);

Redigere la relazione ai sensi dell’art. 4.4 lett. k) della Deliberazione n. 513 del 12 novembre 2014 recante 'Provvedimento generale prescrittivo in tema di biometria';

Predisporre il contratto contenente le «Condizioni generali di Servizio»;

Predisporre la sottoscrizione da parte dell’interessato (firmatario) di un atto di adesione al servizio di Firma Grafometrica, nonché l'accettazione delle relative condizioni di erogazione;

Predisporre il Manuale con le caratteristiche della soluzione di Firma Grafometrica adottata, da pubblicare sul proprio sito Internet;

Aruba PEC garantisce pieno supporto a Regione Veneto nella predisposizione dei documenti e nella stesura del Manuale Operativo.

2.5 La Firma Grafometrica in un processo di FEA Per firmare un documento si utilizza uno stilo, del tutto simile ad una comune penna biro, con cui si traccia la propria firma autografa su una tavoletta grafica o su uno schermo sensibile. Il sistema acquisisce i dati biometrici della firma (ritmo, accelerazione, movimento, pressione, velocità) e li codifica in modo protetto nel documento firmato, creando una associazione indissolubile tra documento e firma, proprio come con la firma digitale. Prima dell’apposizione della firma è possibile verificare, direttamente sul tablet, il documento ed il suo contenuto. Eseguita la firma, questa può essere o meno confermata dal cliente; se infatti, quest’ultimo dovesse decidere, per qualunque motivo, di ripetere l’operazione, potrà farlo semplicemente annullando la firma apposta in precedenza.


of 29



Come descritto in modo più dettagliato nel seguito, i dati biometrici peculiari della nostra firma sono trattati con un sistema affidabile e restano crittografati nel documento in modo sicuro. Solo in caso di contenzioso, quando c’è il disconoscimento della firma, i dati potranno essere decifrati (e quindi acceduti) sotto il controllo di un Pubblico Ufficiale e messi a disposizione di un grafologo che si esprimerà sull'autenticità della firma, proprio come avviene nel mondo della carta. Di seguito si riassumono le macro-fasi del processo di sottoscrizione documenti tramite il servizio di Firma Grafometrica:

Figura 2: Processo Applicativo/Logico (FEA)

Come mostrato, la procedura di firma grafometrica di un documento si compone delle seguenti macro-fasi:

1. Il sistema esibisce il documento da firmare.

2. Il firmatario, in presenza di un operatore, appone la propria firma autografa attraverso la tavoletta grafometrica o tablet.

3. Il sistema provvede alla creazione di un G-blob (Graphometric-blobl), ossia di una strutta dati costituita da:

HASH del documento oggetto di firma grafometrica Vettori grafometrici (Vg) Informazioni identificative della tavoletta grafica utilizzata (ID univoco, marca, modello, ..) Time-stamp extra-info

4. Il sistema provvede alla cifratura del G-blob con un certificato digitale (X509 v3) ) “Aruba” hard-coded nella libreria AGI (per approfondimenti tecnici sulla tecnologia utilizzata per la cifratura del G-blob si rimanda ai paragrafi successivi).

5. Il sistema provvede ad inserire il G-blob cifrato all’interno del documento.

6. Il sistema provvede all’apposizione di una Firma Elettronica di integrità con certificato P12 creato appositamente per la postazione. Il documento prodotto PDFVG-S1 offre garanzia di integrità e


of 29



immodificabilità del contenuto binario del documento. Nel caso in cui sul documento sia necessaria l’apposizione di una Firma Grafometrica aggiuntiva, il sistema provvederà a decifrare il documento PDFVG-S1 per la successiva elaborazione.

7. Il documento viene infine firmato con la Firma Elettronica Qualificta dell’operatore, garantendo così l’identificazione certa del firmatario all’atto dell’apposizione della propria firma.

In generale, le componenti software coinvolte in tutti i processi descritti non memorizzano mai le quantità di sicurezza critiche trattate (come ad esempio i vettori grafometrici). Nel caso di utilizzo e gestione di tali dati, questi vengono gestiti sempre in maniera cifrata e, terminata la specifica operazione, vengono cancellati dalla memoria del dispositivo in uso. In aggiunta le chiavi di cifratura sono diverse e generate ad-hoc documento per documento. A maggiore garanzia dell’utente, oltre che per l’irrobustimento dell’intero processo di Firma Elettronica Avanzata, verranno memorizzati all’interno della libreria di Firma Grafometrica gli HASH dei vettori grafometrici, immediatamente prima che questi vengano inseriti nel G-blob. In questo modo, come descritto in dettaglio nel proseguo, il processo può garantire che, almeno all’interno di una sessione di firma, i vettori grafometrici siano differenti e quindi non sia possibile utilizzare lo stesso set di vettori grafometrici per apporre più firme allo stesso documento. Il documento risultante sarà un PDF/A con firma PAdES grafica caratterizzata dall’appearance della firma autografa del sottoscrittore e veicolante le i vettori grafometrici cifrati del soggetto.

