Riflessione condivisibile! Ci vorrebbe qualcuno che solleciti il legislatore a fare questo passo in avanti con la normativa. Speriamo che in questo forum ci sia qualcuno “connesso” con l’ufficio legislativo di AGID
Può essere utile?
1 Mi Piace
Questo thread è fermo da 10 mesi. Mi domando se nel frattempo c’è stata qualche evoluzione.
Ho notato che Foxit Reader riconosce il lettore NFC e si riescono a firmare i documenti PDF. Ho qualche dubbio sulla loro validità. Riaprendolo infatti la firma viene evidenziata con dei “problemi”. In particolare viene detto che è sconosciuta.
Grazie mille
La firma digitale è basata su crittografia a chiavi asimmettriche e certificati rilasciati da “prestatori di servizi fiduciari” (quele che di solito si chiamano Certification Authority, CA) accreditati. Chiavi/certificati che hanno fra i loro attributi anche quelli di essere utilizzabili per firmare digitalmente.
Firme digitali da un punto di visto matematico dell’algoritmo si possono fare anche con chiavi e certificati generati sul proprio pc in locale. Ovvio che questi certificati mancano del tutto di autorevolezza.
Esiste tutto un mondo fra la coppia di chiavi e il certificato autoprodotti sul proprio PC e il certificato rilasciato da un certificatore accreditato specificatamente per la firma digitale.
CNS e CIE si pongono in questo mondo di mezzo. La normativa attribuisce a firme elettroniche fatte con CNS/CIE secondo gli stessi algoritmi dela fima digitale lo stesso valore di una firma elettronica avanzata, senza le complicazioni connesse a soluzioni personalizzate di firma elettronica avanzata (v. la popolarissima firma grafometrica).
Il problema e’ che non esistono o non sono diffusi software per apporre e verificare queste firme. Qui subentrano quindi anche aspetti politici e di mercato, visto che i software autorevoli (e sono autorevoli quelli che le autorità nazionali pubblicano nei loro elenchi) sono mediamente prodotti da chi vende chiavi e certificati di firma digiitale.
[L’ho già scritto altrove: visto che AgID già tiene gli elenchi di certificatori CNS, dei certificati revocati ecc , secondo me basterebbe che l’AgID stessa dicesse che un software autorevole per la firma dgitale deve necessariamente consentire di apporre e verificare le firme con CIE/CNS … ]
5 Mi Piace
Riprendo il thread creato ormai un anno fa.
Oltre alle soluzioni progettate per PC, visto che la maggioranza degli smartphone Android ha un chip NFC, sono presenti soluzioni per applicare una firma digitale (calcolata sulla CIE) da smartphone?
Se anche esistessero, l’unica cosa che potrebbero fare è cifrare con la chiave privata contenuta nella CIE l’hash calcolato a partire da un file e associarci un certificato (dati di identità + chiave pubblica). Non sarebbe una firma digitale, perché chiavi e certificati che entrano in gioco non sono pensati per quello.
Che, non ti fidi? 
OK, ubi maior…
Il senso era che a partire da una CIE l’algoritmo matematico/informatico lo fai, solo che giuridicamente non hai una firma digitale perché mancano alcuni dettagli.
Non è certamente uno smanettone come me a poter dare patenti di affidabilità!
Quanto scrive @frantheman
è corretto, ed è quello che fanno tutti i software di firma basati su certificati, creano una busta crittografica (CAdES, PAdES, XAdES) e ci mettono dentro:
- Il documento originale
- L’impronta del documento criptata con la chiave privata
- Il certificato contenente le informazioni sull’identità e la chiave pubblica
- Metainformazioni relative agli algoritmi utilizzati
La differenza sta nel certificato usato per firmare:
- Quando usiamo un dispositivo di firma qualificata stiamo usando un certificato di sottoscrizione
- Quando usiamo una CNS/CIE stiamo usando un certificato di autenticazione
Un certificato di autenticazione differisce da uno di sottoscrizione per un solo flag, per il resto sono praticamente identici.
Ecco cosa dice l’articolo 26 del regolamento eIDAS:
Requisiti di una firma elettronica avanzata
Una firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario;
b) è idonea a identificare il firmatario;
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Una firma basata su certificati apposta con CNS/CIE è una Firma Elettronica Avanzata? Direi proprio di sì!
Non si tratta di una firma elettronica qualificata perché il dispositivo e il certificato usato per firmare non sono qualificati.
Di nuovo il regolamento eIDAS:
- «firma elettronica avanzata», una firma elettronica che soddisfi i requisiti di cui all’articolo 26;
- «firma elettronica qualificata», una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;
@Emilio_Radius: perché i software distribuiti da chi vende Firme Elettroniche Qualificate non riconoscono le Firme Elettroniche Avanzate apposte con CNS/CIE? Io mi sbaglierò, ma penso che le considerino pericolose concorrenti del loro business.
Come detto in altri thread, il software Globo.Signer consente l’apposizione e la verifica di FEA basate su CNS/CIE.
2 Mi Piace
dai, esame superato! 
tiro un sospiro di sollievo 
grazie a @emmedi per la pregevole sintesi sul funzionamento di firme e certificati, punto di partenza imprescindibile per ogni ragionamento sulla questione.
1 Mi Piace
Aggiungo un pezzettino del quale sono abbastanza sicuro, ma sul quale non sono in grado di portare prove:
Perché un certificato di autenticazione, anche se sta su un dispositivo sicuro, non è adatto per apporre una firma qualificata?
