I tasselli mancanti sono quelli espressi più volte in questo forum.
Una CIE ha un singolo certificato (identificativo certificato di solito comincia con il tuo codice fiscale, barra e un seriale della PKI del ministero, slegata dal numero tessera) con utilizzo chiave:
Firma Digitale (80)
Utilizzo chiave estesa:
Autenticazione client (1.3.6.1.5.5.7.3.2)
Criterio certificato:
assente (ci sta solo il criterio della CA 1.3.76.47.4 per scrivere il link a CPS)
Una CNS di firma digitale ha due certificati,
Il primo (identificativo certificato di solito comincia con il tuo codice fiscale, barra e un seriale del PKI fornitore) con utilizzo chiave:
Firma Digitale (80)
Utilizzo chiave estesa:
Autenticazione client (1.3.6.1.5.5.7.3.2)
Posta elettronica sicura (1.3.6.1.5.5.7.3.4) (se fornisci una email al fornitore CNS)
Accesso smart card (1.3.6.1.4.1.311.20.2.2)
Criterio certificato
1.3.6.1.4.1.29741.1.9
ed il secondo (identificativo certificato è cognome nome) con utilizzo chiave:
Non ripudio (40)
Criterio certificato
1.3.6.1.4.1.29741.1.7.1
Finito così.
Apporre una firma tramite un certificato che ha ruolo di identificazione/smartcard fa ridere(succede spesso che qualcuno firmi col certificato sbagliato in una firma digitale e si interroghi sul perchè non passi) ad acrobat o qualsivoglia programma del pianeta e se il criterio chiave è diverso da 40, vale come il fante di coppe a poker su programmi progettati per FEQ…
Eccoti le specifiche di PKI di firma digitale usate da infocert per emettere i certificati di FEQ in maniera gestita
Come puoi vedere indicano esplicitamente che serve avere esclusivamente il ruolo 40 sul certificato, 80 va bene solo per certificati di autenticazione.
Intanto grazie per quanto hai scritto sopra. C’è molta roba da digerire, soprattutto per qualcuno che non fa questo per lavoro (io mi fermo alle coppie di chiavi pubblica/privata ed eventualmente ai certificati dei domini web).
Riguardo a questo qui sotto:
Ora mi è un po’ più chiara la separazione tra “processo EID” e “processo firma qualificata”. Al di la delle opinioni personali che potrei avere sul livello spropositato di regole rispetto alle necessità più frequenti di un comune utente/cittadino, capisco che questa complessità debba essere gestita ugualmente.
Continuo a domandarmi perché esista una FEA che di fatto è impantanata tra zelo procedurale e raffinate definizioni.
Ora mi domando anche che senso abbia una FEA con i programmini di IPZS tipo CieID se appunto la CIE è per definizione relegata ai processi di autenticazione.
Vorrei poter avere uno strumento libero per firmare digitalmente documenti, ma ho come l’impressione che finirà come con le PEC che ad esempio sono obbligatorie per una P.IVA, in generale sono a pagamento, e di fatto servono a vedere quei messaggi di ricevuta di ricezione email che in molti casi mi sembrano una sovrastruttura esagerata.
Per completezza di informazione ho seguito la moda del momento e ho chiesto a ChatGPT alcune domande sul tema, poi ho cliccato sul tasto “copia” del sito di ChatGPT e le riporto qua per una lettura un po’ più verbosa e contestualizzata:
Prima domanda: qual’è la differenza tra firma elettronica avanzata e firma elettronica qualificata nell’ambito europeo EIDAS?
Nell’ambito del regolamento europeo eIDAS (Electronic Identification, Authentication and Trust Services), esistono due tipi principali di firme elettroniche: la firma elettronica avanzata (Advanced Electronic Signature) e la firma elettronica qualificata (Qualified Electronic Signature).
La firma elettronica avanzata (AdES) è una firma elettronica che viene associata a un documento elettronico per identificare in modo univoco l’autore della firma e garantire l’integrità del documento. Per essere considerata una firma elettronica avanzata, deve soddisfare determinati requisiti stabiliti dall’eIDAS, come ad esempio essere basata su un certificato qualificato di autenticazione, essere creata utilizzando un dispositivo di creazione di firme affidabile e garantire l’identificazione univoca del firmatario. La firma elettronica avanzata ha un livello di affidabilità maggiore rispetto alla firma elettronica semplice, ma non è considerata legalmente equivalente alla firma manoscritta.
