DEL DOCUMENTO INFORMATICO



Похожие документы
Documento informatico e firme elettroniche

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Firma Digitale. Informazioni sul servizio ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI GENOVA

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA

La Firma Grafometrica. Per gestire i documenti informatici nativi che prevedono l apposizione di una o più firme autografe

Firma di un documento informatico con la Carta Regionale dei Servizi

Il nuovo CAD L atto pubblico informatico

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

La firma digitale CHE COSA E'?

Seminario formativo. Firma Digitale

L apposizione di firme e informazioni su documenti firmati

Manuale informativo per l utilizzo del Servizio di Firma Elettronica Avanzata (FEA) e Servizio Dematerializzazione Documenti

Firma digitale: aspetti tecnologici e normativi. Milano,

Allegato A: Regole tecniche per la gestione dell identità.

Nota informativa sulla Firma Grafometrica.

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

Procedure di utilizzo e di descrizione applicativa

La dematerializzazione dei documenti amministrativi. La formazione del documento digitale. Notaio Gea Arcella

Linee Guida per la valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati nella generazione della firma

Canali e Core Banking

Nota informativa sulla Firma Grafometrica.

Tecnologicamente, la firma digitale è il risultato di una procedura complessa che si basa su tre elementi:

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

REGOLAMENTO PER LA PRESENTAZIONE DI ISTANZE E DICHIARAZIONI PER VIA TELEMATICA

DISCIPLINARE PER LA STIPULAZIONE DEI CONTRATTI IN MODALITÀ ELETTRONICA

Cos è e come funziona la Firma Digitale attivata in convenzione con Aruba PEC SpA

I riflessi della responsabilità notarile nell attività amministrativa. Notaio Gea Arcella

FIRMA ELETTRONICA AVANZATA IN MODALITÀ GRAFOMETRICA NOTA INFORMATIVA

INDICE 1. SCOPO DEL DOCUMENTO

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

Nota informativa sulla Firma Grafometrica.

Il documento informatico: sottoscrizione e conservazione

DOCUMENTO ANALOGICO E DOCUMENTO DIGITALE: DEFINIZIONI E CENNI SULLA NORMATIVA Elisabetta Bombardieri Insiel S.p.A.

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

CHE COS E LA FIRMA DIGITALE

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Le copie in ambiente digitale: ha ancora un senso il concetto di copia?

Guida alla FATTURAZIONE ELETTRONICA

MANUALE DI CONSERVAZIONE

A. Nesti A.M. Fino. C. Villani REGISTRO DELLE MODIFICHE REVISIONE DESCRIZIONE EMISSIONE. Prima emissione 14/07/2014

Art. 1 - Finalità. Art. 2 - Formazione del contratto in modalità elettronica

La Firma Grafometrica (la firma apposta su tablet con una particolare penna) è ammessa e anzi favorita dalla normativa vigente, ed in particolare:

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI

Quasar Sistemi S.r.l.

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

Seminario Formativo. La Posta Elettronica Certificata (PEC)

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

Avviso 1/2014 Procedura Caricamento Documentazione con Firma Digitale

Firma Digitale per l Ordine degli Ingegneri di Messina

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

10 anni di firme. Le declinazioni della firma grafometrica. Le declinazioni della firma grafometrica. una riflessione banale

Informatica per la comunicazione" - lezione 13 -

Le 4 caratteristiche oggettive del documento informatico e la forma scritta

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

e-government La Posta Elettronica Certificata

Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici. Decreto 23 gennaio art.. 1) Definizioni (art(

Docsweb Digital Sign: la Firma Grafometrica

Validità legale della cartella clinica informatizzata

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

FIRMA DIGITALE Cos'è e come funziona

Firma HSM. A cura di: Enrico Venuto. Politecnico di Torino Coordinatore sicurezza informatica di ateneo

La firma digitale e le sue possibili applicazioni

Identità certa nei processi online Identity & Service Provider SPID

Firma Digitale per il il Consiglio Nazionale degli Ingegneri

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

PEC un obbligo che semplifica

L ISTRUZIONI PER L USO Strumenti, metodi e criticità per creare, gestire e conservare la posta elettronica

Autorità Emittente CNS Contraente. Certificatore Accreditato

La firma digitale. Diagnostica per immagini e Radioterapia nel 2011 Fare sistema CongressoAITASIT novembre 2011

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

CIRCOLARE N. 58/E. Direzione Centrale Servizi ai Contribuenti. Roma 17 ottobre 2008

Torino - Aula magna Pala Giustizia - 11 maggio 2016 Dispositivi di firma digitale e CNS Dott. Paolo Lorenzin

DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE

POSTA ELETTRONICA CERTIFICATA

* Creare un documento unico di iscrizione in formato tessera (card) per tutti gli iscritti all Ordine dei Consulenti del Lavoro che:

Edok Srl. FatturaPA Light. Servizio di fatturazione elettronica verso la Pubblica Amministrazione. Brochure del servizio

Cos'è, in concreto la firma digitale? Come si utilizza?

