Tag Archive for 'P7M'

Accetta solo documenti pdf firmati con estensione “.p7m”

Parolina magica: USABILITÀ anche per la firma digitale!

Finalmente una legge delega di un paio di anni fa (la Legge 69/2009) aveva sollecitato il nostro Governo a modificare la normativa sulla firma digitale contenuta nel Codice dell’amministrazione digitale al fine “di semplificarne l’adozione e l’uso da parte della pubblica amministrazione, dei cittadini e delle imprese”

Avv. Andrea Lisi
Coordinatore del Digital&Law Department dello Studio Legale Lisi
http://digitalaw.blogspot.it/2012/07/tratto-dalla-serie-unica-i-peccati.html?spref=fb

ATTENZIONE: La Camera di Commercio di Ferrara, come la maggior parte delle Pubbliche Amministrazioni, accetta solo documenti pdf firmati con estensione “.p7m”, mentre non accetta il formato di firma digitale PDF (in questo caso l’estensione del file rimane .pdf).

Camera di Commercio Ferrara
Come firmare digitalmente un documento
http://www.fe.camcom.it/servizinnovativi/carta-nazionale-dei-servizi/come-firmare-digitalmente-un-documento

Ho voluto accostare il passaggio dedicato all’usabilità dell’articoletto scherzoso e irriverente “Tratto dalla serie unica “I peccati originali digitali”: una vita da ca-phone…per una firma digitale a prova di apprr!” dell’avvocato Lisi postato sul blog dello Studio Lisi, all’avviso (“proclama”?) della sezione “Come firmare digitalmente un documento” della Camera di Commercio di Ferrara, che in pratica disconosce la Deliberazione CNIPA n. 45 del 21 maggio 2009, la quale riconosce il formato PDF per la firma digitale come specifica pubblica e quindi come formato di firma digitale opponibile a terzi.

Nei giorni scorsi mi è capitato di ricevere via email un documento PDF firmato, da controfirmare; l’operazione di verifica della validità della firma apposta sul documento (uso improrpiamente il verbo “apporre”, che nel contesto della crittografia digitale “ci azzecca” poco, ma siccome il documento riporta un grafo di firma, faccio ricorso ad un verbo evocativo) è durata meno di un secondo, il tempo necessario all’add-on per la firma digitale per Adobe Reader di verificare automaticamente l’aggiornamento dei certificati usati dai certificatori accreditati in Italia, pubblicati dal CNIPA/DigitPA attraverso l’elenco pubblico dei certificatori accreditati. A quel punto ho voluto fare un esperimento, dal risultato peraltro scontato, ho firmato il documento con estensione “.p7m” e l’ho rispedito al mittente, un responsabile amministrativo, non certo un nerd informatico. Dopo poco suona il telefono: “non riesco ad aprire il file! Senza che stiamo a perdere tempo, gentilmente me lo può anticiapre via fax e mandarmelo per posta, grazie”. Se da un verso il processo di apertura file e verifica della firma era durato il summenzionato secondo per avviare il client Reader e collegarsi all’elenco pubblico dei certificatori, nell’altro verso il processo di stampa, timbratura e firma autografa su carta, invio via fax e postalizzazione ordinaria dell’originale ha richiesto ben più di un secondo.

Quale è il verso dove stiamo perdendo tempo?

… come la maggior parte delle PA … usabilità ed efficenza, queste sconosciute!


Firmato e timbrato … digitalmente

timbrare [tim-brà-re]
Definizione: v. tr. apporre un timbro, un contrassegno su un foglio, un documento, uno scritto …
http://www.garzantilinguistica.it/
Timbro e firma del datore di lavoro …
Timbro e firma per accettazione …
Timbro e firma del soggetto richiedente (Banca o Intermediario Finanziario) …
Timbro e firma leggibile del Legale Rappresentante …

Il timbro nasce nell’antichità, allorquando era necessario legalizzare gli editti, i messaggi, le condanne, ogni genere di manoscritto per cui bisognava garantire integrità, autenticità e non ripudio. Il timbro, insieme alla firma autografa, era l’unico modo per sigillare un documento, conferendogli,  insieme ad una serie di altri attributi, quali filigrane, tipo di carta, intestazioni, caratteri e inchiostri speciali, ecc., la necessaria ufficialità a garanzia di paternità, integrità e validità per il destinatario. Rappresentava, e rappresenta ancora oggi (vedasi l’uso delle Apostille, e del timbro personale nelle società dell’estremo oriente), il metodo universalmente riconosciuto per garantire integrità e autenticità di un documento.