2.5.1 Compliance Normativa

Di seguito vengono riepilogati i prerequisiti previsti dalla normativa sulla Firma Elettronica Avanzata e come questi sono soddisfatti dalle caratteristiche della soluzione di Firma Grafometrica proposta da Aruba PEC:

Requisito (ex Art. 56 del DPCM 22/02/2013)

Rif -Razionale

Identificazione del firmatario del documento.

L’identificazione del firmatario avviene al momento della presenza del sottoscrittore dinnanzi all’Operatore.

Connessione univoca della firma al firmatario.

La connessione univoca al firmatario avviene grazie al meccanismo di “document binding” che prevede la raccolta dell’hash del documento uniti ai parametri grafometrici di quella firma e la loro cifratura con chiave pubblica di Aruba PEC.

Il suddetto legame, costruito tramite sistema di cifrature, impedisce che il blog di firma possa essere estratto e riutilizzato su un altro documento in quanto resta sempre riconducibile all’unico documento cui è collegato, firmato originariamente dal cliente.


of 29



Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma.

La soluzione di firma proposta si basa sull'acquisizione dei dati grafometrici/comportamentali statici e dinamici legati all'azione della sottoscrizione, quale elemento sul quale il firmatario mantiene un controllo esclusivo.

Inoltre il software Aruba PEC è progettato per evitare che ci sia un doppio utilizzo (accidentale o malevolo) dello stesso set di dati grafometrici.

Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma

A garanzia dell’integrità e immodificabilità del documento viene ricalcolata la rappresentazione numerica del documento, successiva all’apposizione dei dati di firma (nuovo “hash”) e il documento viene “chiuso” con firma elettronica non qualificata della postazione.

In questo modo, il documento è reso “non modificabile”. L’eventuale alterazione è facilmente verificabile anche con programmi di lettura di documenti di comune diffusione quale Adobe Reader il quale, in caso di modifica di un documento post firma elettronica, ne evidenzia l’alterazione.

Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.

Il sistema AGI mette a disposizione le funzioni che, completata la firma grafometrica, permettono di recuperare in diverse modalità copia elettronica del documento sottoscritto.

Individuazione del soggetto che ha erogato la soluzione di firma elettronica avanzata.

L’individuazione del soggetto che ha erogato il servizio di Firma Elettronica Avanzata (FEA) è implementato grazie all’apposizione della firma di integrità e alla firma elettronica qualificata di chiusura del documento.

Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati.

Il documento prodotto è in un formato tale da impedire l’inserimento all’interno dello stesso di programmi o istruzioni potenzialmente atti a modificare gli atti, fatti o dati rappresentati nel documento medesimo.

Inoltre la libreria AGI prevede controlli preventivi alla Firma Grafometrica che servono per rilevare la presenza di componenti dinamici in grado di modificare gli atti o i fatti rappresentati e impedire la generazione del documento firmato grafometricamente.

Connessione univoca della firma al documento sottoscritto.

Al fine di garantire la connessione univoca della firma al documento, l’applicazione di firma:

calcola per il documento generato dalla transazione, prima dell’apposizione sullo stesso della firma l’hash quale elemento univoco di identificazione del documento prodotto;

riceve dalla tavoletta/tablet in maniera sicura (criptandoli) i dati biometrici della firma (sia “statici” che “dinamici”) e li abbina alla stringa calcolata in precedenza, creando il G-blob;

“chiude” e cifra il G-blob, la cui decodifica può avvenire solo tramite un sistema di “chiavi” di cui una


of 29



detenuta dall’Organizzazione (denominata “chiave pubblica”) ed una conservata a cura di un soggetto terzo rispetto alla Organizzazione (denominata “chiave privata”). Il soggetto terzo che detiene la chiave privata è Aruba PEC;

infine, sul documento ottenuto, nel quale esiste un riferimento cifrato sia al documento precedente la firma (stringa alfanumerica) che al firmatario (dati biometrici), calcola un nuovo hash e “chiude” il documento mediante certificato di firma digitale dell’Organizzazione (o comunque mediante certificato di firma elettronica qualificata)

Il suddetto legame costruito tramite sistema di cifrature, impedisce che il G-blob di firma possa essere estratto e riutilizzato su un altro documento in quanto resta sempre riconducibile all’unico documento cui è collegato, firmato originariamente dal cliente.

