Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Le regole tecniche per la firma digitale - 10

Sospensione, revoca e altri accidenti
di Manlio Cammarata - 02.06.99

Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli non sono più attuali.

Come abbiamo visto negli articoli precedenti, il certificato della chiave pubblica è il fulcro del meccanismo di sicurezza della firma digitale. Controllando il certificato si può essere sicuri dell'identità del firmatario, dell'autentiticità del contenuto e anche del fatto, molto importante, che il firmatario ha determinati poteri di rappresentanza,che devono essere indicati nel certificato stesso, come stabilisce l'articolo 9, comma 2, lettera c).
Se il titolare smarrisce il dispositivo di firma, o se sospetta che qualcuno sia venuto a conoscenza della sua chiave privata o del codice di attivazione, o se non ha più i poteri di rappresentanza per i quali gli era stato rilasciato il certificato, o se si è verificato qualsiasi altro evento che può mettere a rischio la certezza della firma o la sua legittimità, è indispensabili che l'informazione sia pubblicata più rapidamente possibile, a tutela sia del titolare, sia di terzi che potrebbero fidarsi di una firma non più valida. Va ricordato che la revoca e la sospensione hanno effetto dal momento in cui sono inserite negli appositi elenchi pubblicati dai certificatori.

Tutto questo giustifica lo spazio che le regole tecniche contenute nel DPCM 8 febbraio 1999 dedicano alla revoca e alla sospensione dei certificati, ben nove articoli. Tuttavia la materia non è complessa come può sembrare a prima vista, perché di fatto si tratta delle possibili combinazioni di due fattispecie, la sospensione e la revoca, con i tre soggetti che le possono chiedere: il titolare, il certificatore e il terzo interessato. Quest'ultimo è il soggetto che ha conferito al titolare poteri di rappresentanza. Vediamo ora le norme, che non richiedono particolari commenti per la parte che rigurda la revoca:

Art. 29 - Revoca dei certificati relativi a chiavi di sottoscrizione

1. La revoca di un certificato determina la cessazione anticipata della sua validità.

2. La revoca può avvenire su richiesta del titolare o del terzo interessato di cui all'articolo 9, comma  2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, ovvero su iniziativa del certificatore.

3. La revoca del certificato viene effettuata dal certificatore mediante il suo inserimento in una delle liste di certificati revocati (CRL) da lui gestite. La revoca del certificato è efficace a partire dal momento della pubblicazione della lista che lo contiene ed è definitiva.

4. Il momento di pubblicazione della lista deve essere asseverato mediante l'apposizione di una marca temporale.

5. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere immediatamente alla pubblicazione dell'aggiornamento della lista di revoca.

6. La revoca dei certificati è annotata nel giornale di controllo.

Art. 30 - Revoca su iniziativa del certificatore

1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato deve darne comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale il certificato non è più valido.

Art. 31 - Revoca su richiesta del titolare

1. La richiesta di revoca deve essere redatta per iscritto dal titolare specificando la motivazione della revoca e la sua decorrenza.

2. La richiesta viene di norma inoltrata attraverso il sistema di comunicazione sicuro di cui all'articolo 25.

3. Modalità alternative di inoltro della richiesta debbono essere specificate dal certificatore nel manuale operativo.

4. Il certificatore deve verificare l'autenticità della richiesta e procedere alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con la modalità prevista dal comma 2.

5. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Art. 32 - Revoca su richiesta del terzo interessato

1. La richiesta di revoca da parte del terzo interessato di cui all'articolo 9, comma  2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, deve essere inoltrata per iscritto e corredata della documentazione giustificativa.

2. Il certificatore deve notificare la richiesta al titolare.

Semplice e chiaro. Solo l'articolo 30 desta qualche perplessità, perché non specifica né i motivi per i quali il certificatore può revocare il certificato, né i termini del preavviso (escludendo, naturalmente, i casi di urgenza, come il fondato sospetto o la certezza di un'intrusione non autorizzata nel sistema). Si devono immaginare gli effetti di quella che può definirsi quasi una "perdita di identità" può avere su un soggetto che da un momento all'altro, o con un brevissimo preavviso, si trova a non disporre più della propria firma. E' uno dei pochi aspetti della firma digitale che si rivelano più critici di quelli della firma autografa. Questa può perdere efficacia solo se viene dichiarata l'incapacità del soggetto o se gli vengono revocati i poteri di rappresentanza.

