Ti è mai capitato di andare a fare le analisi del sangue o comunque di dover ritirare un referto medico e notare che manca la classica firma, illeggibile, del medico competente? No, nessun errore. Quella firma è semplicemente stata apposta digitalmente.
Non è una cosa che solo i medici possono fare, il mio era solo un esempio. In questo articolo voglio mostrarti le principali operazioni legate alla firma digitale: l’apposizione e la lettura, nonché la comprensione di cosa questo significhi.
A cosa serve la firma digitale?
Partiamo dal principio e cerchiamo di capire a cosa serve la firma digitale.
La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui e’ apposta o associata. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
Articolo 24, dlgs 82/2005: leggi qui il testo completo pubblica nella Gazzetta Ufficiale
Lo scopo di questo meccanismo è evolvere una delle procedure più noiose e meno amate della burocrazia. Portare la firma nel mondo della tecnologia e dell’informatica è molto importante, per farlo non era possibile scannerizzare il modo in cui scriviamo il nostro modo perché, questo, sarebbe un sistema molto facile da raggirare.
La firma digitale permette di fare tutto quello che si può fare con la firma analogica e con le medesime sicurezze. La tecnologia che c’è dietro e molto simile a quella dei certificati di sicurezza che da anni e anni proteggono – con la crittografia – i siti, anche bancari, che quotidianamente visitiamo.
Perché è importante avere la firma digitale?
La firma digitale deve fare tre cose impossibili da avere con altri sistemi.
- Deve garantire che siamo stati noi a firmare quel documento
- Deve garantire che quel documento non è stato modificato in alcun modo
- Deve essere uno strumento in grado di sostituire legalmente la firma cartacea
Questo meccanismo soddisfa a pieno tutte e tre le caratteristiche citate, autenticità, integrità e valore legale.
Nel concreto si può usare la firma digitale in alcuni specifici contesti come ad esempio:
- la richiesta di contributi
- le autocertificazioni
- la conclusione di contratti tra privati
- i verbali di riunioni, risposte a bandi di gara
- comunicazioni tra imprese e pubbliche amministrazioni
Come funziona la firma digitale?
Come dicevo, il meccanismo che sta dietro alla autenticazione della firma digitale è lo stesso – o comunque è molto simile – a quello che attualmente regola l’autenticità dei certificati di sicurezza che vengono utilizzati sui siti per per attivare la connessione https che cripta le comunicazioni da e verso l’utente e il sito web in essere.
Sono presenti due chiavi asimmetriche, una chiave pubblica ed un chiave privata. Entrambe attribuite dall’emettente del servizio reso.
- La chiave pubblica serve a verificare l’autenticità della firma presente in uno specifico documento
- La chiave privata serve a firmare in modo univoco un dato documento
Un documento firmato digitalmente, potrebbe rimanere in formato pdf se si usa la modalità PAdES – che prevede solo firme di file pdf – o potrebbe cambiare estensione in “.p7m” se invece si sceglie di usare la modalità CAdES che invece permette di firmare qualunque tipo di documento. Per la legge, sono entrambi formati validi. All’interno del documento, oltre al documento stesso, troviamo un certificato di sicurezza da leggere, controllare e validare e un codice hash da controllare con il codice hash generato dal documento stesso in un dato momento per essere sicuri che non siano state apposte modifiche.
Un codice hash è un modo di criptare un documento in modo univoco, viene generata una stringa di testo alfanumerica che identifica esclusivamente quel documento senza il rischio che possano esserci dei doppioni. Non entro nel merito, magari potremo fare in un altro momento.
Come si appone una firma digitale?
Per firmare digitalmente un documento dobbiamo essere in possesso di un specifico kit che è composto, solitamente, da una Smart Card o da una Chiavetta Usb e da un particolare software in grado di leggere la chiavetta o la card, di autenticarla e in grado di accedere alle chiave citate in precedenza per procedere all’elaborazione del file di firma.
Per avere un kit, che di solito dura qualcosa come tre / quattro anni ed ha un costo variabile che di consueto è inferiore ai cento euro, bisogna rivolgersi ad un ente accreditato da AgID ovvero l’Agenzia per l’Italia Digitale.
Una volta scelta l’agenzia, l’azienda o la società, come lo possono essere Aruba, Poste Italiane, PostaCertificata e InfoCamere, dovremo presentarci fisicamente dal certificatole per il riconoscimento con un documento in corso di validità.
In seguito ci verrà assegnata un kit ed un pin, le chiavi di sicurezza verranno generate e quella segreta ci rimarrà sempre ignota. Quando necessario si attiverà il meccanismo di validazione che ho spiegato come risposta alla precedente domanda.
Come si legge e si controlla una firma digitale?
Attraverso semplici software o siti online è possibile controllare che un documento sia valido ed integro. Nella lettura del certificato compare il nome di chi ha firmato il documento, nonché il suo codice fiscale per una maggiore sicurezza.
Tra i programmi degni di nota ci sono DigitPA, AndXOR, Infocert e Postecom.
Dike
Io per controllare alcuni documenti firmati e salvati in formato p7m ho scelto Dike, il software per le pratiche di Infocert che sono riuscito ad usare anche senza essere un loro cliente.
Qui in alto puoi vedere come si presenta una firma digitale attraverso Dike. La prima schermata permette di scegliere che operazione compiere, tra cui la verifica di un file (immagine a sx), una volta scelto il file bisogna selezionarlo e generare un report (immagine centrale) che visualizzerà tutto l’occorrente e che ci permetterà di accedere al certificato grezzo (immagine a dx).
Dike è disponibile per Windows, MacOS e ambienti Linux Ubuntu.
PosteCert Online
Con PosteItaliane è possibile controllare se il documento è valido seppure con meno informazioni rispetto a Dike potendo però accedere al documento allegato al file p7m che ho analizzato in precedenza.
Questa è la schermata d’esempio:
Per accedere alla validazione di PosteCert basta visitare il sito web da un browser adatto all’upload dei file richiesti.