Il documento potrà essere decifrato, in caso di necessità, per l’esibizione in giudizio o su richiesta dell’autorità giudiziaria, su richiesta del cliente o per esigenze dell’Organizzazione per la verifica dell’integrità del contenuto dello stesso e della paternità della firma apposta, solo con il concorso del possessore della chiave “privata”.

Tabella 3: Compliance Normativa


of 29



3 Caratteristiche della soluzione proposta Per il servizio di Firma Grafometrica, Aruba PEC mette a disposizione dei propri Clienti diverse soluzioni per l’integrazione del processo di firma nei propri flussi operativi:

Applicazioni di firma stand-alone per soluzioni desktop o mobile.

Applicazione Web per l’integrazione delle funzionalità di firma in applicazioni web-based.

Librerie necessarie all’integrazione delle funzionalità di firma grafometrica in applicazioni terze (anche pre-esistenti) sia client che web.

Strumento di analisi dei vettori grafometrici per attività forense. Il servizio di Firma Grafometrica di Aruba PEC può essere erogato sia da una postazione desktop collegata ad una tavoletta grafometrica sia tramite tablet nel caso, ad esempio, di operatori in mobilità. Inoltre Aruba PEC realizza, sempre nel pieno rispetto della normativa vigente, soluzioni personalizzate di Firma Grafometrica, al fine di integrare al meglio il processo di FEA con i flussi operativi già in essere del cliente. Il presente capitolo descrive la soluzione di Firma Grafometrica che Aruba PEC propone a Regione Veneto.

3.1 Scenario di utilizzo Nell’ottica di un processo di digitalizzazione dei documenti, l’esigenza di Regione Veneto è quella di implementare un processo di Firma Grafometrica per un Comune del territorio per permettere ai propri Cittadini di firmare documenti digitali (Testamento Biologico) senza l’utilizzo di un certificato di firma digitale qualificata, mantenendo comunque il valore legale dei documenti firmati. Come condiviso con Regione Veneto lo scenario di utilizzo è quello di utilizzare delle tavolette grafometriche collegate a PC desktop ed un’applicazione stand-alone per la raccolta dei vettori grafometrici.


of 29



3.1.1 Applicazione Client Desktop Si tratta dell’applicazione AGI Client che provvede in autonomia ed in locale alla formazione del documento firmato grafometricamente. L’immagine che segue mostra l’interfaccia grafica di AGI Client:

Figura 3: AGI Client

L’applicazione interagisce con la specifica tavoletta grafica per l’acquisizione dei vettori grafometrici e dell’aspetto grafico della firma stessa, che provvederà ad utilizzare per portare a termine il processo di firma grafometrica. Successivamente l’applicazione richiederà l’apposizione della Firma Digitale Qualificata (a completamento della operazione di firma grafometrica) da parte dell’Operatore che presenzia l’atto di apposizione della firma grafometrica. Di seguito si riportano le principali caratteristiche del client di Firma Grafometrica AGI Client:

nativamente integrato con la firma qualificata Remota/Automatica e con smart card o Aruba-Key;

gestione di tutte le smart card o dispositivi USB oggi presenti nel mercato italiano;

possibilità di selezionare l’area dove apporre la firma grafometrica;

possibilità di compilazione dei campi editabili (PDF editabile);

gestione della doppia visualizzazione del file su PC e tablet;

supporto di più tavolette grafiche.


of 29



3.2 Protezione dei dati biometrici Le componenti software proposte pongono particolare attenzione soprattutto all’aspetto della sicurezza in modo da:

Garantire in ogni fase del processo, e in ogni componente logica, la riservatezza dei dati grafometrici

dell’utente;

Evitare che la firma apposta su un determinato documento possa essere riutilizzata in un documento differente;

Nel contempo non sono ovviamente trascurati gli aspetti legati alla semplicità e all’intuitività del software con l’intento di fornire una soluzione che offra procedure snelle in grado di ricalcare quanto più è possibile la “user experience” di una normale firma autografa apposta su foglio di carta. I dati biometrici della firma sono inseriti nel documento in forma cifrata mediante crittografia asimmetrica RSA almeno a 2048 bit, usando una chiave specificamente dedicata a tale operazione. La chiave privata di decifratura (cui corrisponde la chiave pubblica indicata al punto precedente) viene custodita da una terza parte fidata (per es. un Notaio oppure un Ente Certificatore Accreditato) e non è normalmente acceduta da nessuno (custodita in modalità “off-line”) tranne che dalle Autorità in caso di contenzioso. I dati che vengono cifrati ed inseriti nel documento includono non solo i parametri biometrici della firma ma anche l’impronta (hash) del documento stesso. Dopo l’apposizione delle necessarie firme grafometriche (una o più), il documento viene “sigillato” mediante l’apposizione di una Firma Digitale Qualificata (cfr. par. 4.3.6) Maggiori dettagli relativi al flusso di apposizione di una Firma Grafometrica sono riportati nel par. 4.3.


of 29



4 Architettura e caratteristiche della soluzione Il client proposto è costituito dalle componenti logiche indicate nel diagramma che segue:

Figura 4: Architettura Logica

Di seguito sono descritte le principali caratteristiche dei componenti rappresentati nell’architettura.

