Articolo precedente

3 - La firma era valida quando il documento è stato firmato?
Questo è uno dei problemi chiave con la firma digitale. Una firma può passare dallo stato di piena validità allo stato di completa nullità letteralmente in un batter d'occhio.
Quando si deve basare un'azione importante (ad esempio una transazione economica di rilevante entità, un'operazione chirurgica, ecc.) su un atto firmato non possono sussistere dubbi sulla validità.
Poiché, come abbiamo visto poco fa, non è sempre facile conoscere con esattezza l'istante in cui la firma viene apposta, diviene importante che la valutazione del documento (cioè la verifica) sia effettuata più presto possibile dopo l'apposizione della firma. La letteratura EESSI parla, non a caso, di "verifica iniziale", distinta dalla "verifica usuale" che può essere fatta a posteriori, anche a distanza di molto tempo.

Al momento in cui si entra in possesso del documento occorre decidere se è valido oppure no. Questo, si badi, bene, non riguarda solo un contesto di scambio tra pari (es. ricevimento di un ordine di merce), ma anche - è un caso estremamente frequente nelle prime applicazioni nascenti, per esempio quelle di protocollo informatico o, ancora più significative, quelle di refertazione - i casi in cui un sistema centrale (server) debba accettare e immagazzinare documenti firmati da soggetti che operano attraverso stazioni client periferiche.
Per decidere se il documento è valido, dato per scontato che la verifica descritta al punto 1 abbia confermato che l'autore della firma è un soggetto abilitato, dobbiamo prima di tutto verificare che il certificato del sottoscrittore non sia scaduto. Fin qui l'operazione è semplice, perché questo dato è immediatamente ricavabile dal certificato stesso che viaggia con il documento firmato.

Ma un certificato, pur se ancora non scaduto in termini di validità nominale, potrebbe essere sottoposto a sospensione o revoca. Senza entrare in questa sede nel merito dei motivi per cui la validità di un certificato possa essere "terminata" anzitempo, resta la necessità di controllare se il certificato usato per firmare il documento in esame sia stato effettivamente sottoposto a sospensione o revoca.

Nota: l'obiettivo di chi si impadronisce di una smart card altrui, insieme al relativo PIN, è proprio quello di firmare impersonando il legittimo titolare; d'altronde il trucco a disposizione di chi voglia disconoscere una propria firma consiste proprio nel sostenere che la smart card gli era stata sottratta e che quella firma era stata apposta da un impostore.

Quantunque esistano diverse tecniche in grado di consentire questo tipo di verifica, oggi la normativa nazionale prescrive per questo scopo lo strumento delle liste di revoca (CRL).
Ogni certificatore è infatti tenuto ad aggiornare queste liste (sostanzialmente dei file firmati con le stesse chiavi usate per firmare i certificati stessi) ogni volta che un certificato di sua produzione venga posto in uno stato di sospensione o di revoca.
Il sistema di verifica delle firma deve quindi avere accesso on-line ai siti di pubblicazione di tali liste, quindi verificare che il certificato in esame non compaia nella lista corrispondente. Una volta accertata l'estraneità possiamo concludere che la firma è valida.

Attenzione, però: nulla garantisce che la revoca del certificato non avvenga un istante dopo la nostra verifica. Quindi, poiché il certificatore è tenuto a registrare in un apposito "giornale" ogni evento connesso con la sospensione e revoca dei certificati, occorre che corrediamo il nostro documento di una marca temporale che attesti l'avvenuta verifica positiva in questo istante.

Ma non solo: con il trascorrere del tempo il certificato perderà la sua naturale validità. Al fine di evitare l'abnorme crescita delle dimensioni delle CRL il certificatore elimina da tali liste i riferimenti ai certificati che siano comunque scaduti in modo naturale. Per comprovare che al momento della verifica (momento attestato dalla marca temporale) il certificato era valido è opportuno allegare al documento stesso anche una copia della CRL esaminata in tale momento.
Ed ecco dunque emergere un fatto importante: la verifica iniziale di un documento informatico, oltre a comportare l'utilizzo di un sistema particolarmente protetto da alterazioni ed intromissioni, implica l'arricchimento del documento stesso di informazioni aggiuntive, volte a comprovare l'istante della avvenuta verifica e a dimostrarne, nel tempo (con la verifica usuale), la validità.

