Avvisi

Si ricorda agli utilizzatori che per generare firme conformi alla normativa vigente è necessario mantenere aggiornate le applicazioni di firma digitale.

**********

Nuova modalità di pubblicazione dell'elenco pubblico dei certificatori in conformità al Regolamento eIDAS 

Con l'emanazione del Regolamento eIDAS, dal 1 luglio 2016, l'Agenzia ha dovuto utilizzare due nuovi certificati per la verifica sottoscrizione dell'elenco pubblico dei certificatori e modificare la modalità di pubblicazione dell'elenco (Trusted List/Elenco di fiducia).

Ulteriori informazioni sono disponibili nella sezione Certificati.

**********

Formati di firma digitale obbligatoriamente accettati dalle pubbliche amministrazioni

La normativa attualmente vigente (Deliberazione n. 45) impone alle pubbliche amministrazioni di accettare alcuni formati di firma digitale. Fra questi, non vi è il formato PAdES (PDF - ISO 32000) che può essere accettato o meno. 

A decorrere dal 1° luglio 2016 con la piena efficacia del Regolamento eIDAS (n. 910/2014) diviene obbligatorio per tutte le pubbliche amministrazioni che accettano firme digitali accettare tutti i formati definiti nella DECISIONE DI ESECUZIONE (UE) 2015/1506 DELLA COMMISSIONE dell'8 settembre 2015, fra quelli previsti, anche il formato PDF.

Oltre a sottolineare l'opportunità di accettare tale diffuso formato di firma, si evidenzia che la Decisione può essere applicata anche prima della decorrenza del citato obbligo. Si invitano le pubbliche amministrazioni a considerare tale opportunità.

Si ricorda che, al fine di verificare la validità delle firme elettroniche qualificate basate su certificati rilasciati da tutti i soggetti autorizzati in Europa, la Commissione europea ha reso disponibile un'applicazione open source che questa Agenzia rende disponibile per l'utilizzo online nella sezione "Software di verifica", direttamente accessibile qui.

**********

Indicazione del Codice Fiscale nel certificato di firma digitale

Visto che il Codice Fiscale è elemento indispensabile in taluni procedimenti amministrativi, considerando che soggetti residenti all'estero sono dotati di Codice Fiscale rilasciato in Italia, si precisa che nell'attributo serialNumber (OID: 2.5.4.5) del campo SubjectDN, presente nei certificati qualificati di firma digitale conformemente alla Deliberazione n. 45/2009,  può essere indicato il Codice Fiscale rilasciato in Italia anche nel caso in cui il titolare del certificato sia residente all'estero. Il codice fiscale è, in questo caso, preceduto dal country code ISO 3166 "IT" e dal carattere “:”(in notazione esadecimale “0x3A”).

**********

Sostituzione dei dispositivi di firma digitale remota

Il termine previsto dal DPCM 19 luglio 2012, che consente di utilizzare la firma digitale remota su dispositivi non certificati fino al 9 febbraio 2015, è stato differito al 1° settembre 2015, con DPCM 5 febbraio 2015 a firma dei Ministri Madia, Guidi, Padoan. I certificatori interessati possono presentare all'Agenzia piani di migrazione per la sostituzione dei dispositivi non certificati, le autocertificazioni e le autodichiarazioni, già rese ai sensi del decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, continuano a spiegare ininterrottamente i propri effetti fino al 1° settembre 2015.

**********

CAD, articolo 35 comma 5: Linee guida

Sulla G.U. Serie Generale n.271 del 21-11-2014 è stato comunicato che l'Agenzia ha pubblicato le Linee guida per la valutazione della conformita' del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma previste dall'articolo 35, comma 5, del decreto legislativo 7 marzo 2005, n. 82.

**********

Il DPCM 19 luglio 2012 consente ai processi per la generazione della firma elettronica qualificata (e firma digitale) remota e automatica di utilizzare dispositivi di firma (HSM) le cui caratteristiche di sicurezza sono oggetto di autocertificazione da parte dei certificatori accreditati.

Tale decreto fissa al 9 febbraio 2015 il termine dell’efficacia di dette autocertificazioni.

Conseguentemente, a decorrere dal 10 febbraio 2015, eventuali firme elettroniche generate successivamente a tale termine su dispositivi di firma che non hanno ottenuto la prevista certificazione, non sarebbero inquadrabili quali firme digitali o firme elettroniche qualificate.

Sempre con decorrenza 10 febbraio 2015, i certificatori accreditati hanno l’obbligo di revocare eventuali certificati qualificati le cui chiavi continuino a essere utilizzate su dispositivi per la generazione della firma non certificati.  

**********

Firma digitale verificata ab origine

E' stata emanata la Determinazione Commissariale n. 63/2014 che stabilisce, ai sensi dell'articolo 19, comma 7, del DPCM 22 febbraio 2013, le modalità con cui rendere noto nel certificato qualificato che l’utilizzo della chiave privata per la generazione della firma è subordinato alla verifica da parte del certificatore della validità del certificato qualificato e dell’eventuale certificato di attributo. Il provvedimento consente di generare firme digitali con la particolarità di essere direttamente verificabili senza la necessità di accedere alle liste di revoca o sospensione dei certificati in quanto è il certificatore che garantisce che ogni firma digitale basata su tali certificati qualificati è stata generata durante il periodo di validità degli stessi.

Le applicazioni di verifica fornite dai certificatori accreditati dovranno essere aggiornate non oltre il 30 aprile 2015.