4.1 Tablet/PAD Manager – Standard Biometrici utilizzati Il modulo Tablet/PAD Manager è il componente software che ha il principale compito di disaccoppiare l’utilizzo di differenti dispositivi di acquisizione grafica (signature Pad o Tablet) dalle funzionalità core dei client. Considerando infatti che ogni tipologia di tavoletta restituisce i vettori grafometrici in modo differente, il Tablet/PAD Manager si preoccupa di normalizzare le grandezze biometriche acquisite oltre che di indicare il modello della tavoletta grafica utilizzata così da inserirlo nelle informazioni riportate nella struttura dati di output. Il Tablet/PAD Manager quindi normalizza l’output di ciascun dispositivo di acquisizione grafometrica già integrate nella soluzione consentendo una gestione univoca e standard dei vettori grafometrici acquisiti. In particolare il Tablet/PAD Manager dopo la ricezione dei vettori grafometrici dal particolare dispositivo procede alla loro normalizzazione costruendo una struttura binaria conforme all’ISO/IEC 19794-7:2014 FULL-FORMAT. Gli strumenti software utilizzati da periti calligrafi in caso di eventuale perizia sulla Firma Grafometrica non dovranno possedere caratteristiche tecniche particolarmente stringenti.


of 29



L’unico vincolo per verificare l’autenticità di una Firma Grafometrica è rappresentato dalla compatibilità con il formato ISO/IEC 19794-7:2014 FULL-FORMAT. Questo aspetto è di fondamentale importanza anche in virtù del fatto che il trattamento ISO dei vettori grafometrici consente la possibilità di importazione dei dati in strumenti di analisi forense di terze parti e la possibilità di eseguire efficacemente la perizia anche a distanza di anni dalla generazione della firma scongiurando il rischio che lo strumento originariamente previsto risulti inefficace. Grazie all'estrema precisione dei dispositivi utilizzati (generalmente 200 point/sec), il Tablet/PAD Manager è anche in grado di acquisire un’immagine della firma autografa ad altissima risoluzione. Nella tabella che segue è riportato un esempio della struttura dati gestita dal modulo:

Signature/sign coding example - Signature/sign time series data FULL FORMAT 53 44 49 00 -- Signature/sign time series data full format ID: “SDI” 30 32 30 00 -- Standard version number: “020” 00 00 0B 59 -- Record length 00 01 -- Number of representations 00 -- Certification flag -- Representation 1 -- Representation header 00 00 0B 4A -- Representation length 07 D7 06 0F FFFFFFFFFF -- Capture date and time: 2007-06-15 01 -- Capture device technology: Electromagnetic 00 00 -- Capture device vendor: Unreported 00 00 -- Capture device type: Unreported 00 -- Number of quality blocks C0 C0 -- Channel inclusion field: X, Y, DT, and F channels included 80 -- X scaling value included A9 D3 -- X scaling value (mantissa: 1,00111010011b, base 2 exponent: 5; i.e. 39,3 dots per millimeter) 80 -- Y scaling value included B4 80 -- DT scaling value (mantissa: 1,1001b, base 2 exponent: 6; -- i.e. 100 samples/second) 60 -- F minimum and maximum values included 00 00 -- F minimum value: 0 03 00 -- F maximum value: 768 00 01 DB -- Number of sample points: 475 -- Representation body -- Sample point 1 82 07 -- X value: 519 = 1,32 cm 8B CB -- Y value: 3019 = 7,68 cm 00 3F -- F value: 63 -- Sample point 2 82 09 -- X value: 521 = 1,33 cm 8B CB -- Y value: 3019 = 7,68 cm 01 35 -- F value: 309 -- Sample point 3 82 0F -- X value: 527 = 1,34 cm 8B E8 -- Y value: 3048 = 7,76 cm 01 3C -- F value: 316 -- and so on for 472 more sample points ... 00 00 -- Extended data length

Tabella 4: Struttura dati ISO


of 29



La struttura dati sopra indicata, in ottica del completamento attraverso la collezione di ulteriori informazioni relative all’environment di acquisizione, viene codificata in base64 per essere inserita in una struttura XML contenente quelle informazioni non supportate nativamente dallo standard ISO, ovvero:

