Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Aruba - Le diverse tipologie di Firme Elettroniche
1. Le diverse tipologie di Firme Elettroniche
gli aggiornamenti normativi, casi d’uso e nuove opportunità
Ing. Andrea Sassetti
Direttore Servizi di Certificazione
Gruppo Aruba
2. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
4. ArubaPEC ed Actalis
Servizi di Certificazione erogati dal Gruppo Aruba
Aruba PEC S.p.A ed Actalis S.p.A., società del Gruppo Aruba S.p.A., sono Autorità di
Certificazione iscritte all'Elenco Pubblico dei Certificatori accreditati dall’Agenzia per l’Italia
Digitale (ex DigitPA), nonché Gestori accreditati di Posta Elettronica Certificata (PEC)
Offerta di Servizi di Certificazione per tutte le Società, Enti e Pubbliche Amministrazioni:
Posta Elettronica Certificata
Firma digitale (Smart Card, Token USB)
Firma Remota, Automatica/Massiva
Firma Elettronica Avanzata (Biometrica, Grafometrica, …)
Carta Nazionale dei Servizi (CNS)
Strong Authentication (CNS, OTP,:..)
Marche Temporali
Conservazione sostitutiva
Infrastrutture PKI
…
5. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
6. Le Firme Elettroniche
Come vengono definite e loro efficacia probatoria
Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
Firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un
documento informatico che consentono l'identificazione del firmatario del documento e
garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può
conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da
consentire di rilevare se i dati stessi siano stati successivamente modificati;
non viene specificata tecnologia da adottare (non ci sono standard tecnologici di riferimento)
non deve essere necessariamente un Ente Certificatore ad offrire tali soluzioni
non interoperabile
Firma Digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e
su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al
titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un
insieme di documenti informatici;
Certificato qualificato -> Enti Certificatori accreditati
standard tecnologico ben definito
non è specificato se utilizzare un dispositivo sicuro di firma -> nelle regole tecniche è invece previsto
interoperabilità
7. Le Firme Elettroniche
Come vengono definite e loro efficacia probatoria
Firma Elettronica Qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un
certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
Certificato qualificato -> Enti Certificatori accreditati
standard tecnologico ben definito
richiesto l'utilizzo di un dispositivo sicuro di firma (smart card, token usb, HSM)
Interoperabilità
Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente
valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e
immodificabilità
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o
digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano
l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista
dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si
presume riconducibile al titolare, salvo che questi dia prova contraria.
8.
9. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
10. La Firma Remota
Soluzioni di Firma Elettronica Qualificata
Utente
ArubaPEC CA
HSM Signature
Middleware
Internet
ArubaRemote
SigningServer
HSM Signature
Middleware
Sito remoto
HSM
HA System & Monitor
HSM
Provisioning System
(es. Filiale/Cliente)
App/WebApp
Utente
11. La Firma Remota – Integrazione Applicativa
Soluzioni di Firma Elettronica Qualificata
ARSS: componente software che semplifica
l'integrazione della Firma Remota con le Applicazioni
Servizi offerti:
Firma Remota
Firma Automatica/Massiva
Strong Authentication
Marcatura Temporale
ArubaRemote
SigningServer
Verifica Firma/Marca
Firma Elettronica Avanzata (coerentemente con quanto
previsto dalle regole tecniche)
