Abbiamo così concluso il nostro viaggio nel magico mondo della firma digitale.
Putroppo (per chi legge) non è ancora finita.
Rimane il problema dell’accoppiamento delle marche temporali apposte a documenti (file) generici, non necessariamente firmati, che smarchiamo nel prossimo e ultimo paragrafo.
32
Firma Digitale e Non
Per completezza di informazione, gli standard ETSI che interessano la firma digitale sono elencati di seguito. Se ne ho dimenticato qualcuno, mi scuso in anticipo. (A proposito: nella tabella la sigla ESI significa Electronic Signatures and Infrastructures).
ETSI TR 102 030 V1.1.1 (2002-03)
Provision of harmonized Trust Service Provider status information
ETSI TR 102 040 V1.3.1 (2005-03)
ESI: International Harmonization of Policy Requirements for CAs issuing Certificates ETSI TR 102 041 V1.1.1 (2002-02)
Signature Policies Report
ETSI TR 102 044 V1.1.1 (2002-12)
ESI: Requirements for role and attribute certificates
ETSI TR 102 045 V1.1.1 (2003-03)
ESI: Signature policy for extended business model
ETSI TR 102 046 V1.2.1 (2004-06)
ESI: Maintenance report
ETSI TR 102 047 V1.2.1 (2005-03)
International Harmonization of Electronic Signature Formats
ETSI TR 102 153 V1.1.1 (2003-02)
ESI: Pre-study on certificate profiles
ETSI TR 102 272 V1.1.1 (2003-12)
ESI: ASN.1 format for signature policies
ETSI TR 102 317 V1.1.1 (2004-06)
ESI: Process and tools for maintenance of ETSI deliverables
ETSI TR 102 437 V1.1.1 (2006-10)
ESI: Guidance on TS 101 456 (Policy Requirements for certification authorities ETSI TR 102 438 V1.1.1 (2006-03)
ESI: Application of Electronic Signature Standards in Europe
ETSI TR 102 458 V1.1.1 (2006-04)
ESI: Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456)
ETSI TR 102 572 V1.1.1 (2007-07)
Best Practices for handling electronic signatures and signed data for digital accounting ETSI TR 102 605 V1.1.1 (2007-09)
ESI: Registered E-Mail
ETSI TS 101 456 V1.4.3 (2007-05)
ESI: Policy requirements for certification authorities issuing qualified certificates ETSI TS 101 862 V1.3.2 (2004-06)
Qualified Certificate profile
ETSI TS 101 733 V1.8.1 (2009-11)
ESI: CMS Advanced Electronic Signatures (CAdES)
ETSI TS 101 861 V1.3.1 (2006-01)
Time stamping profile
ETSI TS 101 862 V1.3.3 (2006-01)
Qualified Certificate profile
ETSI TS 101 903 V1.4.1 (2009-06)
XML Advanced Electronic Signatures (XAdES)
ETSI TS 102 023 V1.2.2 (2008-10)
ESI: Policy requirements for time-stamping authorities
ETSI TS 102 280 V1.1.1 (2004-03)
X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons ETSI TS 102 573 V1.1.1 (2007-07)
ESI: Policy requirements for trust service providers signing and/or storing data for digital accounting
ETSI TS 102 734 V1.1.1 (2007-02)
ESI: Profiles of CMS Advanced Electronic Signatures based on TS 101 733 (CAdES) ETSI TS 102 904 V1.1.1 (2007-02)
ESI: Profiles of XML Advanced Electronic Signatures based on TS 101 903 (XAdES) ETSI TS 102 042 V2.1.2 (2010-04)
ESI: Policy requirements for certification authorities issuing public key certificates ETSI TS 102 231 V3.1.2 (2009-12)
ESI: Provision of harmonized Trust-service status information
ETSI TS 102 176-1 V2.0.0 (2007-11)
ESI: Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
ETSI TS 102 176-2 V1.2.1 (2005-07)
ESI: Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices
ETSI TS 102 640-1 V2.1.1 (2010-01)
ESI: Registered Electronic Mail (REM); Part 1: Architecture
ETSI TS 102 640-2 V2.1.1 (2010-01)
ESI: Registered Electronic Mail (REM); Part 2: Data requirements, Formats and Signatures for REM
ETSI TS 102 640-3 V2.1.1 (2010-01)
ESI: Registered Electronic Mail (REM); Part 3: Information Security Policy Requirements for REM
Management Domains
ETSI TS 102 640-4 V2.1.1 (2010-01)
ESI: Registered Electronic Mail (REM) Part 4: REM-MD Conformance Profiles ETSI TS 102 640-5 V2.1.1 (2010-01)
ESI: Registered Electronic Mail (REM); Part 5: REM-MD Interoperability Profiles ETSI TS 102 778-1 V1.1.1 (2009-07)
ESI: PDF Advanced Electronic Signature Profiles; Part 1: PAdES Overview - a framework document for PAdES
ETSI TS 102 778-2 V1.2.1 (2009-07)
ESI: PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic - Profile based on ISO
32000-1
ETSI TS 102 778-3 V1.1.2 (2009-12)
ESI: PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles
ETSI TS 102 778-4 V1.1.2 (2009-12)
ESI: PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term - PAdES-LTV Profile ETSI TS 102 778-5 V1.1.2 (2009-12)
ESI: PDF Advanced Electronic Signature Profiles; Part 5: PAdES for XML Content - Profiles for XAdES signatures
33
Firma Digitale e Non
Come accopiare documenti e marche temporali: M7M e TSD
Con lo standard CAdES-T abbiamo trovato il modo di associare alle singole firme la loro marca temporale (ove necessario). Questo per le firme.
