Il “limbo temporale” degli aggiornamenti normativi relativi a
FIRMA DIGITALE e MARCA TEMPORALE
A cura di Riccardo Sirtori - Socio Anorc
Giusto per allietarci le ferie, il prossimo 30 agosto 2010, entrerà ufficialmente in vigore LA DELIBERAZIONE N. 45 DEL 21 MAGGIO 2009 (in gazzetta ufficiale il 3 dicembre 2009) recante le “REGOLE PER IL RICONOSCIMENTO E LA VERIFICA DEL DOCUMENTO INFORMATICO” la quale stabilisce che le modalità di firma digitale e di marcatura temporale (art. 4) debbano essere generate con una impronta con “maggiore sicurezza” denominata dicated hash-function 4, corrispondente alla funzione SHA-256. (Fino ad ora è stato utilizzata la funzione SHA-1).
Esiste un libero arbitrio ad ampio respiro sulla data in cui questa delibera possa essere messa in atto. In particolare viene consentito di anticiparne l’attuazione FINO a novanta giorni prima (ovvero dal 1 giugno 2010). La sperequazione di date di attivazione da parte delle differenti Time Stamping Authority lascia dunque nell’oblio la possibilità di applicare puntualmente l’aggiornamento dei software che ne fanno uso in attesa di una comunicazione ufficiale della data in cui si prevede l’emissione delle nuove marche temporali.
Lo scadenziario attuale si articola nel seguente schema, in base alla TSA di riferimento:
Time Stamping Authority
|
Data di introduzione allineamento alla Deliberazione CNIPA n.45 del 21 maggio 2009
|
Infocert |
entro il mese di luglio 2010
(data esatta ancora non precisata dalla CA) |
Lisit (SISS) |
30 Agosto 2010 |
Actalis |
Già in vigore |
Occorre prevedere, in questo “limbo temporale”, un ambiente ibrido, in cui sia plausibile l’utilizzo di entrambe le modalità di emissione e imporre, dal lato applicativo, che a partire dal 30 agosto 2010 non siano più accettabili le firme e le marche temporali che non corrispondono alle novelle disposizioni.
Interessante notare quanto la nuova modalità di rilascio di marche temporali riguardi la sola firma apposta dalla TSA sulla marca stessa e non la modalità di richiesta che contiene a sua volta l’impronta del documento di cui si richiede l’associazione di data certa. Infatti la norma non impone che anche nella richiesta di marca temporale debba essere presente un impronta calcolata con lo sha256, ma consente di continuare ad utilizzare il precedente algoritmo. Ora sorge spontanea la domanda: ma se non è considerato sufficientemente sicuro, perché lo si può comunque utilizzare nelle richieste di marca temporale?
Altro quesito importante da porsi: nella conservazione digitale, il cosiddetto file di chiusura che deve contenere le impronte dei documenti appartenenti al lotto, quale algoritmo dovrà contemplare? Quello previsto nel nuovo standard di firma o potrà continuare ad utilizzare il precedente? Una soluzione plausibile è quella di prevedere l’utilizzo di entrambe le tipologie di hash, garantendo così la compatibilità con le due funzioni algoritmiche.
