Che cos’è la firma digitale?

La firma digitale è l’equivalente informatico di una firma autografa su carta ed ha il suo stesso valore legale. È il risultato di una procedura informatica che garantisce al documento informatico:

  • Autenticità, poiché garantisce l’identità del sottoscrittore del documento;
  • Integrità, poiché assicura che il documento non sia stato modificato dopo la sottoscrizione;
  • Non ripudio: la firma digitale attribuisce piena validità legale al documento, pertanto il documento non può essere ripudiato dal sottoscrittore.

La firma digitale è un sistema di codifica asimmetrico, ossia un sistema che si basa su metodi matematici che richiedono una coppia di chiavi, una pubblica, nota a tutti, l’altra segreta, nota solo all’interessato, da utilizzare per la codifica e per la decodifica di un messaggio.alice_bob

Immaginiamo che Alice voglia firmare un documento e condividerlo con Bob. Alice firmerà il documento, operazione che consiste nel cifrare l’hash del documento (cioè trasformarlo, mediante un algoritmo, in caratteri non comprensibili) con la sua chiave privata.

Bob riceve il documento firmato da Alice. Per leggerlo, decifrerà l’hash con la chiave pubblica di Alice (accoppiata a quella usata per cifrare il documento). Questo sistema permette di garantire la provenienza del documento, Bob è certo che il documento derivi da Alice, proviene da Alice, è un documento di cui Alice è autore.

CAdES, PAdES e XAdES??

Gli standard europei, validi anche in Italia, prevedono tre tipi di firma digitale, identificati dagli acronimi CAdES, PAdES e XAdES.

La busta CAdES è un file con estensione .p7m, il cui contenuto è visualizzabile solo attraverso idonei software in grado di “sbustare” il documento sottoscritto. Tale formato permette di firmare qualsiasi tipo di file, ma presenta gli svantaggi di:

  • dover utilizzare un’applicazione specifica per visualizzare il documento,
  • non poter gestire diverse versioni dello stesso documento senza invalidare la firma apposta.

La firma digitale in formato PAdES, nota come “Firma PDF”, è una firma digitale basata sul formato .pdf, leggibile con le comuni applicazioni per la visualizzazione di documenti di tale tipologia. I file firmati con il formato di firma PAdES, al contrario di quanto accade con il formato .p7m del CAdES, mantengono l’estensione .pdf. Permette, di conseguenza, di accedere più facilmente al documento, e contrariamente alla firma CAdES, consente la gestione di diverse versioni dello stesso documento senza invalidare le firme digitale apposte. Lo svantaggio di tale firma è l’esclusivo utilizzo con documenti di tipo PDF.

Il formato di firma digitale XAdES, ancora poco usato, consente di firmare file XML. Come per la firma PAdES, non è necessario l’imbustamento/sbustamento del documento per poter essere interpretato, consente di accedere ai metadati del documento e di firmare una singola parte del documento, aspetto di particolare rilievo nel caso di un documento scritto da più persone dove ognuno deve firmare la sua parte.

Il certificatore

La firma digitale da sola garantirebbe solo l’autenticità del testo, ma non la reale provenienza del documento. Il Certificatore accreditato ha il compito di:

  • consentire a chiunque l’accesso a un Registro dei Certificati da lui emessi al fine di permettere l’identificazione del titolare della chiave pubblica
  • aggiornare costantemente una Lista dei certificati sospesi/revocati
  • in fase di rilascio del certificato, accertare l’identità personale di chi richiede la firma, assicurando in tal modo la reale provenienza del documento.

I tipi di firma elettronica

La Direttiva 1999/93/CE distingue diverse tipologie di firma elettronica, delle quali la firma digitale è la più evoluta.

tabella

Firma digitale vs Firma digitale remota

Per l’utilizzo della firma digitale è necessario avere in dotazione un kit per la firma digitale contenente i certificati di firma associati all’utente, composto da smart card (disponibile in formato SIM o carta di credito), lettore smart-card (chiavetta USB o da tavolo) e software di firma e verifica. Con l’evoluzione della firma digitale in “Firma digitale remota” non è più necessario nessuno di tali strumenti, basta, infatti, un token di autenticazione per la generazione dell’OTP (One Time Password, password momentanea dinamica) e un computer collegato ad Internet per la sottoscrizione dei documenti digitali; infatti i certificati di firma degli utenti risiedono su un dispositivo remoto che si chiama HSM (Hardware Security Module).

E la marca temporale?

La marca temporale è il risultato di una procedura informatica che consiste nell’apposizione di una sequenza di caratteri che rappresentano una data e/o un orario, permettendo così di accertare l’effettivo avvenimento di un certo evento sul documento informatico.

La marcatura temporale può essere utilizzata sia su file non firmati marcadigitalmente, garantendone una collocazione temporale certa e legalmente valida, sia su documenti informatici sui quali è stata apposta firma digitale: in tal caso la marca temporale attesterà il preciso momento temporale in cui il documento è stato firmato.

Come sancito dall’articolo 49 del DPCM del 30/03/2009, le marche temporali devono essere conservate in appositi archivi per un periodo non inferiore a 20 anni. L’apposizione di una marca temporale a un documento firmato digitalmente, quindi, ne garantisce la validità nel tempo.

Fonte “http://www.agid.gov.it/sites/default/files/linee_guida/firme_multiple.pdf”