Hash SHA256 del documento sottoscritto

Dettagli tecnici sullo strumento di acquisizione: o Modello o Livello massimo di pressione o Risoluzione

Dettagli sul sistema operativo o Tipologia o Versione o Frequenza dichiarata di campionamento

Software per acquisizione o Identificativo o Versione

In aggiunta alla normalizzazione delle grandezze biometriche è necessario ricordare anche le esigenze legate alla protezione, trattamento e di riservatezza dei vettori. In tal senso il Tablet/PAD Manager gestisce le transazioni di acquisizione in modo tale che nessun componente software o hardware coinvolto memorizzi mai i vettori grafometrici. Nel caso di utilizzo e gestione di tali dati, questi vengono gestiti sempre in maniera cifrata e, terminata la specifica operazione, vengono cancellati dalla memoria del dispositivo in uso. Per raggiungere tale obbiettivo il Tablet/PAD Manager istruisce il dispositivo di acquisizione affinché il canale di comunicazione tra il dispositivo ed il middleware sia cifrato con una chiave simmetrica AES-256 generata “on fly” per ogni sessione. Tale chiave viene negoziata attraverso uno schema di key-exchange basato su chiave RSA a 2048 bit. In aggiunta, a garanzia di una sicura acquisizione e gestione delle grandezze biometriche, il dispositivo di acquisizione viene gestito dal Tablet/PAD Manager in modo tale da garantire che l’invio dei dati avvenga per lotti, (il lotto ricevuto sarà decifrato e scritto nella struttura dati ISO) e che siano garantite le caratteristiche di Real time signature capture per evitare qualsiasi tipo di memorizzazione delle grandezze biometriche all’interno della memoria del dispositivo.

4.2 PDF Manager e gestione PDF La componente PDF Manager provvede alla creazione, gestione, predisposizione, elaborazione, visualizzazione e validazione dei file PDF e PDF/A. Le principali funzionalità offerte dal modulo sono:

Predisposizione del file PDF o PDF/A per l’innesto di vettori grafometrici cifrati

Creazione nel PDF o PDF/A dell’area di firma grafometrica o di firma digitale

Rasterizzazione file PDF o PDF/A per visualizzazione all’utente finale

Meccanismo di document binding della Firma Grafometrica al particolare documento PDF

Meccanismo di generazione e verifica firma PADES conforme alle seguenti norme e specifiche: o ETSI TS 102 778 (PAdES) o Deliberazione CNIPA 45/2009 o Decision 2011/130/EU


of 29



Possibilità di parametrizzazione della Firma Digitale e/o Grafometrica per l’impostazione di: o Eventuale Immagine di background o Posizione e dimensione della firma o Pagina su cui apporre la firma o Location e Reason della firma o (Solo per Firma Digitale) Set di elementi informativi contenuti nel certificato del Titolare e che

possono essere riportati all’interno della firma (Nome e Cognome, email, Codice Fiscale, etc.)

Questo componente è progettato per essere compatibile con i formati PDF prodotti dai principali software e progetti di Office Automation, Reporting e PDF manipulation. A titolo esemplificativo e non esaustivo si citano: Microsoft Office, Open Office, iText, Adobe Acrobat/Reader, Eclipse BIRT, pdfbox, etc. Il PDF Manager è anche il componente che prepone l’innesto dei vettori grafometrici all’interno del documento realizzando, nel concreto, il file PDF/A finale con firma grafometrica. Il formato dei documenti restituiti dal software di firma è conforme al PADES ed al PDF/A.

4.3 Processo applicativo logico Dal punto di vista logico/applicativo il flusso descritto sopra è rappresentato dall’immagine che segue:

Figura 5: Processo applicativo logico


of 29



Come mostrato, la procedura di firma grafometrica di un documento si compone delle seguenti macro-fasi:

1. Acquisizione da parte dell’applicazione AGI-Client del documento da firmare grafometricamente. Il

documento “originale” ossia il documento che s’intende sottoporre al processo di firma grafometrica

dovrà avere un formato tale da non contenere macroistruzioni al suo interno (es PDF-A);

2. Acquisizione protetta dei Vettori grafometrici dalla tavoletta grafica (Vg);

3. Creazione di un G-blob (Graphometric-blobl), ossia di una strutta dati costituita da:

a. HASH del documento oggetto di firma grafometrica

b. Vettori grafometrici (Vg)

c. Informazioni identificative della tavoletta grafica utilizzata (ID univoco, marca, modello, etc.)

d. Time-stamp

e. extra-info

4. Cifratura del G-blob con il certificato digitale (X509 v3) Aruba hard-coded nella libreria AGI (per

approfondimenti tecnici sulla tecnologia utilizzata per la cifratura del G-blob si rimanda ai paragrafi

successivi);