Documento n. 102/004. Nota informativa sulla Firma Grafometrica.

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Firma Digitale per l Ordine degli Ingegneri di Napoli

LA FIRMA DIGITALE. Estratto dal sito web del Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA) 1

Транскрипт:

Sistema LA VERIFICAZIONE Itinerario DEL DOCUMENTO INFORMATICO Dal disconoscimento della firma elettronica agli accertamenti tecnici di possibile verifica in funzione della tipologia di firma: A) debole - B) qualificata / digitale C) avanzata 1 Sigla pag. 1 5-1

A -Verifica della firma debole (in generale) La verifica di una firma debole o leggera è strettamente correlata al tipo di firma applicata al documento, e in mancanza di requisiti codificati in base a una norma precisa la verifica deve essere effettuata ogni volta in base a una analisi del meccanismo adottato e delle evidenze portate a prova della apposizione Possiamo analizzare a titolo di esempio alcune delle tipologie di firma debole presentate nei precedenti moduli, e precisamente: Firma con uso di semplice userid e password Firma mediante digitalizzazione (scansione) della firma autografa su carta Firma con uso di certificati X509 (con chiavi asimmetriche) rilasciati da Certification Authority non accreditate Firma con utilizzo di dati biometrici gestiti secondo schemi non protetti o parzialmente protetti Per ciascuna tipologia chi deve giudicare la bontà della firma e quindi la sua accettabilità deve rifarsi all art. 20, co. 1-bis del C.A.D., per cui L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità 5-2

A - Verifica della firma debole (in generale) Processo di verifica del valore probatorio di una firma debole I. Giudizio di Qualità Analisi del tipo di meccanismo adottato, e della sua idoneità a garantire una adeguata robustezza della associazione al documento firmato II. Giudizio di Sicurezza Analisi dei metodi adottati per garantire una adeguata protezione e non violabilità dei dati identificativi della persona (ovvero di chi appone la firma) III. Giudizio di Integrità Analisi delle caratteristiche di associazione dei dati di firma al documento, e della loro idoneità a garantire un accoppiamento sufficientemente forte dell insieme documento+firma IV. Giudizio di Immodificabilità Analisi dei presidi tecnologici adottati per garantire la non modificabilità del documento dopo l apposizione della firma Le norme tecniche in materia sono recate (anche mediante riferimenti e rinvii ad altre fonti e documenti) dal D.P.C.M. 22 febbraio 2013 (v. art.3, comma 3) 5-3

A.1 - Verifica della firma debole (primo caso) 1) Firma con userid e password Paradigma fondante: What you know Ciò che sai L associazione dei dati di firma al documento deve essere definita (ad esempio con una busta di tipo MIME o S/MIME, o con la raccolta di un evento registrato su un file di log mantenuto su qualche sistema) Il problema principale di questo tipo di firma sta nella modalità di associazione dei dati di firma con il documento: un aspetto che condiziona fortemente tutti e quattro i criteri normativi di valutazione, e pertanto avremo a livello di Qualità: minima (S/MIME) o scarsa (log) Sicurezza: inadeguata (S/MIME) o dipendente dalla sicurezza dei file di log Integrità: minima (S/MIME) o dipendente dalla sicurezza dei file di log Immodificabilità: non garantita 5-4

A.2 - Verifica della firma debole (secondo caso) 2) Digitalizzazione della firma autografa Paradigma fondante: What you are + what you have / Ciò che sei + ciò che hai In questo caso il meccanismo di associazione dei dati di firma al documento è realizzabile utilizzando tipologie di documenti strutturati, quali: file PDF file MS-Word o Open-Office file XML in cui è possibile associare facilmente elementi grafici al documento A livello di giudizio - in base ai noti quattro criteri - abbiamo: Qualità: minima: facilità di modificazione del dato di firma Sicurezza: minima: facilità di cattura del dato di firma (furto di identità) Integrità: minima: facilità di modificazione del dato di firma e difficoltà di verifica della bontà dell immagine grafica Immodificabilità: non garantita 5-5