L’Apostille è un timbro speciale apposto da un’autorità che certifica che un documento è una copia conforme dell’originale, sostituendo la legalizzazione del documento effettuata presso l’ambasciata dello Stato in cui verrà utilizzato. L’Apostille è una certificazione ufficiale disponibile nei paesi firmatari della Convenzione dell’Aja del 1961, che serve tipicamente quando viene richiesta la copia di un documento ufficiale straniero, ad es. matrimoni, adozioni, successioni ereditarie, ma anche semplici contratti internazionali.

Volendo dare una collocazione alla firma e al timbro nel nostro attuale sistema di norme e leggi, la prima identifica la persona fisica ed il secondo la persona giuridica, cosicchè oggi, firmare e timbrare un documento, significa avvalorare a “doppia chiave” il medesimo; in molti casi, la mancanza del timbro, invalida, o rende nullo, il documento firmato!

Se ci trasferiamo nel mondo digitale il timbro mantiene inalterata tutta la sua valenza di sigillo, garantendo al documento elettronico, attraverso una rappresentazione convenzionale di informazioni contenute nel documento elettronico (c.d. glifo, o codice bidimensionale), autenticità, integrità e non ripudio anche nel caso in cui questi venga stampato, trasferendo la firma digitale sul supporto cartaceo. In pratica il glifo contiene al suo interno una rappresentazione identica, alternativa e non alterabile del contenuto del documento, scritta e codificata con l’alfabeto dei codici a barre, unitamente alla certificazione della fonte che ha emesso il documento, leggasi firma digitale. Il timbro digitale/glifo permette di generare documentazione ibrida (documenti cartacei validi digitalmente e viceversa) sicura/anticontraffazione ed originale, prorogando la validità giuridica del documento informatico, firmato digitalmente, anche nel caso di stampa su carta. Il glifo altri non è che una evoluzione (qualitativa e quantitativa) di quella serie di linee bianche e nere con cui noi tutti abbiamo fatto conoscenza al momento di pagare la nostra spesa alla cassa del supermercato, che risponde al nome ”codice a barre”.

Chiariamo un punto: non esiste la firma digitale su carta, esiste il trasferimento della firma digitale sul supporto cartaceo, solo riportando la firma digitale in un contesto elettronico, ovverosia ritrasformando il documento cartaceo in un documento elettronico, possiamo controllarne l’autenticità.

Qualsiasi documento oggigiorno nasce digitalmente su un computer

… ma siccome lo standard/supporto più diffuso e più facile in ambito di creazione, trasmissione e conservazione documentale rimane la carta, esistono tuttora numerose situazioni in cui documenti, dei quali occorra garantire l’autenticità, possano attraversare nel corso del loro ciclo di vita, uno o più passaggi attraverso la carta, in altre parole debbano essere stampati. La carta, a causa di una serie di problematiche non solo tecniche, ma soprattutto organizzative, gestionali ed economiche, difficilmente verrà abbandonata, ci basti pensare a tutti quegli ambiti dove è necessario allegare documentazione “assortita” (proveniente da diverse organizzazioni e dai formati più disparati) a domande, o a richieste da presentare presso enti ed istituzioni, tipicamente banche e PA.

Tutti i documenti timbrati digitalmente sono composti da due elementi fondamentali: il documento di supporto e l’originale contenuto nei glifi/timbro digitale.

Così come per la firma digitale i due momenti che caratterizzano il processo di approvazione e condivisione di un documento sono rappresentati dall’apposizione del timbro/glifo, e dalla sua verifica.