**********

DPCM 22 febbraio 2013, articolo 63 comma 3 - Codifica firma XAdES

In Italia, le caratteristiche delle applicazioni di generazione della firma XML fornite dai certificatori accreditati sono definite nella Deliberazione CNIPA n. 45 del 21 maggio 2009. La deliberazione prescrive (art. 21, comma 16) che “Ai sensi del comma 8, sono altresì riconosciuti il formato di busta crittografica e di firma descritti nei documenti ETSI TS 101 903 – XAdES (versione 1.4.1) e ETSI TS 102 904 (versione 1.1.1).” .

L’art. 9 della Deliberazione prescrive che “L’elemento KeyInfo, opzionale nella specifica RFC 3275, deve essere sempre presente nella busta crittografica.”.

La specifica ETSI TS 101 903 prescrive che possa essere usato l’elemento KeyInfo ovvero il SigningCertificate.

Visto quanto disposto al sopra citato art. 21 della deliberazione, considerata l’esigenza di salvaguardare la validità delle firme XML generate con strumenti forniti da certificatori accreditati in altri Stati membri dell’Unione, si chiarisce che, fermo restando il rispetto della citata specifica ETSI,  l’assenza dell’elemento KeyInfo non ha come conseguenza l’invalidità della firma XAdES.

**********

DPCM 22 febbraio 2013, articolo 63 comma 3 - Codifica dell'algoritmo di hash

 

In Italia, come anche in diversi Paesi europei, è previsto l’uso dello SHA256 nel processo di generazione della firma . Le regole sulle codifiche DER e BER degli oggetti ASN.1 sono specificati nel documento ITU Standards (X.690). In particolare, per quanto riguarda la codifica DER, al paragrafo 11.5 (Set and sequence components with default value) viene esplicitamente riportato: “The encoding of set value of sequence value shall not include an encoding for any component value which is equal to its default value”. Gli standard di riferimento prescrivono quindi che per default l’algoritmo i hash utilizzato nel processo di generazione della firma sia lo SHA256 e che, in questo caso, l’attributo contenente tale informazione (hashAlgorithm) non debba essere presente, peraltro, la presenza di tale informazione non introduce alcun problema di sicurezza. Ciò premesso, chiarendo che i certificatori accreditati devono rispettare anche tale previsione nella realizzazione dei prodotti di generazione della firma digitale, ai sensi dell'articolo 63 comma 3 del DPCM 22 febbraio 2013, si evidenzia che qualora tale informazione fosse comunque presente attraverso la codifica del campo ESSCerIDv2 (hashAlgorithm), le firme digitali prodotte sono valide.

**********

DPCM 22 febbraio 2013, articolo 63 comma 3 - La marca temporale

La marca temporale consiste nella predisposizione di un oggetto contenente l’hash (riferimento univoco al contenuto del documento) del documento informatico al quale si vuole associare un riferimento temporale opponibile a terzi per dimostrarne l’esistenza. Gli algoritmi di hash generalmente in uso per la generazione dell’hash del documento sono lo SHA-1 e lo SHA-256. Tale hash, generato dalle applicazioni in uso dagli utenti, è inviato ai sistemi di marcatura temporale che i certificatori rendono obbligatoriamente disponibili che generano un oggetto (marca temporale) contenente l’hash del documento e un riferimento temporale (di altissima precisione). La marca temporale è sottoscritta con firma elettronica dai certificatori. Per generate tale firma i certificatori hanno l’obbligo di utilizzare l’algoritmo di hash SHA-256. I certificatori rendono disponibili le applicazioni per generare richieste di marca temporale basate sull'algoritmo SHA-256, ma è compito degli utenti mantenere aggiornate le proprie postazioni di lavoro. Purtroppo numerosi sono gli utenti che non hanno ancora provveduto a tale aggiornamento. Ciò considerato, come stabilito dall'articolo 63 comma 3 del DPCM 22 febbraio 2013, si informa che anche le marche temporali che contengono hash di documenti calcolati con l’algoritmo SHA-1 sono valide, purché la sottoscrizione delle stesse avvenga con il previsto algoritmo SHA-256. L’uso dell’algoritmo SHA-1 non introduce ancora problemi sulla robustezza della marca temporale poiché la stessa è protetta da sottoscrizione con il più robusto algoritmo SHA-256 e, allo stato attuale, utilizzando l’algoritmo SHA-1, non è possibile generare due valori di hash identici che afferiscano a documenti diversi contenenti testo di senso compiuto. Comunque, si suggerisce di non usare l’algoritmo SHA-1 (il cui uso è generalmente personalizzabile dagli utenti), il cui utilizzo non sarà più consentito con l’emanazione delle nuove regole tecnologiche. Si coglie l'occasione per ribadire agli utilizzatori di mantenere aggiornate le applicazioni di firma digitale e marcatura temporale.

**********

DPCM 22 febbraio 2013, articolo 63 comma 3 – Attributo SigningCertificateV2 e marca temporale

Le regole tecnologiche vigenti al febbraio 2014 prescrivono l’uso dell’algoritmo di hash SHA-256 nel processo di generazione delle marche temporali e la conformità con la RFC 3161. Tale RFC, a seguito della modifica apportata con la RFC 5816,  prescrive la presenza dell’attributo SigningCertificateV2.

Premesso che le applicazioni di generazione delle marche temporali devono rispettare tali specifiche, si  informa che le marche temporali contenenti l’attributo SigningCertificate anziché SigningCertificateV2 sono valide in quanto tale difformità non ne mette a rischio la sicurezza.


Informazioni generali sul sito

Torna alla navigazione interna