Interoperabilità della firma digitale
Definizione
Per interoperabilità delle firme digitali si intende la possibilità che un qualsiasi documento elettronico firmato da un soggetto mittente, che utilizza i servizi di un determinato certificatore (certificatore A), possa essere correttamente trattato da un un soggetto destinatario che utilizza i servizi offerti da un diverso certificatore (certificatore B).

Ove non fosse assicurata l'interoperabilità come sopra definita, lo scambio di documenti elettronici potrebbe avvenire solo nella cerchia ristretta dei soggetti che utilizzano un medesimo certificatore.
 
AMBITO DI APPLICAZIONE: IL PROCESSO DI FIRMA E DI VERIFICA
La firma digitale, secondo la normativa vigente, si fonda su alcuni concetti fondamentali e in particolare sul concetto di "ente certificatore" (Certification Authority) e sul principio dell'utilizzo di una coppia di chiavi, la chiave pubblica e quella privata

Le funzioni essenziali che un certificatore deve garantire sono quella di produrre il certificato che stabilisce il legame univoco tra la chiave privata ed il legittimo possessore, di custodire la chiave pubblica in una lista consultabile e di garantire la validità temporale del potere di firma (validità del certificato).

In termini generali il processo di firma di un documento elettronico, dopo che il firmatario abbia verificato il contenuto del documento da sottoscrivere, comporta i seguenti passi:

  • generazione dell'impronta del documento elettronico
  • firma, tramite la chiave privata accessibile solo previo inserimento del PIN, dell'impronta del documento elettronico (tutto ciò corrisponde alla firma del documento)
  • creazione di una "busta elettronica" che contiene il documento, la firma definita come al punto precedente e il certificato che collega la chiave privata al suo possessore cioè, in questo caso, al firmatario.

A sua volta il destinatario dovrà essere in grado di eseguire il processo di verifica e in particolare di:

  • aprire la "busta elettronica"
  • verificare se il certificato del firmatario è "fidato", ossia se rilasciato da un certificatore inserito nell'elenco pubblico dei certificatori accreditati
  • verificare l'impronta del documento elettronico con la chiave pubblica del firmatario estratta dal certificato (tutto ciò corrisponde alla verifica della firma e della integrità del documento)
  • calcolare l'impronta del documento elettronico e confrontare il valore ottenuto con quello firmato ai fini dell'integrità del messaggio
  • aprire il certificato e leggere l'identità del soggetto per verificare l'identità del mittente e la validità temporale della sua firma; per effettuare tale verifica dovràaccedere ad una speciale lista (Certification Revocation List) generata da ogni certificatore e ricercare se il certificato ricevuto appartenga alla lista oppure no; in caso negativo, il certificato deve essere considerato ancora valido e pertanto il documento elettronico può considerarsi valido.
 
IL PROBLEMA DA RISOLVERE

Per assicurare l'interoperabilità dei processi di firma e di verifica allorquando mittente e destinatario utilizzino i servizi offerti da due diversi certificatori, occorre che il sistema di verifica fornito da ciascun certificatore sia sempre in grado di:

  • riconoscere il formato della busta elettronica
  • aprire la busta stessa ed estrarre le informazioni in essa contenute
  • leggere il contenuto del certificato ed estrarre correttamente l'identità della persona che ha firmato e la relativa chiave pubblica
  • capire quale algoritmo sia stato utilizzato per ottenere l'impronta del documento elettronico e applicare lo stesso algoritmo al documento estratto dalla busta elettronica
  • verificare la validità del certificato sulle liste di revoca o sospensione del certificatore che lo ha rilasciato.

Quanto sopra, e cioè l'interoperabilità, non è garantito dal semplice rispetto delle vigenti regole tecniche in materia di firma digitale, che non possono (come sarebbe invece necessario per l'interoperabilità) individuare soluzioni tecniche univoche, essendo vietato ogni riferimento diretto a tecniche specifiche, per evitare l'insorgere di squilibri del mercato o di escludere a priori di una serie di fornitori di tecnologie.
 
LA SOLUZIONE DEL PROBLEMA: AIPA E ASSOCERTIFICATORI
Al fine di assicurare l'interoperabilità almeno con riferimento all'ambito della Pubblica Amministrazione, l'AIPA nel corso dell'anno 2000 ha emanato la circolare AIPA/CR/24 del 19.6.2000, recante "Le linee guida per l'interoperabilità dei certificatori", consistenti in un insieme di specifiche tecniche univoche definite con il contributo dei primi certificatori iscritti nell'elenco pubblico e con l'apporto della Banca d'Italia.

Dette linee guide considerano, ai fini dell'interoperabilità:

  • i contenuti del certificato e la loro rappresentazione e formato
  • le estensioni del certificato e i relativi contatti
  • le liste di revoca e sospensione e i relativi contenuti
  • la rappresentazione delle informazioni nelle buste PKCS#7

Per parte sua Assocertificatori, dopo avere contribuito alla definizione della circolare AIPA sulla interoperabilità, ha istituzionalizzato questa attività, costituendo al proprio interno il "Comitato Tecnico per la firma digitale", cui sono stati attribuiti dal Consiglio Direttivo dell'Associazione i seguenti compiti:

  • analisi delle problematiche relative all'interoperabilità e predisposizione di proposte operative per la piena attuazione dell'interoperabilità tra i soci
  • esecuzione di un piano di verifiche periodiche di interoperabilità tra i soci
  • studio ed approfondimento delle questioni tecniche relative a nuove norme tecniche, all'adozione di nuovi standard, alle modifiche di norme tecniche o standard esistenti, all'adozione ed alla compatibilità di standard internazionali ed elaborazione di proposte operative per i soci
  • elaborazione di documenti, studi, indicazioni o raccomandazioni per i soci relativi a norme tecniche e standard
  • studio ed approfondimento delle necessità di intervento o modifica delle procedure operative e di sicurezza dei soci a seguito dell'eventuale verificarsi di problemi applicativi ed elaborazione di proposte di intervento per i soci
    elaborazione di proposte di miglioramento degli aspetti tecnici in generale relativi all'attività di certificazione.
 
LIVELLO DI INTEROPERABILITA' TRA I SOCI DI ASSOCERTIFICATORI
 
  • Firme digitali singole: correttamente generate e verificate da tutti i certificatori associati
  • Certificati di sottoscrizione: conformi agli standard e alla normativa in materia
  • CRL: correttamente accessibili da tutti i certificatori associati e conformi agli standard e alla normativa in materia
  • Ruoli e poteri: firme digitali corredate dalla eventuale indicazione del ruolo o del potere rivestito dal titolare del certificato
  • Firme digitali multiple: verifica di documenti informatici a “firma multipla” in tutte le diverse possibili modalità di apposizione delle firme
  • Marche temporali: visualizzazione di marche temporali in standard RFC3161 in formato "detached" (ossia come file a se stante, svincolato dal file di origine), con verifica della autorità di marcatura temporale e della corretta associazione (tramite hash) col documento di origine
  • Certificati di autenticazione - Carta Nazionale dei Servizi: conformi agli standard e alla normativa in materia
  • Certificati di autenticazione - profilo AssoCertificatori: formato adottato da tutti i certificatori associati, compatibile con gli standard e la normativa in materia
 
 
 
  Design InfoCamere WebAgency. Copyright ©2003. All rights reserved.