5. Inserimento del G-blob nel documento. In questa fase si ottiene il documento originale al quale è

stata apposta la firma grafometrica (PDFVG) ma che non è stato ancora “reso immodificabile” tramite

l’applicazione della firma digitale d’integrità;

6. Firma digitale d’integrità (PADES) del documento. Immediatamente dopo l’inserimento del G-blob

(operazione “t=0”) viene apposta una firma digitale con il P12 creato appositamente per la

postazione (punto firma) ed inviato alla stessa tramite l’hand-shake protetto di licensing. Il

documento prodotto PDFVG-S1 offre garanzia di integrità ed immodificabilità del contenuto binario

del documento;

7. Cifratura del PDFVG-S1 per la memorizzazione sicura del documento stesso sul file system;

8. De-cifratura del documento per la successiva elaborazione del documento stesso, che potrà essere

ad esempio la seguente operazione:

a. Apposizione di una nuova firma grafometrica sul documento. In questo caso, il file PDFVG-

S1 verrà rielaborato dal processo di firma grafometrica seguendo il processo applicato al

documento originale. In particolare, l’operazione di decifratura del file file PDFVG-S1 e l’avvio

di una nuova operazione di firma grafometrica avverranno in “t=0”, ossia saranno operazioni

atomiche che non consentiranno l’introduzioni di altre operazioni da parte di altri processi.

b. “Chiusura” del documento con Firma Elettronica Qualificata. In questo caso l’Operatore che

avrà provveduto, nell’ambito del processo di firma grafometrica, all’identificazione

dell’Utente procederà alla firma digitale del documento PDFVG-S1. In particolare, le

operazione di decifratura del file PDFVG-S1 e la firma digitale del documento decifrato stesso

avverranno in modalità “t=0” ossia senza che alcun altro processo possa subentrare tra la

prima operazione e la seconda. Sarà inoltre possibile, qualora il processo lo preveda e

comunque su indicazione dell’Operatore, apporre una marca temporale immediatamente

dopo aver firmato con firma remota/automatica il documento.


of 29



In generale, le componenti software coinvolte in tutti i processi descritti non memorizzano mai le quantità di sicurezza critiche trattate (come ad esempio i vettori grafometrici). Nel caso di utilizzo e gestione di tali dati, questi vengono gestiti sempre in maniera cifrata e, terminata la specifica operazione, vengono cancellati dalla memoria del dispositivo in uso.

In aggiunta le chiavi di cifratura sono diverse e generate ad-hoc documento per documento.

A maggiore garanzia dell’utente verranno memorizzati all’interno della libreria di firma grafometrica gli HASH dei vettori grafometrici, immediatamente prima che questi vengano inseriti nel G-blob. In questo modo, come descritto in dettaglio nel proseguo, il processo può garantire che, almeno all’interno di una sessione di firma, i vettori grafometrici siano differenti e quindi non sia possibile utilizzare lo stesso set di vettori grafometrici per apporre più firme allo stesso documento.

Il documento risultante sarà un PDF/A con firma PAdES grafica caratterizzata dall’appereance della firma autografa del sottoscrittore e veicolante i vettori grafometrici cifrati del soggetto. Il meccanismo sopra descritto comporta un aumento della dimensione del file per ogni firma aggiunta pari a 300kb. La componente AGI è integrata con i servizi di marcatura temporale standard Rfc 3161 delle TSA accreditate. Questo permette alla componente di apporre, se richiesto, marche temporali in modalità sincrona o asincrona rispetto ad ogni Firma Grafometrica. Il formato del documento prodotto è PDF/A. Gli algoritmi di cifratura utilizzati, unitamente alle dimensioni delle chiavi adottate, rispondono ad elevati standard di sicurezza.

Nei paragrafi che seguono vengono descritte in dettaglio ciascuna fase del processo di firma grafometrica.

4.3.1 Formato del documento Come noto, la leggibilità di un documento informatico dipende dalla possibilità e dalla capacità di interpretare ed elaborare correttamente i dati binari che costituiscono il documento, secondo le regole stabilite dal formato con cui esso è stato rappresentato. Il formato di un documento informatico è la convenzione usata per rappresentare il contenuto informativo mediante una sequenza di byte. Nella scelta dei formati idonei alla Firma Grafometrica, Aruba PEC è stata estremamente attenta affinché i formati stessi fossero capaci a far assumere al documento le fondamentali caratteristiche di immodificabilità e staticità.

Pertanto, alla luce delle suddette considerazioni, il formato adottato e consigliato da Aruba PEC per la firma grafometrica è il PDF/A.