Per timbrare digitalmente un documento elettronico, è necessario disporre di una apposita applicazione server che effettui tutte le operazioni necessarie alla compressione, firma e applicazione dei glifi (timbratura, ndr.) al documento/pagina. I documenti così sigillati/securizzati possono essere inviati via email, pubblicati su un portale, salvati su una chiavetta USB o, stampati su carta.

Per verificare la versione stampata di un documento avremo bisogno di un sistema composto da uno scanner, in grado di acquisire in formato elettronico il documento con il suo timbro, e di un apposito software di visualizzazione (applicazione Windows, o plug-in scaricabile gratuitamente) che sia in grado di estrarre le informazioni contenute nel glifo/timbro digitale, controllare la firma digitale del documento (e relative liste di revoca) e confrontare il documento acquisito (quello che abbiamo davanti ai nostri occhi) con quello orginale, firmato digitalmente, per le necessarie verifiche di autenticità, integrità e non ripudio, tutto questo, ovviamente, in automatico.

In ambito di interoperabilità, il timbro digitale sconta un proliferare di tecnologie e standard (DataMatrix, QrCode, 2D-Plus) alternativi fra loro, che impatta sul processo di verifica, obbligando a dotarsi dei diversi moduli software per la verifica esistenti sul mercato, magari incompatibili tra loro, e senza chiare indicazioni su quale modulo adoperare di volta in volta. Spiragli alla risoluzione del problema si intravedono nella struttura a plug-in, che permettono, a “poco peso” (qualche KB) e senza la necessità di dover riavviare il PC, visualizzazioni di documenti securizzati di, e da, differenti Enti/Società.

Il timbro digitale viene generalmente adottato in contesti dove è necessario securizzare una grande mole di documenti in tempi brevi (certificati anagrafici e di proprietà, cedolini/buste paga, attestati, ricevute di pagamento, ecc.).

Per un maggiore dettaglio su ambiti e modalità di applicazione, tecnologie disponibili, l’offerta di mercato rimandiamo allo studio del CNIPA: Il timbro digitale: una soluzione tecnologica per l’autenticazione di documenti stampati e al Quaderno CONSIP: XI [2006] La firma digitale “su carta” – Applicazione dei codici grafici bidimensionali al cedolino elettronico.

Un ringraziamento a Marco Polsi e Claudio Dosio di LAND per il loro contributo alla stesura di questo post

Un matrimonio magico: formato PDF e firma digitale remota

Quando firmiamo un documento, sottoscrivendolo con il nostro nome, rendiamo fermo quell’atto. Firmando, garantiamo l’autenticità, la provenienza, l’integrità e la validità del documento al suo destinatario.

Nel firmare, la nostra immaginazione evoca due elementi: la carta e la penna!

Ora, se proviamo oggi a convertire i due elementi in qualcosa di informatico altrettanto usabile, ecco quello che salta fuori:

La carta, con il suo contenuto testuale, si trasforma in un documento PDF e la penna nella firma digitale remota, due elementi caratterizzati da estrema semplicità d’uso, così come la carta e la penna, e specificatamente per il formato PDF, dalla larghissima diffusione del visualizzatore Adobe Reader gratuito.

I due momenti che caratterizzano il processo di approvazione e condivisione di un documento sono la firma e la sua verifica: la prima la appone chi sottoscrive il documento, la seconda la effettua chi lo riceve. Della “penna digitale” usabile (firma digitale remota, ndr.), coerentemente con il titolo del blog “firma facile”, abbiamo ampiamente parlato nei post precedenti, del documento e della sua verifica affrontiamo il tema qui di seguito con l’aiuto di Andrea Valle (Enterprise Solution Development Manager c/o Adobe Systems Europe, aka Adobe Guru).