Vediamo ora le disposizioni sulla sospensione del certificato, che è la sua temporanea mancanza di validità. I quattro articoli riproducono il testo dei precedenti, tranne alcun particolari:

Art. 33 - Sospensione dei certificati

1. La validità di un certificato può essere sospesa su richiesta del titolare o del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, ovvero su iniziativa del certificatore.

2. La sospensione del certificato è effettuata dal certificatore attraverso il suo inserimento in una delle liste dei certificati sospesi e diviene efficace dal momento della pubblicazione della lista che lo contiene. La data e l'ora di pubblicazione sono garantite dall'apposizione di una marca temporale.

3. La sospensione dei certificati è annotata nel giornale di controllo.

Art. 34 - Sospensione su iniziativa del certificatore

1. Il certificatore che intende sospendere un certificato deve darne preventiva comunicazione al titolare, specificando i motivi della sospensione e la sua durata.

2. L'avvenuta sospensione del certificato deve essere notificata al titolare specificando la data e l'ora a partire dalla quale il certificato risulta sospeso.

3. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione.

Come si vede, le disposizioni sulla sospensione per iniziativa del certificatore sono più articolate di quelle sulla revoca. Le comunicazioni a carico del certificatore sono due, il preavviso e la conferma. Non è chiaro perché non sia stata prevista una sola comunicazione contenente anche la specificazione del momento iniziale, come per la revoca.
Il terzo comma di questo articolo deve essere messo in relazione con il quinto dell'articolo 31, dove si dice che se il certificatore non ha la possibilità di controllare in tempo utile la richiesta di revoca avanzata dal titolare, deve sospendere il certificato. Qui si precisa che se la richiesta di revoca è motivata dalla possibile compromissione della chiave (evidentemente quella privata), la pubblicazione della sospensione deve essere immediata. Il che appare più che opportuno. Ma sorgono due perplessità: la prima è perché mai un certificatore, a cui giunga una domanda di revoca da parte del titolare o del terzo interessato, dovrebbe procedere alla sospensione invece che alla revoca richiesta? E la precisazione "immediatamente" fa ritenere che negli altri casi la pubblicazione possa non essere immediata. La norma di partenza contenuta nell'articolo 9 del DPR 318/97 dice che il certificatore deve "procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni" A parte l'inesattezza dell'indicazione "quest'ultimo", che la lettera della disposizione fa identificare come il terzo e la logica come il titolare (si sarebbe dovuto scrivere "del primo"), l'avverbio "tempestivamente" non soddisfa l'esigenza della certezza di un momento critico come quello della cessazione della validità del certificato. Che significa "tempestivamente"? Un'ora? Un giorno?
Inoltre non c'è l'indicazione di una durata massima della sospensione, nè delle procedure o delle condizioni per la ripresa della validità del certificato.

Art. 35 - Sospensione su richiesta del titolare

1. La richiesta di sospensione deve essere redatta per iscritto dal titolare, specificando la motivazione ed il periodo durante il quale la validità del certificato deve essere sospesa.

2. La richiesta viene di norma inoltrata attraverso il sistema di comunicazione sicuro di cui all'articolo 25.

3. Modalità alternative di inoltro della richiesta debbono essere specificate dal certificatore nel manuale operativo.

4. Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con la modalità prevista dal comma 2.

5. In caso di emergenza è possibile richiedere la sospensione immediata di un certificato utilizzando il codice previsto dal comma 6 dell'articolo 28. La richiesta deve essere successivamente confermata utilizzando una delle modalità previste dal certificatore.