4 - Il documento ha tuttora valore legale?
La domanda dovrebbe essere retorica, nel senso che la risposta dovrebbe essere affermativa, almeno fintanto che il documento abbia un'utilità (o fintanto che la legge ne prescriva la conservazione): quindi occorre progettare i sistemi e le procedure in modo da garantire nel tempo la validità legale dei documenti informatici trattati.

Il problema si riassume in modo semplicissimo: le firme digitali vengono generate sulla base di certificati di chiave pubblica, i quali - per definizione - hanno una durata limitata nel tempo, funzione della lunghezza delle chiavi che contengono. Con le chiavi da 1024 bit, che gli utenti possono comunemente utilizzare grazie alla tecnologia attuale, è difficile ipotizzare durate superiori a 2 anni.
Applicando una marca temporale ad un documento se ne prolunga la validità per tutta la durata di validità della marca temporale stessa. Da notare però che una marca temporale è anch'essa una firma digitale; e quindi, a sua volta, ha un termine di validità, scaduto il quale l'intero documento perde ogni valore.

Quali sono le contromisure per questo problema?
- Il DPCM 8/2/99 indica una via: reiterando il processo di apposizione di marche temporali, si prolunga indefinitamente la validità del documento (a costo di una certa complicazione operativa: la reiterazione avrebbe cadenza biennale o triennale; inoltre ogni documento avrebbe bisogno di una propria marcatura temporale, aumentando in progressione aritmetica il fabbisogno periodico di marche temporali).
- Il nuovo decreto sulle regole tecniche in sostituzione del DPCM 8/2/99, atteso da un momento all'altro, indica per tramite delle bozze in circolazione un'interessante via alternativa: il provider di marcatura temporale sarà obbligato a mantenere una registrazione di ogni marca emessa per un periodo minimo di 5 anni (ma su richiesta anche più a lungo), dichiarando in compenso che una marca temporale abbia validità, a prescindere dalla scadenza del relativo certificato, per un periodo pari al periodo di conservazione delle marche da parte del provider.
Quindi, dietro accordi con il provider, ci si libererà così dalla necessità del periodico rinnovo delle marche (o, quanto meno, se ne ridurrà notevolmente la frequenza).
- Si può fare uso degli strumenti indicati dalla normativa sulla Conservazione Documentale (Delib. AIPA 42/2001). Nonostante il titolo di tale deliberazione faccia esplicito riferimento ai supporti ottici (con ciò creando non poca confusione), l'art. 8 precisa l'assenza di un vincolo sul tipo di supporto, di fatto svincolando la dipendenza da un particolare tipo di supporto fisico.
La procedura di conservazione consente di riunire insiemi di documenti e di utilizzare una sola firma digitale ed una sola marca temporale per la convalida nel tempo dell'intero insieme, riconducendo il problema della marcatura temporale a dimensioni enormemente più contenute.

Da queste considerazioni dovrebbe emergere un messaggio di una certa importanza: se l'abilitazione di un ampio pubblico di utenti a firmare digitalmente è sostanzialmente facile da risolvere mediante la distribuzione di un buon prodotto software e di qualche componente hardware, nonché con la fornitura di un capillare servizio di registrazione, non va trascurata la gestione dei documenti firmati.
Una organizzazione dovrebbe prevedere un componente, magari centralizzato, eventualmente sottoforma di servizio outsourcing, in grado di gestire correttamente il processo di verifica iniziale e la funzione di conservazione. Il rischio di veder evaporare i documenti informatici o di prendere gravi cantonate nella valutazione di un documento firmato sembra troppo grande per accontentarsi di un approccio superficiale al problema.