A.3 - Verifica della firma debole (terzo caso) 3) Firma con certificati X509 (chiavi asimmetriche) rilasciati da Certification Authority non accreditate Paradigma fondante: What you have / Ciò che hai Si tratta di meccanismi di firma che adottano gli stessi metodi utilizzati nelle firme qualificate e digitali (chiavi asimmetriche, certificati X509, Certification Authority benché non accreditata), in cui mantenimento della chiave segreta e il processore di firma può essere: debole: mantenuto su un file PKCS12 e utilizzo del computer utente forte: mantenuto su una SmartCard o etoken crittografica Criteri valutativi Qualità: adeguata, comparabile con la firma qualificata o digitale Sicurezza: minima nel caso di certificati PKCS12 (facilità di cattura del dato di firma - furto di identità), adeguata nel caso di utilizzo di dispositivi sicuri (SmartCard / Token) Integrità: adeguata, comparabile con la firma qualificata o digitale, compatibilmente con il livello di protezione delle credenziali della Certification Authority Immodificabilità: adeguata, comparabile con la firma qualificata o digitale 5-6

A.4 - Verifica della firma debole (quarto caso) 4) Utilizzo di dati biometrici gestiti secondo schemi non o parzialmente protetti Paradigma fondante: What you are / Ciò che sei Si tratta di meccanismi di firma assimilabili alla Firma Elettronica Avanzata, ma che si discostano da questa per le mancanza di una terza parte che mantiene la chiave segreta di verifica forte e per la possibile mancanza di un meccanismo di enrollment con mantenimento sicuro dei template di verifica biometrica Criteri valutativi Qualità: adeguata, comparabile con la firma elettronica avanzata Sicurezza: parzialmente adeguata, dipendente dal livello di protezione della chiave segreta di verifica forte e dalla eventuale presenza di un meccanismo di enrollment con mantenimento sicuro dei template di verifica biometrica Integrità: adeguata, comparabile con la firma elettronica avanzata, compatibilmente con il livello di protezione della chiave segreta di verifica forte e il livello di sicurezza del mantenimento dei template di verifica biometrica (se presente un meccanismo di enrollment ) Immodificabilità: adeguata, comparabile con la firma elettronica avanzata 5-7

B - Verifica della firma qualificata e digitale Verifica delle firme elettroniche qualificate e digitali E presente un indicazione normativa espressa (v. art. 14 D.P.C.M. del 22 febbraio 2013), che impone ai certificatori che rilasciano certificati qualificati di fornire ovvero di indicare almeno un sistema che consenta di effettuare la verifica delle firme elettroniche qualificate e delle firme digitali, conforme ai provvedimenti emessi (ex art. 4, co. 2 stesso DPCM) dall Agenzia per l Italia Digitale. I medesimi provvedimenti sono deputati a definire sul piano tecnico, anche ai fini del riconoscimento e della verifica del documento informatico:... gli algoritmi di generazione e verifica della firma elettronica qualificata e della firma digitale, le caratteristiche delle chiavi utilizzate, le funzioni di hash, i formati e le caratteristiche dei certificati qualificati e dei certificati di attributo, i formati e le caratteristiche della firma elettronica qualificata e della firma digitale, delle marche temporali, le caratteristiche delle applicazioni di verifica di cui all'art. 14, il formato dell'elenco di cui all'art. 43 del presente decreto (Elenco pubblico dei certificatori accreditati), le modalità con cui rendere disponibili le informazioni sullo stato dei certificati Un certificato di attributo è un certificato che non riporta la chiave pubblica del titolare, ma solo uno o più attributi che specificano gruppo di appartenenza, ruoli, funzioni, eccetera. Nelle more dell'emanazione di tali provvedimenti, continua ad applicarsi la deliberazione del C.N.I.P.A. n. 45 del 21 maggio 2009 e successive modificazioni. 5-8

B - Verifica della firma qualificata e digitale Il sistema di verifica delle firme elettroniche qualificate e digitali, per essere realizzato e funzionante a norma, deve quantomeno: 1. presentare, almeno sinteticamente, lo stato di aggiornamento delle informazioni di validità dei certificati di certificazione presenti nell'elenco pubblico; 2. visualizzare le informazioni presenti nel certificato qualificato (art. 28, co 3, del CAD) Il certificato qualificato puo' contenere, ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato e' richiesto: a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonche' poteri di rappresentanza; b) i limiti d'uso del certificato, inclusi quelli derivanti dalla titolarita' delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell'articolo 30, comma 3. c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato puo' essere usato, ove applicabili. nonche' le estensioni obbligatorie nel certificato qualificato (qcstatements), indicate nei già citati provvedimenti dell AgID; 3. consentire l'aggiornamento, per via telematica, delle informazioni pubblicate nell'elenco pubblico dei certificatori; 5-9