La genesi

Al principio (correva l’anno 1999 …) fu il PKCS#7, meglio noto come p7m, interprete del documento “mensa.pdf.p7m” nel testo “Guida alla firma digitale” del CNIPA.  Un formato caratterizzato da numerose limitazioni d’uso (fra cui complicati cambi di formato ed estensioni con tanto di “imbustamenti” e “sbustamenti”) e che non ha brillato nel ruolo “don’t make me think“. Passano 7 lunghi anni e il CNIPA e Adobe Systems Inc. sottoscrivono un protocollo d’intesa al fine di introdurre nel nostro ordinamento la possibilità di utilizzare il formato di firma definito nelle specifiche PDF, attraverso il RFC 3778, in altre parole il formato PDF viene riconosciuto come formato di firma digitale opponibile a terzi. Il 16 febbraio 2006 rappresenta il giorno in cui la firma digitale e lo standard Portable Document Format (ISO/IEC 32000) iniziano il loro cammino insieme per determinare un successo ineguagliato (e ineguagliabile) nell’ambito della usabilità, interoperabilità e diffusione (a livello mondiale) del documento firmato digitalmente e/o elettronicamente.  Il sodalizio si consolida con la Deliberazione CNIPA n. 45 del 21 maggio 2009, che riconosce il formato PDF per la firma digitale come specifica pubblica e quindi non più in base alla stipula di un protocollo specifico con Adobe (in “tecnichese” parliamo di PAdES). Dalla versione 9 del prodotto Acrobat (nelle versioni Professional e Reader), è stata sviluppata un’utile funzione che permette di gestire automaticamente l’aggiornamento dei certificati usati dai certificatori accreditati in Italia, pubblicati dal CNIPA/DigitPA attraverso l’elenco pubblico dei certificatori accreditati. La società Adobe ha reso disponibile, come funzione nativa, la verifica delle firme digitali, oltre a consentire di poter utilizzare la versione gratuita di Adobe Reader per sottoscrivere con firma digitale (utilizzando i dispositivi di firma forniti dai certificatori accreditati) un documento PDF appositamente predisposto.

L’usabilità in formato PDF

Una tecnologia usabile …

In ambito “don’t make me think”, il formato PDF si contraddistingue per due importanti caratteristiche:

  1. standard documentale de facto per lo scambio e la gestione dei documenti (non solo quelli firmati!), ampiamente condiviso e utilizzato da oltre il 90% degli utenti informatici in rete, e attraverso sistemi desktop di produttività individuale (MS Office, OpenOffice, ecc.);
  2. “Portable Document Properties”: roaming di tutte le proprietà associate alla firma utili alla verifica di integrità (assenza di alterazioni dopo la sottoscrizione), autenticità/paternità, validità, nonchè datazione/marca temporale, per il riconoscimento del pieno valore legale del documento firmato.

La verifica della firma

La procedura di verifica della firma digitale apposta ad un documento informatico consiste sostanzialmente nel verificare che:

  1. il documento non sia stato modificato dopo la firma;
  2. il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori pubblicato dal CNIPA/DigitPA;
  3. il certificato del sottoscrittore non sia scaduto;
  4. il certificato del sottoscrittore non sia stato sospeso o revocato.

In uno “struggente” passaggio contenuto nelle “Linee guida per l’utilizzo della Firma Digitale” del CNIPA (Versione 1.1 – maggio 2004), antecendente al riconoscimento dello standard PDF del 2006, c’è scritto:

Per eseguire queste verifiche (punti 1,2,3,4, ndr.), oltre che per rendere leggibile il contenuto del documento, sono utilizzati specifici software. Detti software sono forniti dai certificatori ai titolari dei certificati; coloro che non sono dotati di un kit di firma digitale possono altresì utilizzare dei software disponibili per uso personale a titolo gratuito: attualmente ne sono stati segnalati quattro, tre da installare sul proprio PC, il quarto disponibile via web. Detti software freeware sono stati resi disponibili dal CNIPA (Verifica_CT – www.cnipa.gov.it/), dalla Comped (DigitalSign – www.comped.it/), da Postecom (FirmaOK – www.poste.it/online/postecert), dalla società Digitaltrust (Sign’ncrypt – www.signncrypt.it) e da TrustItalia (Signo Reader – https://firmadigitale.trustitalia.it/). [...] … nel caso in cui i software forniti non abbiano già i certificati delle CA caricati, è necessario scaricare dal sito preposto l’elenco pubblico che contiene detti certificati e procedere alla loro installazione.