La firma elettronica qualificata (QES) è il livello più elevato di firma elettronica riconosciuto nell’ambito dell’eIDAS. Per essere considerata una firma elettronica qualificata, deve soddisfare requisiti specifici definiti dal regolamento, come ad esempio essere basata su un certificato qualificato emesso da un fornitore di servizi di certificazione qualificato, essere creata utilizzando un dispositivo di creazione di firme qualificato e garantire l’identificazione univoca del firmatario. La firma elettronica qualificata ha un valore legale equivalente alla firma manoscritta e gode di presunzione legale di integrità e autenticità.
In breve, la principale differenza tra firma elettronica avanzata e firma elettronica qualificata nell’ambito dell’eIDAS è il livello di affidabilità e validità legale. La firma elettronica avanzata offre un livello di fiducia elevato, ma non è legalmente equivalente alla firma manoscritta, mentre la firma elettronica qualificata ha un valore legale equivalente e può essere considerata una sostituzione valida della firma manoscritta in molti contesti legali.
Seconda domanda: nell’ambito delle firme elettroniche che differenze ci sono tra i certificati con ruolo 80 (firma digitale) e ruolo 40 (non ripudio)?
Nell’ambito delle firme elettroniche, i certificati con ruolo 80 (firma digitale) e ruolo 40 (non ripudio) si riferiscono a due funzionalità distinte e possono essere utilizzati per scopi diversi. Ecco le differenze principali tra i due:
Certificato con ruolo 80 (firma digitale): Il certificato con ruolo 80 è progettato per garantire l’autenticità, l’integrità e la non modificabilità di un documento elettronico firmato digitalmente. Questo tipo di certificato viene utilizzato per creare una firma elettronica qualificata o avanzata, che ha un valore legale equivalente a una firma manoscritta. La firma digitale basata su un certificato con ruolo 80 conferisce all’autore della firma un’impronta digitale unica, che può essere verificata per garantire l’autenticità del firmatario e l’integrità del documento firmato.
Certificato con ruolo 40 (non ripudio): Il certificato con ruolo 40, noto anche come certificato di non ripudio o certificato di sottoscrizione elettronica, è progettato per garantire che un firmatario non possa negare di aver effettuato una firma elettronica su un determinato documento. Il certificato con ruolo 40 fornisce una prova legale che può essere utilizzata per dimostrare che il firmatario ha eseguito la firma elettronica e non può negare il proprio coinvolgimento successivamente. Questo tipo di certificato è particolarmente utile in contesti in cui è necessario evitare il ripudio delle firme, come contratti legali o transazioni commerciali.
In sintesi, il certificato con ruolo 80 (firma digitale) viene utilizzato per garantire l’autenticità e l’integrità di un documento firmato digitalmente, mentre il certificato con ruolo 40 (non ripudio) viene utilizzato per garantire che il firmatario non possa negare di aver effettuato la firma elettronica su un documento specifico. Entrambi i certificati hanno finalità diverse e possono essere impiegati in base alle esigenze specifiche di autenticazione e integrità dei documenti elettronici.
ChatGPT incredibilmente non ha detto vaccate
La problematica primaria è che per una volta siamo stati precursori e in seguito abbiamo dovuto aggiungere livelli inferiori di firma. FES e FEA sono livelli che in Italia non esistevano(li ha aggiunti la norma eidas del 2014) e, avendo una solida base utenti con FEQ, non giustifica molto rifare tutte le norme e gli applicativi per coprire i casi più deboli di firma(solo un folle potrebbe giustificare la scrittura in norma della FES). Operativamente basterebbe avere certificati opportuni per FEQ/QES dentro le CIE e saremmo tutti a posto, dopotutto la prima generazione di CIE poteva avere i certificati FEQ aggiunti in seconda battuta perciò non è un ostacolo insormontabile.