12. La Firma Remota – Sistemi di strong Auth.
Soluzioni di Firma Elettronica Qualificata
Aruba ID Server: interamente sviluppato da Aruba
Consente l'integrazione di vari sistemi di Strong
Authentication, quali:
sistemi OTP forniti da Aruba (basati sui protocolli
del consorzio OATH) quali, ad esempio
Token OTP con Display
Token OTP USB
Mobile OTP (sw) per dispositive mobile quali
iPhone, Blackberry, Android, Java phone
OTP SMS
Token OTP brand VASCO
integrazione di altre soluzioni di autenticazione forte che
il Cliente volesse adottare in futuro
Aruba ID Server
integrazione di soluzioni di riconoscimento biometrico del
Titolare quali la firma biometrica (grafometrica)
13. La Firma Remota
Soluzioni di Firma Elettronica Qualificata
Multidevice: PC, Tablet, Smartphone, …
Integrazione semplice e veloce: qualsiasi applicazione può integrare
facilmente le funzionalità di firma remota (ed altre offerte dall’infrastruttura)
Architettura flessibile: personalizzazioni in funzione di specifiche esigenze
del Cliente
Servizio offerto in outsourcing o installato presso l’infrastruttura IT del
Cliente (in house)
14. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
15. Firma Elettronica Avanzata
un processo di firma…
Regole Tecniche
Art. 55 (Disposizioni generali), comma 1: La realizzazione di soluzioni di firma elettronica avanzata è libera
e non è soggetta ad alcuna autorizzazione preventiva
Art. 56 (Caratteristiche delle soluzioni di firma elettronica avanzata), comma 1: Le soluzioni di firma
elettronica avanzata garantiscono:
a) l’identificazione del firmatario del documento
b) la connessione univoca della firma al firmatario
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici
eventualmente utilizzati per la generazione della firma medesima
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo
l’apposizione della firma
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a)
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello
stesso rappresentati
h) la connessione univoca della firma al documento sottoscritto
16. Firma Elettronica Avanzata
un processo di firma…
Regole Tecniche (segue)
Art. 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata), comma 1: I
soggetti di cui all’articolo 55, comma 2, lettera a) devono:
a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in
merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione
dell'uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione
delle condizioni del servizio da parte dell’utente;
b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di
cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto
all’articolo 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità;
Art. 58 (Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi)
I soggetti che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni devono
essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle
informazioni ad essi relative alla norma ISO/IEC 27001 ed avere la certificazione di conformità del proprio
sistema di qualità alla norma ISO 9001.
17. Firma Elettronica Avanzata
un processo di firma…
Regole Tecniche (segue)
Art. 60 (Limiti d’uso della firma elettronica avanzata), comma 1: La firma elettronica avanzata realizzata in
conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti
giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, comma 2, lettera a)
Art. 61 (Soluzioni di firma elettronica avanzata)
comma 1. L’invio tramite posta elettronica certificata ..... sostituisce, nei confronti della pubblica
amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.
comma 2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del
documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri
strumenti ad essi conformi sostituisce ..... la firma elettronica avanzata ai sensi delle presenti regole
tecniche per i servizi e le attività
comma 6. ... al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, DigitPa
elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi
alle presenti regole tecniche
18. Firma Elettronica Avanzata
un processo di firma…
….
infrastrutture a chiave pubblica
(certificati digitali)
Firma grafometrica
20. Firma Elettronica Avanzata
basata su tecnologie grafometriche
La Firma Grafometrica (biometrica) è una tecnologia che consente di apporre, nei documenti informatici, una
Firma Elettronica Avanzata
La Firma Grafometrica rispetta pienamente quanto previsto dalle regole tecniche per la Firma Elettronica
Avanzata, garantendo:
l’identificazione del firmatario del documento
la connessione univoca dei dati di firma al firmatario
il controllo esclusivo del firmatario del sistema di generazione della firma
la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito modifiche dopo
l’apposizione della firma (integrità della firma)
la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
La ”identificazione biometrica della firma” avviene riconoscendo
parametri
grafometrici
velocità, pressione, ritmo, accelerazione, movimento
quali
22. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
23. Strong Authentication
Aruba fornisce Servizi di Autenticazione forte sia “as a service” (outsourcing) che installate presso
l’infrastruttura IT del Cliente
Il sistema consente l'utilizzo di un qualsiasi sistema di strong authentication tra quelli da noi proposti :
Aruba Call
Aruba Call plus
Aruba SMS
Aruba SMS Plus
Token OTP (display) , basato sui protocolli del consorzio OATH
Token OTP USB, basato sui protocolli del consorzio OATH
Client OTP Mobile
Carta Nazionale dei Servizi (CNS)
Browser sicuro su TokenUSB
Per la fruizione di tali servizi di autenticazione Aruba mette a disposizione semplici interfacce
(tipicamente webservice) che rendono estremamente facile l’integrazione con gli applicativi cliente.
24. Strong Authentication - Soluzioni OTP
Aruba OTP - Differenti Soluzioni OTP in grado di soddisfare le varie
esigenze dei Clienti:
OTP di tipo hardware (display OTP, USB OTP, Display Card,..)