L'articolo 28 dice al comma 6 che "per ciascun certificato emesso il certificatore deve fornire al titolare un codice riservato, da utilizzare in caso di emergenza per l'autenticazione della eventuale richiesta di revoca del certificato. Nell'articolo 35 si estende l'utilizzo del codice alla richiesta di sospensione, ma sarebbe stata più chiara l'indicazione di questo secondo uso già nell'articolo 28.

Art. 36 - Sospensione su richiesta del terzo interessato

1. La richiesta di sospensione da parte del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, deve essere inoltrata per iscritto e corredata della documentazione giustificativa.

2. Il certificatore deve notificare la richiesta al titolare.

Le disposizioni sulla revoca e sulla sospensione su richiesta del terzo interessato devono essere lette anche in relazione all'articolo 9 del DPR 318/97, che prescrive per il certificatore l'obbligo di "specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite"; e con il terzo comma dell'articolo 11 delle regole tecniche:

Art. 11 - Informazioni contenute nei certificati

3. Se il certificato è relativo ad una coppia di chiavi di sottoscrizione, in aggiunta alle informazioni prescritte dal comma 1, possono essere indicati:
a.eventuali limitazioni nell'uso della coppia di chiavi;
b.eventuali poteri di rappresentanza;
c.eventuali abilitazioni professionali.

Evidentemente l'espressione "possono essere indicati" non si riferisce a una facoltà del certificatore di inserire queste informazioni (come può sembrare dal raffronto con gli altri commi, che prescrivono le indicazioni obbligatorie), ma al fatto che le situazioni elencate possono non ricorrere. La lettera del secondo comma dell'articolo 9 del DPR 318/97, che costituisce una norma di rango superiore, non lascia adito a dubbi.

Con le ipotesi di sospensione e revoca dei certificati relativi a ciavi di sottoscrizione non si esaurisce l'elenco dei possibili "accidenti" del certificato. Gli articoli 38 e 40 considerano i casi di revoca dei certificati delle chiavi di certificazione e delle chiavi dell'Autorità:

Art. 38 - Revoca dei certificati relativi a chiavi di certificazione

1. La revoca del certificato relativo ad una coppia di chiavi di certificazione è consentita solo nei seguenti casi:

  1. compromissione della chiave segreta;
  2. guasto del dispositivo di firma;
  3. cessazione dell'attività.

2. La revoca deve essere notificata entro 24 ore all'Autorità per l'informatica nella Pubblica Amministrazione ed a tutti i possessori di certificati sottoscritti con la chiave segreta appartenente alla coppia revocata.

3. Il certificato revocato deve essere inserito in una lista di revoca aggiornata immediatamente.

4. I certificati per i quali risultino contemporaneamente compromesse sia la chiave di certificazione con cui sono stati sottoscritti, sia quella utilizzata per la generazione della marca temporale di cui al comma 4 dell'articolo 28 debbono essere revocati.

5. L'Autorità per l'informatica nella Pubblica Amministrazione provvede all'aggiornamento della lista di cui all'articolo 15, comma 1, lettera g) ed al suo inoltro ai certificatori per la pubblicazione ai sensi dell'articolo 17, comma 4.

Art. 40 - Revoca dei certificati relativi alle chiavi dell'Autorità

1. I certificati relativi alle chiavi dell'Autorità per l'informatica nella Pubblica Amministrazione possono essere revocati solo in caso di compromissione della chiave segreta ovvero di guasto del dispositivo di firma.

2. Nell'ipotesi di cui al comma 1, l'Autorità per l'informatica nella Pubblica Amministrazione richiede a ciascun certificatore la revoca immediata del certificato ad essa rilasciato ai sensi dell'art. 17.

3. L'Autorità per l'informatica nella Pubblica Amministrazione provvede alla sostituzione della chiave revocata secondo quanto previsto dall'articolo 39.

Le ipotesi contemplate in questi due articoli sono di estrema gravità. E' ovvio quindi non solo che siano specificamente determinati i casi in cui è possibile la revoca dei certificati di livello superiore, ma anche che non ne sia prevista la sospensione, che porterebbe immediatamente a un blocco di tutte le attività fondate sull'uso del documento informatico.