B - Verifica della firma qualificata e digitale (segue) 4. in caso di firme multiple, visualizzare l'eventuale dipendenza tra queste; 5. visualizzare chiaramente l'esito della verifica dello stato dei certificati qualificati e di eventuali certificati di attributo secondo le modalità indicate nei ridetti provvedimenti dell AgID; 6. evidenziare l'eventuale modifica del documento informatico dopo la sottoscrizione dello stesso; 7. consentire di salvare il risultato dell'operazione di verifica su un documento informatico 8. rendere evidente la circostanza di cui all'art. 19, comma 7, del DPCM in esame, ossia: Il certificato qualificato può contenere l'indicazione che l'utilizzo della chiave privata per la generazione della firma è subordinato alla verifica da parte del certificatore della validità del certificato qualificato e dell'eventuale certificato di attributo. 5-10

B - Verifica della firma qualificata e digitale Tecnica di Verifica delle firme digitali - 1 File PKCS#7 1 Sincronizzazione Rete orologio NTP File Originale Testata PKCS#7 File Originale estrazione file originale 2 HASH 5 HASH decodificato HASH ricalcolato Ks HASH firmato con Ks Certificato X.509 Utente 3 estrazione certificato utente Decodifica (Kp) 4 Certificato X.509 Utente Verifica integrità HASH 6 Certificato X.509 CA Verifica certificato utente 7 5-11

B - Verifica della firma qualificata e digitale Tecnica di Verifica delle firme digitali - 2 Verifica certificato utente File PKCS#7 Testata PKCS#7 File Originale 8 estrazione certificato CA Certificato X.509 CA Certificato X.509 Utente Verifica in DB Root 9 Verifica firma cert.utente 10 Ks HASH firmato con Ks Certificato X.509 Utente DB Root Certificati CA trusted Verifica periodo validità Verifica key-usage (non repudiation) 11 12 Certificato X.509 CA Verifica OCSP CRL 13 5-12

C - Verifica della firma elettronica avanzata Tecnica di Verifica delle firme elettroniche avanzate grafometriche Una firma elettronica avanzata di tipo grafometrico (o più in generale biometrica), in conseguenza dello schema di firma basato su una doppia impronta (hash) sui dati biometrici, prevede due tipologie di verifica La verifica semplice ( lite o leggera) viene effettuata sulla prima impronta calcolata sui dati biometrici cifrati con la chiave master pubblica, e può essere condotta da qualsiasi utente senza disporre di informazioni riservate come la chiave master privata. L utente generico può ricalcolare l impronta del documento senza problemi e verificare che il documento non sia stato alterato. La verifica forte (o strong ) viene effettuata sulla seconda impronta calcolata sui dati biometrici in chiaro, ed è quella decisiva per le verifiche da compiere in caso di contenzioso giudiziale: deve essere svolta in un ambiente di adeguata sicurezza e solo su specifiche autorizzazioni delle parti coinvolte (o comunque per ordine del giudice e con incarico ad un c.t.u.) La chiave master segreta viene utilizzata per decifrare il dato biometrico e ricalcolare la nuova impronta 5-13

C - Verifica della firma elettronica avanzata Ritmo Velocità Pressione Accelerazione Inclinazione della penna Movimento. Documento Informatico Dati Biometrici 1 Firma Grafica Documento Informatico 7 H1 H2 Firma Digitale AdES certificato owner del processo SignInfo H3 Master Key Pubblica MKP in chiaro Crittografia Chiavi Asimmetriche 3 4 2 Verifica LITE Dati Biometrici cifrati con MKS HASH 5 H1 H2 Verifica STRONG Master Key Segreta MKS H1 6 Processo di Firma HASH H2 5-14

C - Verifica della firma elettronica avanzata Tecnica di Verifica delle firme elettroniche avanzate grafometriche La verifica forte della seconda impronta permette di portare in chiaro i dati biometrici rilevati al momento di apposizione della firma, e di effettuare anche la verifica biometrica vera e propria effettuando la validazione biometrica dei dati di firma rispetto al template di enrollment, ovvero i dati biometrici di confronto rilevati al momento della stipula del contratto tra l ente principale (banca, assicurazione, PA) e l utente finale Questa seconda fase della verifica forte permette di verificare effettivamente (con ragionevole certezza) che la firma è stata apposta veramente dall utente finale 5-15

La rivoluzione analogico/digitale nella pratica forense: le fasi vitali del documento fra informatica e diritto Per eventuali contatti, scrivere a: eugenio.remus@gmail.com cliziomerli@gmail.com; clizio@clizio.com (C) 2014 - Eugenio Remus & Clizio Merli

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back