Quando si scambiano in rete documenti firmati digitalmente, per i destinatari di tali documenti è fondamentale poter verificare l’autenticità della firma digitale.

Come possono i destinatari essere sicuri che colui che ha firmato il documento è effettivamente lui, o non un altra persona? A garantire l’identità ci pensano le Autorità di Certificazione (CA), terze parti di cui ci si può fidare, che hanno il compito di accertare l’identità personale di chi richiede la firma, consentire a chiunque l’accesso a un Registro dei Certificati emessi al fine di permettere l’identificazione del titolare della chiave pubblica ed aggiornare costantemente una Lista dei certificati (CRL – Liste di revoca).

La CA identifica con certezza la persona , ne rilascia, a garanzia della sua identità, relativo certificato, il quale è verificabile da chiunque riceva un suo documento firmato. Le CA svolgono un ruolo fondamentale nella c.d. chain of trust (catena di fiducia), svolgendo compiti similari a quelli di un notaio pubblico, e per tale motivo in Italia sono soggette ad  azione di vigilanza e controllo da parte di DigitPA, ente pubblico sotto la vigilanza del Ministro per la pubblica amministrazione e l’innovazione.

L’attività di identificazione risulta talmente importante e critica che DigitPA ricorda (con tanto di testo evidenziato in rosso) che:

“in nessun caso è possibile ottenere un dispositivo di firma digitale senza incontrarsi personalmente con il certificatore, o suo incaricato, che avrà l’obbligo di richiedere un documento di riconoscimento in corso di validità per verificare l’identità del richiedente”.

Cap. 12. Dove e come dotarsi di firma digitale – CNIPA – Guida alla Firma Digitale (2009)

Nella Unione Europea, le linea guida sui requisiti relativi ai prestatori di servizi di certificazione, che rilasciano certificati qualificati, sono indicate nell’Allegato II della Direttiva 1999/93/CE, madre di tutte le firme elettroniche/digitali “in giro” per l’Europa. L’interoperabilità europea per la verifica delle firme digitali è stata raggiunta (anche se permangono ancora un po’ di inerzie) attraverso la realizzazione delle TSL nazionali (Trust Service Status List – ETSI TS 102 231) contenenti le liste dei certificatori qualificati presenti nei paesi membri, attuando così una effettiva condivisione e riconoscimento paneuropeo delle Certification Authority. In altre parole, la “catena della fiducia” si è allungata ed estesa a pressoché tutta l’Europa.

Agli enti di certificazione nazionale e regionale si aggiungono altre due tipologie di soggetti certificatori:

1. quelli settoriali, che fanno riferimento ad uno specifico contesto industriale e/o ambito di servizi (U.S. Food and Drug Administration (FDA), Sarbanes Oxley, SAFE BioPharma Association, ecc.) ;
2. quelli worldwide, quali ad esempio gli autorevoli casi di VeriSign e GlobalSign, arcinoti al mondo dei navigatori di Internet in quanto inglobati di default in molti sistemi a chiave pubblica (vedasi il caso dei browser web che includono certificati Verisgin e Globalsign, perchè molti siti web usano certificati emessi dalle suddette CA per autenticare se stessi verso i browser web).

“Mi fido di te”

Il certificato serve a dimostrare a tutti la nostra identità. Ovviamente tutto questo è vero se come destinatari ci fidiamo della CA che ha firmato il certificato di firma del nostro “firmatario”, nel quale si “afferma”, che la chiave pubblica che usiamo per decodificare il messaggio/documento ricevuto è veramente, realmente, onestamente … autentica. Fidarsi o meno di una CA non è una funzione algoritmica, ma dipende da due elementi:

1. uno strettamente personale, sulla base del quale decidiamo autonomamente che possiamo fidarci, siamo certi che il firmatario è chi dice di essere, e all’atto pratico contrassegniamo il certificato, nel nostro client di verifica della validità della firma digitale, come direttamente affidabile in un elenco di identità affidabili che andremo a definire;

2. l’altro a carattere più intrinseco/”fideistico”, dove sostanzialmente ci si af-fida a catene di fiducia che per caratteristiche di controlli, valore istituzionale, autorevolezza, notorietà, referenze, tradizione e radici (“root”) attendibili ci fanno più che ragionevolmente credere nella affidabilità dei loro certificati.

Su quest’ultimo fronte, oltre al già citato caso europeo delle TSL nazionali, si è mossa Adobe Systems Incorporated con l’iniziativa AATL (Adobe Approved Trust List), un elenco di certificati affidabili regolarmente aggiornato, che viene scaricato quando si apre il file, consentendo all’utilizzatore di Acrobat o Reader (dalla versione 9 in su) di verificare in modo automatico e predefinito e completo le caratteristiche di autenticità di una firma, senza dover fare alcuna attività di configurazione.

Ciò vuol dire che per il 90% ed oltre di utilizzatori di Adobe Reader nel mondo, la verifica della validità di un documento firmato (integrità e autenticità) è contestuale al momento della visualizzazione a video dello stesso, nonché facile, perchè evidenziata nella barra del menù di Adobe.

AATL è una Lista di Fiducia (di certificati digitali e CA collegate) Approvata da Abobe. I certificati digitali di origine affidabili (“root certificate”) vengono verificati da Adobe e da altre autorità per garantire che soddisfino specifici e stringenti requisiti tecnici, atti a garantire autenticità/affidabilità. Qualsiasi firma digitale creata con una credenziale riconducibile a un certificato presente in tale elenco viene ritenuta affidabile.

Adobe si fa garante di autenticità e affidabilità secondo un rigoroso elenco di Technical Requirements richiesti alle CA (p. 1 – The Applicant must own and/or operate a Certification Authority (CA)) per poter aderire al programma AATL.

Nell’elenco delle CA aderenti al programma AATL troviamo già realtà quali GlobalSign, VeriSign, e i governi degli Stati Uniti e dei Paesi Bassi e l’elenco delle CA è destinato ad allungarsi, poichè, per quanto a mia conoscenza, anche alcune CA italiane, fra cui ArubaPEC ed Actalis, hanno, o sono in procinto di aderire all’iniziativa.

Con AATL, il Portable Document Format continua il suo percorso “don’t make me think” garantendo al documento facilità di verifica worldwide, reale interoperabilità nazionale ed internazionale, indipendenza, dal tipo di certificato (settoriale, nazionale, europeo, worldwide), dal dispositivo di firma, o dall’applicazione di firma.

Parafrasando ale&franz … “mi fido di Adobe”.

https://firma-facile.it/2010/10/28/un-matrimonio-magico-formato-pdf-e-firma-digitale-remota/

Un ringraziamento a Andrea Valle Enterprise Solution Development Manager c/o Adobe Systems Europe per il contributo alla stesura di questo post