OTP Mobile (iOS, Android, BlackBerry, JavaPhone)
OTP sw (librerie per integrazione con le applicazioni del Cliente)
OTP brand di mercato (Vasco, RSA, Verisign VIP, …)
25. Strong Authentication – Aruba Call
ArubaCall
Massima semplicità d’uso
Zero costi telefonici
Impatti per l’integrazione: minimi
ArubaCall: vantaggi della soluzione
Non richiede la distribuzione di dispositivi (es. token OTP) agli utenti
Non esposta ad attacchi di mobile impersonation (caller ID spoofing)
Nessun costo telefonico a carico dell'utente finale
Semplicità e velocità
26. Strong Authentication – Aruba SMS - SMS Plus
Aruba SMS
Codice OTP OATH
Costi telefonici per invio SMS all’utente
Impatti per l’integrazione: bassi
Aruba SMS Plus
Autenticazione della transazione
Costi telefonici per invio SMS all’utente
Impatti per l’integrazione: modesti
27. Strong Authentication
Flessibilità delle nostre soluzioni
Il Cliente può scegliere una qualsiasi delle soluzioni offerte, selezionando per ciascun
utente quale sistema di autenticazione forte adottare
Singola Interfaccia (Web Service) per l’integrazione di tutte le soluzioni di Strong
Authentication offerte, così da avere il minor impatto sugli applicativi attualmente
in uso
Possiamo offrire il servizio di Strong Authentication sia in modalità Outsourcing che
“in casa” del Cliente
28. Contenuti della Presentazione
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
29. Contrassegno Elettronico
Contesto normativo e definizione
Il “Contrassegno elettronico” è regolamentato da quanto disposto nell’articolo 23-ter, comma 5 del
vigente Codice dell’Amministrazione Digitale, Decreto Legislativo 7 marzo 2005, n. 82, che recita:
“Sulle copie analogiche di documenti amministrativi informatici può essere apposto a stampa un
contrassegno, sulla base dei criteri definiti con linee guida dell'Agenzia per l'Italia Digitale, tramite il
quale è possibile ottenere il documento informatico, ovvero verificare la corrispondenza allo stesso
della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di
legge la sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con
sottoscrizione autografa del medesimo documento informatico. I programmi software eventualmente
necessari alla verifica sono di libera e gratuita disponibilità.”
Nell’ambito delle "Linee guida per il contrassegno generato elettronicamente ai sensi dell’articolo 23ter, comma 5 del CAD" per contrassegno generato elettronicamente si intende:
“una sequenza di bit, codificata mediante una tecnica grafica e idonea a rappresentare un
documento amministrativo informatico o un suo estratto o una sua copia o un suo duplicato o i suoi
dati identificativi. A tutti gli effetti di legge sostituisce la sottoscrizione autografa della copia
analogica.”
30. Contrassegno Elettronico
Scenari d’uso
Un documento originale
firmato digitalmente
La trasposizione dello stesso
originale in forma grafica
Contrassegno generato elettronicamente
amministrativo informatico originale
contenente
i
La creazione di un
documento a stampa
dati
identificativi
del
documento
Contrassegno generato elettronicamente contenente estratto/copia/duplicato del documento
amministrativo informatico originale conservato presso l’amministrazione
Contrassegno generato elettronicamente contenente il documento amministrativo informatico
originale non conservato presso l’amministrazione
31. Contrassegno Elettronico
Scenari d’uso
Due macro tipologie di contrassegno digitale
“Copia Controllata” - Questo Timbro è verificabile solo in presenza di collegamento internet ed è
possibile utilizzarla per qualsiasi documento di qualsiasi dimensione con firma PAdES o CAdES.
In questo caso il contrassegno contiene gli elementi che rendono possibile la verifica accedendo on line al
documento amministrativo informatico originale;
“Autocontenuta” - Questo Timbro è verificabile anche senza collegamento internet ma è legato alla
dimensione del documento originale.
Le informazioni contenute nel contrassegno generato elettronicamente consentono la verifica rispetto al
documento amministrativo informatico o al duplicato o all’estratto da cui ha origine senza accesso
telematico
31