Questa tipologia di documenti già offre un certo livello di sicurezza dettato dalla standardizzazione del formato oltre che dall’assenza di macro istruzioni e codici eseguibili che potrebbero rappresentare potenziali minacce per l’affidabilità sulla rappresentazione dei contenuti. La libreria AGI, nella componente preposta alla ricezione del documento da firmare grafometricamente, una volta ricevuto il documento, effettuerà dei controlli per verificare la correttezza del formato del documento stesso.


of 29



A seguito della verifica effettuata sul documento, il componente software preposto accetta o meno il documento analizzato procedendo con le successive operazioni di firma grafometrica oppure restituisce errore all’applicazione chiamante.

4.3.2 Acquisizione vettori grafometrici

I vettori grafometrici vengono acquisiti tramite una tavoletta grafica/tab, appositamente progettata per la specifica funzionalità, che li invia al componente software AGI per la loro successiva elaborazione nell’ambito del processo di firma grafometrica. A garanzia di una sicura acquisizione e gestione dei vettori grafometrici, la tavoletta/tab non li terrà mai in memoria ma verranno inviati direttamente all’applicazione chiamante mediante un meccanismo di callback: l’applicazione richiama una funzionalità della tavoletta che consente di registrare una funzione dopodichè con la frequenza pari al campionamento, la tavoletta richiama la funzione registrata fornendo come parametri di input la posizione della penna e la pressione. Questo modello consente alla tavoletta/tab di non salvare in alcun modo i dati prodotti ma di passarli direttamente all’applicazione chiamante non avendo alcuna responsabilità in merito. Al fine di proteggere da usi fraudolenti o da attacchi di vario genere, di seguito viene descritta la metodologia di interfacciamento con la tavoletta/tab e di protezione dei vettori grafometrici acquisiti:

Interfacciamento con la tavoletta grafica/tab

I dati della firma trasmessi dalla tavoletta/tablet alla libreria host sono crittografati per assicurare che non siano intercettati da un terzi. Per crittografare i dati viene stabilita una chiave di crittografica condivisa tra il componente software AGI ed il tablet. Il processo di scambio della chiave viene gestito utilizzando metodi di hand-shake basati su RSA, Diffie-Hellman o Master Key a seconda del modello di pad. Una volta che la chiave è stata stabilita i dati vengono crittografati sul pad e vengono decifrati dal componente software Tablet Manager della libreria AGI.

Prevenzione di attacchi Man-in-the-middle

Un attacco man-in-the-middle è quello in cui un terzo M intercetta chiavi scambiate pubblicamente poi le ritrasmette sostituendo una chiave pubblica diversa da quella richiesta. Le due parti originali A e B sembrano comunicare tra loro ma in realtà scambiano messaggi con M. Usando questo metodo è possibile per l'intermediario leggere i messaggi cifrati e, facoltativamente, modificare il loro contenuto senza essere rilevato. Attacchi MITM vengono scongiurati con l’adozione di tecniche di crittografia (simmetrica o asimmetrica) che prevedano la cifratura e l’autenticazione dei messaggi. Questo significa che sia la componente AGI che la tavoletta/tablet condividono una secret (Master Key o Public/Private Key) preconfigurata che utilizzano per la mutua autenticazione e per lo scambio di chiavi di sessione. I messaggi inviati durante l’autenticazione e lo scambio delle chiavi sono basati su random cifrati con la secret condivisa. Tali random, una volta decifrati e verificati con successo dagli end-point (Tablet Manager e Signature Pad) vengono utilizzati per derivare le chiavi di sessioni con cui proteggere la comunicazione dei vettori grafometrici Vg.


of 29



4.3.3 Creazione del G-blob A seguito della corretta acquisizione dei vettori grafometrici, il componente software preposto alla creazione del G-blob (funzionalità core della libreria grafometrica) effettua la creazione del file XML contenente:

HASH SHA-256 del documento che s’intende firmare grafometricamente;

I vettori grafometrici Vg. Tali vettori non verranno elaborati ne modificati in alcun modo;

Informazioni identificative del tablet;

Informazioni di dettaglio sull'acquisizione come insieme di tratti o contatto continuato della penna sulla tavoletta;

Informazioni sul posizionamento della firma grafometrica all’interno del documento (pagina, posizione, aspetto, etc…);

L'acquisizione può durare al massimo 60 secondi dopodiché l'operazione viene annullata;

Time stamp della postazione che ospita il software di acquisizione (librerie AGI);

Extra-info. E’ possibile memorizzare altre informazioni opzionali quali, ad esempio, la geolocalizzazione;

Il file XML sopradescritto viene quindi cifrato secondo lo standard rfc5652 Cryptographic Message Syntax (CMS) secondo questa procedura:

Generazione di una chiave 3DES-196 bit random;

Cifratura 3DES del XML con la chiave simmetrica generata allo step precedente;