Quando si usa l’autenticazione client SSL/TLS il client invia al server il proprio certificato (contenente la chiave pubblica) e firma i messaggi di handshake con la propria chiave privata.
Un server maligno potrebbe inserire l’impronta di un documento nei messaggi di handshake e farla firmare dal client usandola poi per la creazione di una busta crittografica.
In pratica, mentre penso di autenticarmi su un sito, sto inconsapevolmente firmando un documento.
2 Mi Piace
Anche se un po’ OT, sempre in tema di dispositivo sicuro, io ho un altro dubbio un po’ fumoso: usare lo smartphone come lettore della CIE/CNS anche solo per l’autenticazione, fa venire meno il dispositivo sicuro? Mi spiego: le operazioni da fare con la chiave privata, dove vengono fatte?
Sempre solo nella smart card!
3 Mi Piace
Spiace che la CIE abbia solo un certificato di autenticazione piuttosto che uno di sottoscrizione per la mancanza del noto “flag”…
Peccato perchè credo che questa mancanza esuli dall’aspetto meramente tecnico ma ascrivibile più a scelte politico-commerciali magari per non interferire troppo nel mercato delle soluzioni offerte da imprese private.
Spiace ancor di più perchè il Ministero dell’Interno potrebbe avviare un percorso per accreditarsi come TSP AgID/eIDAS e, quindi, rilasciare le CIE come dei veri e propri asset di firma digitale con annessi applicativi companion analogamente alla Carta Multiservizi della Difesa rilasciata al personale civile e militare del Ministero della Difesa il quale, a differenza del Ministero dell’Interno, è a tutti gli effetti accreditato come TSP AgID/eIDAS.
Confrontando lo scenario dei TSP in Europa, si nota come nei principali Paesi, sono state fatte scelte diverse dall’Italia in tema di accreditamento TSP: in Francia, ad esempio, c’è la Agence Nationale des Titres Sécurisés che è incardinata in seno al Ministero dell’Interno, poi le equivalenti delle nostre Cassa Depositi e Prestiti, IPZS, Ministero della Giustizia e Notariato; in Germania il Notariato e un nostro equivalente di ANPAL/Ministero del Lavoro ed in Spagna i nostri corrispondenti della Polizia di Stato, IPZS, Ministero del Lavoro ed INPS.
Se lo Stato Italiano vuole spingere nell’adozione della CIE non solo come strumento di autenticazione ma anche come strumento di sottoscrizione digitale qualificato, è fortemente augurabile che il Ministero dell’Interno e/o @IPZS-CIE ovvero PagoPA ma anche SOGEI possano qualificarsi come TSP specie se in futuro la CIE dovesse inglobare anche altri strumenti identificativi come la patente di guida, la tessera elettorale, titolo per TPL ecc.
Riscontro purtroppo una volontà di non danneggiare il mercato degli attuali TSP privati e, questo, è davvero un grande peccato e rischia di essere un reale handicap nello sviluppo del progetto CIE a 360°.
Speriamo che la situazione cambi rapidamente nei prossimi mesi…
4 Mi Piace
Benvenuto e complimenti per il primo post denso di lucido contenuto!
In effetti è inspiegabile come mai lo Stato continui a girare intorno all’argomento. La soluzione a buona parte dei problemi sembra così a portata di mano, un “uovo di Colombo”: firma digitale e certificato di autenticazione per tutti i cittadini!
Eppure, nel corso degli anni si sono rincorsi i progetti falimentari uno di seguito all’altro: Italia login, la cec-pac, tessera sanitaria e cns, spid, adesso la cie, la app io… a ogni passaggio, tuttavia, per usare un’altra espressione popolare, “si è buttato via il bambino insieme all’acqua sporca”.
E’ anche strano che da un lato sembri proprio vero che lo Stato non voglia turbare le posizioni sul mercato, eppure dall’altro continui a tenersene fuori, cercando per la gestione delle transazioni del settore pubblico strumenti ad hoc, invece che affidarsi a quelli che il mercato ha selezionato e individuato come “standard”: firma digitale, certificati di autenticazione, posta certificata…
2 Mi Piace
Ciao e grazie per il tuo benvenuto.
Sottoscrivendo le tue parole, mi chiedo anche la reale utilità di questo Forum Italia, progetto assolutamente apprezzabile e teoricamente potentissimo anche oltre i social: mi domando, infatti, se gli stakeholders interni (e/o loro delegati) in seno al Ministero dell’Innovazione Digitale ma anche AgID, leggano realmente le proposte e le disamine di noi utenti (cittadini, imprese, lavoratori P.A. ecc.).
Vorrei pensare che sia così…
P.S. allontanandomi un pò dalla tematica CIE, chissà come sarà gestito il Servizio Elettronico di Recapito Certificato Qualificato che dovrebbe integrare/soppiantare la PEC; cioè se lo Stato continua a fare melina sulla CIE non consentendole di farla assurgere ad un hub digitale a tutto tondo per tutti i cittadini, non oso immaginare che pastrocchio possa mai succedere quando si affronterà il tema del SERCQ nel quale anche i privati sicuramente cercheranno di entrare a prezzi non certamente popolarissimi alla faccia della “Open Smart Nation 4.0” che si vorrebbe costruire…speriamo bene…
Esatto, temo sia questo il tema.
Diciamo di si, o lasciano a degli avatar come me ed un altro gruppo ristretto le risposte, perchè sanno che solitamente rispondiamo in maniera adeguata senza formalismi, ovvero come serve a chi scrive.
Tutti “avatar volontari della pa”.
1 Mi Piace