LA CONSERVAZIONE SOSTITUTIVA Erica Manzano - Udine, 17 maggio 2010 erica.manzano@gmail.com 1
Il processo di conservazione sostitutiva è una PROCEDURA INFORMATICA, regolamentata dalla legge italiana, in grado di garantire nel tempo la validità legale di un documento informatico. E composto principalmente da tre elementi: Firma Digitale Posta Elettronica Certificata Conservazione Sostitutiva 2
La Firma Digitale Il concetto di Firma Digitale è alla base di tutto il processo di Dematerializzazione, dal momento che ricopre un ruolo fondamentale sia nella PEC che nel processo di conservazione vero e proprio. La Firma Digitale è il risultato di una procedura informatica che serve a garantire: l AUTENTICITA la PATERNITA l INTEGRITA la NON RIPUDIABILITA 3
Con Firma Digitale si intende il risultato di una procedura informatica che si basa su diversi elementi: Gli algoritmi crittografici Le impronte di Hash Le chiavi I certificati La Firma Digitale (2) Testo in Chiaro Crittografia Hash Firma 4
Le Chiavi Chiave privata: viene usata per firmare Chiave pubblica: viene usata per verificare una firma Le due chiavi costituiscono una coppia inscindibile, quindi se una delle due dovesse venire a mancare sarebbe necessario generare una nuova coppia. Non è mai possibile associare a una chiave già esistente una nuova chiave pubblica/privata corrispondente. 5
I Certificati Il valore delle chiavi pubbliche non è confidenziale, pertanto la maggiore criticità sta nel garantire l autenticità e la paternità delle chiavi pubbliche. A questo scopo sono stati introdotti i CERTIFICATI ELETTRONICI. VERSION SERIAL NUMBER SIGNATURE ALGORITHM IDENTIFIER CERTIFICATO X.509 ISSUER VALIDITY PERIOD SUBJECT SUBJECT PUBLIC KEY INFORMATION ISSUER UNIQUE IDENTIFIER ALGORITHM IDENTIFIER PUBLIC KEY SUBJECT UNIQUE IDENTIFIER 6
La Marca Temporale Le MARCHE TEMPORALI sono delle ETICHETTE ELETTRONICHE sottoscritte che vengono allegate al documento firmato allo scopo di dimostrare che la firma esisteva in un ben preciso momento. Le marcature sono vincolate al documento a cui appartengono grazie all utilizzo di alcuni riferimenti quali: l impronta di Hash del messaggio il numero progressivo seriale della marca la data e l ora dell apposizione 7
La Posta Elettronica Certificata (PEC) Soggetti interessati: MITTENTE DESTINATARIO GESTORE DEL MITTENTE GESTORE DEL DESTINATARIO 8
Funzionamento della PEC Mail PEC Gestore del mittente Punto di ricezione Gestore del destinatario Punto di accesso Punto di consegna Ricevuta di Presa in Carico Punto di consegna Ricevuta di Accettazione Mail PEC Mail Ricevuta di Consegna Mittente Destinatario 9
Funzionamento della PEC(2) Ricevuta di Accettazione Gestore del mittente Punto di accesso Punto di consegna Mail Il Mittente predispone il messaggio per l invio, si autentica presso il proprio gestore e invia il messaggio. Il messaggio raggiunge il PUNTO di ACCESSO. Vengono effettuati controlli formali sul messaggio Viene generata la BUSTA DI TRASPORTO Viene inviata al mittente una RICEVUTA di ACCETTAZIONE 10
Funzionamento della PEC(3) Gestore del mittente Punto di ricezione Gestore del destinatario Il messaggio viene inviato dal GESTORE del MITTENTE a quello del DESTINATARIO attraverso il PUNTO DI RICEZIONE. Qui vengono svolti alcuni controlli: Verifica della correttezza della natura del messaggio Viene verificata l appartenenza del gestore mittente all elenco del CNIPA Viene generata una RICEVUTA di PRESA in CARICO Se il messaggio non supera i controlli viene generata una BUSTA di ANOMALIA 11
Funzionamento della PEC(4) Il Gestore del Destinatario procede a inoltrare la mail nella casella di posta del Destinatario e invia una RICEVUTA di AVVENUTA CONSEGNA al Mittente. Esistono tre tipi di ricevute: Ricevuta Breve Ricevuta Sintetica Ricevuta Completa Nel caso dovesse verificarsi qualche errore viene inviato un AVVISO di MANCATA CONSEGNA al mittente. Ricevuta di Consegna Gestore del destinatario Punto di consegna Mail PEC Destinatario 12
www.postacertificata.gov.it 13
I Certificati S/MIME La normativa italiana prevede l utilizzo dei certificati S/MIME in alternativa ai sistemi di PEC che presentano alcuni limiti: La PEC è uno standard italiano non riconosciuto all estero L e-mail inviata con sistema PEC ha valore legale solo se entrambi gli utenti sono dotati di un account di posta elettronica certificata I certificati S/MIME sono compatibili con qualsiasi sistema e sono riconosciuti in ambito internazionale 14
I servizi offerti S/MIME S/MIME fornisce due servizi di protezione: Firme Digitali Crittografia dei Messaggi Ciascuno di questi servizi consente di risolvere problemi specifici di protezione, le firme digitali forniscono il supporto all autenticazione e per il non ripudio, mentre le crittografia garantisce la riservatezza dei messaggi. 15
!"#$%&'(2*'3&'/"%0&'+"#"4&3,','3&'-%"44.#%&/"&'&553"-&4"'&"'-,%4"/"-&4"'67898:'";'";<". 1.Corpo del messaggio 2.Chiave privata del mittente 3.Chiave pubblica del destinatario 4.Firma con la chiave privata del mittente 5.Crittografia con la chiave pubblica del destinatario 6.Invio # 16
!"#$%&'()*'+&',"%-&'."#"/&+0'0'+&'1%"//2#%&,"&'&33+"1&/"'&"'10%/","1&/"'456768'"9'%"10:"290 1.Ricezione del messaggio 2.Chiave privata del destinatario 3.Chiave pubblica del mittente 4.Decrittografia con chiave privata del destinatario 5.Messaggio in chiaro 6.Firma del messaggio con chiave pubblica del mittente 7.Confronto delle due firme 17
La Conservazione Sostitutiva La formazione e la conservazione della memoria digitale di un soggetto pubblico o privato è un processo che si compone di quattro fasi: Fase preparatoria o preliminare Fase della formazione della memoria digitale Fase della conservazio ne digitale Fase dell accesso o della fruizione 18
La Pianificazione di un Progetto di ConservazioneSostitutiva E importante individuare i processi più critici per numerosità e/o tipologia di documenti gestiti. I criteri per individuarli sono: La numerosità dei documenti prodotti, ricevuti, gestiti all interno di un processo La complessità del ciclo di lavorazione del documento La rilevanza strategica dei documenti La presenza di requisiti legali per la loro conservazione 19
La Pianificazione di un Progetto di ConservazioneSostitutiva(2) 20
Acquisto del Software o soluzione in ASP? Esistono due possibili alternative per effettuare la conservazione sostitutiva: 1. Acquisizione delle licenze software per la conservazione sostitutiva e gestione interna dell attività 2.Ricorso ai servizi di un fornitore esterno al quale poter anche delegare la funzione del responsabile della conservazione 21