Cifratura della chiave simmetrica con chiave pubblica generata da Aruba PEC ed inserita all'interno della libreria tramite l'inserimento della licenza;

La chiave pubblica è unica;

Compilazione del messaggio cifrato in una struttura CMS EnvelopedData (key transport) (OID 1.2.840.113549.1.7.3);

L'immagine seguente rappresenta il flusso delle operazioni:


of 29



Figura 6: Processo cifratura G-Blob


of 29



4.3.4 Firma d’integrità Per poter inserire il G-blob all'interno del documento PDF e garantirne l’integrità, la procedura prevede l’apposizione immediata della firma digitale d’integrità al documento, generando di fatto un documento conforme allo standard PADES (PDFVG-S1). L’immagine seguente mostra il dettaglio dell’operazione di firma digitale:

Figura 7: Firma d’integrità

Come mostrato dalla figura, la firma viene apposta utilizzando la chiave privata contenuta nel file P12 specifico della postazione. Questo file P12 viene generato ed importato in fase di attivazione della licenza ed è strettamente legato alla postazione sulla quale tale licenza viene attivata. In particolare, il certificato (e relativa chiave privata) viene generato inserendo le informazioni di riferimento del cliente e postazione.

4.3.5 Memorizzazione sicura del documento

Il processo di firma grafometrica prevede alcuni passaggi che, nel suo complesso, potrebbero richiedere la memorizzazione temporanea del documento per una successiva elaborazione. In particolare, dopo la firma digitale d’integrità (da parte dell’utente) si potrebbe presentare il caso in cui la successiva firma remota/automatica di chiusura del documento firmato grafometricamente (da parte dell’operatore) possa avvenire in un momento successivo anche se prossimo (in modalità asincrona). Questo scenario, in aggiunta ad una questione di privacy e sicurezza aggiuntiva, richiede la memorizzazione sicura del documento PDFVG-S1. Tale richiesta viene soddisfatta tramite la cifratura del documento stesso secondo la procedura di seguito descritta, prima di ogni salvataggio su file system il file viene quindi ulteriormente cifrato.


of 29



Figura 8: Cifratura Documento

Come si evince dall’immagine la cifratura del documento avviene mediante una chiave simmetrica KSimS generata a runtime sulla base di uno specifico algoritmo che per ragioni di sicurezza non è specificato nel seguente documento. Tale chiave viene generata all'avvio dell'applicazione e mantenuta in memoria volatile. L’algoritmo di cifratura utilizzato è AES256 ed il documento cifrato viene memorizzato nel file system privo di estensione e decifrato esclusivamente all'atto dell'apposizione della firma remota/automatica di chiusura del documento. Nel momento in cui il documento viene sottoposto a chiusura con la firma remota/automatica, dovrà necessariamente essere decodificato per la successiva elaborazione. Il processo di decodifica del documento è del tutto analogo al processo di cifratura e può essere descritto nelle seguenti fasi:

calcolo della chiave simmetrica KsimS

decifratura del documento PDFVG-S1

elaborazione del documento appena decifrato ed eliminazione sicura (erase) del file cifrato di origine in caso di elaborazione avvenuta con successo

salvataggio del file prodotto dall'elaborazione al punto precedente Il file in questo stato, se e solo se chiuso da una firma qualificata, è salvato in chiaro su file system all'interno della directory di lavoro della libreria.


of 29



4.3.6 Chiusura del documento con Firma Digitale Qualificata Per la chiusura del documento PDFVG-S1, si procedere all’applicazione di una Firma Digitale Qualificata; tale firma garantisce:

l’integrità ed immodificabilità del documento firmato grafometricamente;

la corretta identificazione dell’utente che ha firmato grafometricamente il documento stesso;

Come condiviso con Regione Veneto, per la chiusura del documento con Firma Digitale Qualificata si è deciso di utilizzare la Firma Digitale con Aruba-Key, rilasciata a ciascun Operatore che presenzia l’atto dell’apposizione della firma del Cittadino. Pertanto ogni singolo Operatore dovrà essere in possesso del proprio certificato di Firma Digitale e relativa Aruba-Key. Una volta che il processo di raccolta della firma grafometrica sarà concluso, l’Operatore controfirmerà il documento tramite il proprio certificato di Firma Digitale, andando a chiudere definitivamente il documento PDFvg-s1.

Questa procedura determina l’identificazione certa del firmatario all’atto dell’apposizione della propria firma grafometrica, di fronte all’Operatore.

Servizio di Firma Grafometrica - Caprino Veronese Progetto di firma grafometria per assegnazione SIM...

Documents

Transcript of Servizio di Firma Grafometrica - Caprino Veronese Progetto di firma grafometria per assegnazione SIM...