Click per ingrandire

Nonostante gli sforzi operati dal CNIPA e dalle CA, colpa anche della difficoltà di reperimento, gli “specifici software”, utili per la verifica della firma, non hanno avuto l’ampia diffusione sperata, mentre all’indomani del riconoscimento del formato PDF, come standard valido ai fini della firma digitale, la disponibilità diffusa, e già da tempo consolidata del verificatore gratuito Adobe Reader da parte della stragrande maggioranza degli utenti di personal computer, ha consentito in maniera facile e “indolore” la verifica della validità e delle caratteristiche della firma. A partire dalle versioni 8 e 9 di Adobe Acrobat e Adobe Reader, Adobe Systems Italia ha messo a disposizione un add-on per la firma digitale gratuito per Adobe Acrobat e Adobe Reader, che consente di verificare firme digitali apposte a documenti PDF secondo la specifica ISO 32000-1, nel rispetto dei requisiti della normativa vigente in Italia e nell’Unione Europea, inclusivo dell’ultimo Elenco Pubblico dei Certificatori Accreditati al CNIPA/DigiPA costantemente aggiornato nel tempo.

Mostra Proprietà Firme Digitali
  • firma:
    • validità della firma;
    • controllo di revoca (certificato valido, scaduto, sospeso, o revocato);
  • informazioni:
    • tipo di firma (digitale o elettronica);
    • nome del firmatario;
    • tipo di certificato;
    • tempo di conservazione del documento (10 anni, 20 anni, ecc.);
    • motivo;
    • associazione della firma alla revisione;
  • marca temporale:
    • data e ora certe;
    • ente (CA) emittente.

Alcune delle altre caratteristiche di usabilità del formato PDF:

Gestione dell’aspetto visivo della firma digitale nel documento associabile a luogo e motivo della firma

Elemento che favorisce la riduzione del c.d. “digital divide” per coloro che non sono del tutto avvezzi alle tecniche informatiche e che spesso, con la gestione digitale dei documenti, temono di non vedere completamente rispettata l’espressione della loro volontà.

Accesso immediato al documento firmato

Il documento PDF firmato digitalmente rimane tale, senza cambiare formato e/o estesioni, come invece avviene per il formato P7M (vedasi il famoso file mensa.pdf.p7m) consentendo un accesso immediato (il tempo di avviare Adobe Reader!) ai documenti firmati.

Possibilità di associare una marca temporale alla firma

Lo scopo della marca temporale (fornita ed apposta da una CA) è stabilire in maniera affidabile, e senza possibilità di errore, il momento (data e ora) in cui è stato firmato un documento. Il formato PDF consente di associare la marca temporale ad una firma digitale in maniera del tutto trasparente per l’utente, che visualizza sempre un documento PDF senza “subire” cambi di formato, aggiunta di suffissi, o file esterni al documento.

Il formato PDF ha introdotto una tale semplificazione di processo nella creazione e veicolazione della documentazione firmata e la corrispondente verifica, che ad oggi risulta essere de facto l’unico standard di firma digitale mondialmente condiviso; il Portable Document Format è in grado di garantire una interoperabilità effettiva a livello nazionale ed internazionale, indipendentemente dal tipo di certificato (nazionale, europeo, worldwide), dal dispositivo di firma, o dall’applicazione di firma. Il grande impulso dato dal PDF alla diffusione dello strumento firma digitale ha determinato un enorme balzo in avanti, consentendo piena e libera circolazione dei documenti sottoscritti, facilmente verificabili (grazie alla disponibilità diffusa su tutti i Pc di Adobe Reader).

Per ulteriori approfondimenti: Adobe PDF per la firma digitale – Caratteristiche e applicazioni (a cura di Andrea Valle)