Firme digitali ed errori di verifica
Su Agenda Digitale è stato pubblicato l’articolo “Firma digitale, è caos di documenti respinti per errore: ecco perché”, a firma di Giovanni Manca. Nell’abstract si legge quanto segue: “Negli ultimi giorni c’è un picco di casi di documenti respinti da alcuni QTSP per firma non valida, anche se correttamente firmati. Per colpa di un caos di regole (europee) e formati. Ecco che sta succedendo e che bisognerebbe fare per rimediare”.
Negli ultimi tre mesi - scrive Manca dopo avere introdotto e contestualizzato l’argomento - mi sono trovato a verificare una serie di firme digitali e anche sigilli elettronici ovvero la nuova fattispecie di servizio fiduciario introdotta dal sopra citato regolamento eIDAS.
I risultati sono tutt’altro che incoraggianti e l’evento di punta è di qualche giorno fa dove un documento firmato è stato respinto da un prestatore di servizi fiduciari qualificato (QTSP – Qualified Trust Service Provider) per non validità della firma mentre era verificato correttamente da altri nove software (tutti segnalati dall’Agenzia per l’Italia Digitale che rilancia le segnalazioni del mercato e ovviamente non può entrare in merito sulla qualità del prodotto per mancanza di strumenti adeguati).
Cosa genera il caos
Questo scenario scatena alcune riflessioni. La prima è che i problemi riscontrati sono il normale risultato dell’elevatissimo numero di sottoscrizioni che si producono in Italia. Poi un notevole contributo al “caos” è dato dalle nuove regole tecniche europee che hanno definito tre formati per le sottoscrizioni:
- il CAdES, lo storico formato evoluzione del PKCS#7 da sempre caratterizzato dall’estensione del file firmato .p7m;
- il PAdES, utilizza le basi del PDF come stabilito nella specifica pubblica ISO 32000
- lo XAdES, un CAdES che utilizza le sintassi, gli schemi e le tassonomie dell’XML.
Rivedere l’approccio alla modalità di verifica