E per i documenti marcati temporalmente nel loro complesso?
Nel capitolo precedente relativo alle marche temporali e allo standard RFC 3161, si era detto che da un qualunque file è possibile ottenere, con il supporto di una TSA, la sua marca temporale (file di tipo ‘.tsr’).
Il file originale e la relativa marca temporale possono:
essere mantenuti separatamente (ad esempio un file ‘.doc’ e il file ‘.tsr’): ma bisogna ricordarsi che i due file
-
sono correlati, altrimenti la marca temporale da sola non serve a nulla; essere accoppiati in un unico file secondo una regola pratica introdotta a suo tempo nel panorama italiano
-
da InfoCamere, e largamente condivisa: viene creato un file di tipo S/MIME23, con estensione ‘.m7m’, che comprende sia il file originale, ad esempio ‘.doc’, che la marca temporale ‘.tsr’; essere accoppiati in un unico file secondo lo standard RFC 5544 (Syntax for Binding Documents with Time-
-
Stamps ): in tal caso viene creato un file con estensione ‘.tsd’, che comprende sia il file originale, ad esempio ‘.doc’, che la marca temporale ‘.tsr’.
E con questo abbiamo terminato.
Rimangono ovviamente tutte le novità che ci riserva il futuro. Purtroppo tra le tante mie doti (e vi assicuro, non sono poche!) mi manca la sfera di cristallo, e mi trovo pertanto costretto a smettere di tediarvi.
Alla prossima.
23 S/MIME: acronimo di Secure/Multipurpose Internet Mail Extensions, è un formato sviluppato dalla RSA Data Security Inc. basato sullo standard PKCS#7 lo standard X.509v3.
34
Firma Digitale e Non
Un po’ di tecnologia: PKI
Una PKI (Public Key Infrastructure) è l’insieme delle risorse tecnologiche, organizzative e amministrative utilizzate e adottate da un certificatore per svolgere le proprie funzioni di Registration Authority e di Certification Authority. In particolare con PKI si intende una suite di componenti software e hardware orientata a gestire il ciclo completo di firma digitale basata sui certificati X.509, in termini di: 1. gestione di una Registration Authority centrale, eventualmente interoperante con una Struttura Anagrafica centrale di licenze e utenti;
2. gestione di una o piú Certification Authorithy centrali, interoperanti con la Registration Authority ed eventualmente con la Struttura Anagrafica;
3. gestione delle attivitá di richiesta, acquisizione e gestione locale dei certificati X.509 degli utenti operanti all’interno di una licenza;
4. gestione delle attivitá di firma dei documenti e di verifica dei documenti firmati, con l’utilizzo di certificati X.509.
Da un punto di vista tecnico lo scenario di firma digitale può essere realizzato utilizzando certificati e chiavi segrete mantenuti su supporti ottici o magnetici (e comunque manipolabili direttamente dall’utente), oppure su dispositivi protetti quali SmartCard o HSM (Hardware Security Module). Quando i certificati e le relative chiavi segrete sono mantenuti su supporti ottici o magnetici si parla comunemente di firma digitale debole (dove la CPU che opera crittograficamente nel processo di firma è la stessa CPU del computer su cui sono gestiti i documenti), mentre quando i certificati e le relative chiavi segrete sono mantenuti su dispositivi protetti si parla di firma digitale forte (dove la CPU che opera crittograficamente nel processo di firma è una CPU dedicata operante all’interno del dispositivo protetto).