HSM or not HSM, that is the Question

HSM or not HSM

Gli HSM sono apparati sicuramente necessari, se non irrinunciabili, quando sia vincolante la gestione di molte centinaia di firmatari -il caso tipo della firma remota- ovvero quando, anche a fronte di un numero ridotto di firmatari, il numero di firme per secondo da dover erogare, supera le centinaia se non le migliaia, caso tipico delle applicazioni di Firma Digitale Automatica.

In questi stessi ambiti, ci sono molti casi, dove il numero di firmatari é veramente ridotto: dell’ordine delle unità, fino a 50 o raramente 100 firmatari e dove il numero di firme è di alcune migliaia … al giorno.

In questi casi, anche a fronte del costo significativo di un apparato HSM, esiste un approccio basato sempre sull’utilizzo di apparati sicuri di firma, comunque conformi alla normativa e certificati secondo lo standard internazionale Common Criteria con riferimento al Protection Profile CWA14167-2: questo approccio, comporta l’uso dei chip delle smart card, giá utilizzate nella firma digitale.

Ogni Smart Card può gestire una singola coppia chiave/certificato di un singolo Titolare; si tratta quindi di implementare sistemi, basati su lotti di smart card, allo scopo di gestire il corretto numero di Titolari presenti.

La cosa è meno banale di quanto possa sembrare ad un primo approccio e come già detto in un’altro articolo, il numero di chi si improvvisa esperto di firma digitale è in aumento.

E’ infatti necessario tenere sotto controllo e padroneggiare diverse aree, non solo strettamente tecnologiche.

Deve essere possibile dimostrare che la singola smart card -se pur gestita da apparati e procedure automatiche- rimanga nella disponibilità del Titolare, il quale deve essere l’unico ad esercitarne il controllo, pur non essendo fisicamente a presidiare la smart card stessa.

Questa dimostrazione, deve essere supportata da una documentazione trasparente dell’architettura implementata e da una serie di meccanismi di sicurezza, di procedure e di security policy ben documentate; inoltre sarebbe nell’interesse di tutti che questi documenti fossero resi pubblici, in modo da poterli correggere e/o modificare in un ottica di miglioramento continuo.

In ultimo, affinchè questa impostazione sia legalmente recepita come Firma Digitale Automatica, i certificati X.509 di chiave pubblica coinvolti, dovranno evidenziare, tramite un’apposita indicazione in essi contenuta, il fatto che le firme che potranno verificare siano state create da procedure automatiche.

Tutto questo ed altro, sono elementi tenuti ben presenti, nella Piattaforma Timbro Digitale 2D-Plus che GT50 propone sul mercato.

La tecnologia Timbro Digitale 2D-Plus® selezionata da ITALIA degli INNOVATORI

La tecnologia “Codice Bidimensionale ad alta densità 2D-Plus®coperta da brevetto Nazionale, Europeo ed USA, è stata selezionata, in data 20 Febbraio 2012, dal programma Italia degli Innovatori, iniziativa promossa dall’Agenzia per l’Innovazione per la diffusione delle tecnologie per l’innovazione, della Presidenza del Consiglio dei Ministri.

Il percorso di valutazione della tecnologia 2D-Plus® è cominciato a fine Luglio del 2011 e per l’alto numero di richieste si è concluso a metà Febbraio 2012.

L’agenzia della Presidenza del Consiglio dei Ministri Italia degli innovatori vuole dare in modo permanente visibilità internazionale all’eccellenza tecnologica italiana, spesso nascosta e poco visibile a livello istituzionale, creando eventi  con lo scopo di mettere in vetrina l’Italia migliore e cominciare a fare un primo censimento delle eccellenze presenti nel nostro paese al fine di valorizzarle.

Rilevante è il numero degli Enti Comunali, Provinciali Regionali e delle Università che hanno adottato la piattaforma tecnologica Timbro Digitale 2D-Plus per accelerare i processi di de materializzazione e semplificazione all’interno delle proprie organizzazioni.

Vale la pena ricordare alcuni di questi Enti, Regione Emilia Romagna e Regione Sardegna, Comune di Roma, Milano, Genova, Ravenna, Asti, Sesto San Giovanni, Bologna, Sassari, Cagliari e ancora Tempio Pausania, Acerra primo comune in Campania, San Giovanni Lupatoto primo comune in Veneto, Provincia di Bologna quale CST per oltre 30 comuni collegati, provincia di Como prossima ad andare in esercizio per servire 35 comuni del proprio territorio.

Come non mettere in evidenza che in questo contesto l’Associazione Nazionale degli Ufficiali di Stato Civile e di Anagrafe (ANUSCA) è stata la prima organizzazione a intravedere le ampie potenzialità della tecnologia quale elemento abilitante al rilascio di qualsiasi certificazione On Line a valore legale.

La soluzione inoltre, tramite la firma digitale insieme ai dati del documento memorizzati all’interno del codice ad alta densità 2D-Plus®, consente di mettere la parola fine alla contraffazione documentale. A titolo di esempio alcune possibili applicazioni: permessi di soggiorno, carta di identità, libretti di circolazione, assegni di quietanza dei premi assicurativi

La tecnologia 2D-Plus® può essere anche applicata al mondo sanitario per i referti dei laboratori di analisi rilasciabili On Line, per la dematerializzazione delle prescrizioni On Line, insomma in tutti quei processi dove gli Enti centrali possono rilasciare documentazione On Line senza costringere il richiedente a recarsi presso i propri uffici con un risparmio economico facilmente quantificabile.

Alcuni dati su tutti provenienti rispettivamente dal Comune di Milano e dalla Università La Sapienzadi Roma;  ad oggi  la percentuale dei certificati Anagrafici e di Stato Civile emessi On Line dal Comune di Milano è pari al 31% del totale  mentre per l’universitàLa Sapienzada quandola Segreteria Studentiha adottato la soluzione di rilascio delle certificazioni On Line ha inviato ad oggi circa 290.000 documenti.

Un gran risparmio economico per gli Enti e per i fruitori del servizio: Cittadini, Professionisti Imprese

L’innovazione tecnologia Italiana al servizio della collettività “Timbro Digitale 2D-Plus”.

 

Contro le errate implementazioni, non c’è algoritmo che tenga

L’articolo apparso su Repubblica la settimana scorsa rileva come l’implementazione degli algoritmi di crittografia sia a volte approssimativa o ingenua, rendendo le chiavi segrete necessarie per la trasmissione cifrata dei dati (o per la firma digitale) deboli o coincidenti con altre già in circolazione (un evento ovviamente possibile ma che dovrebbe essere raro, molto raro). L’articolo è ben scritto e riporta il concetto fedelmente, ma il titolo è fuorviante: qualcuno potrebbe credere che gli algoritmi alla base della sicurezza delle connessioni abbiano delle debolezze.
(se qualcuno vuole cimentarsi con il documento originale, lo troverà qui:
http://eprint.iacr.org/2012/064.pdf.)

L’unica debolezza è nelle implementazioni errate.

Il problema sta nel fatto che buona parte della crittografia si basa (anche) sull’utilizzo di numeri generati casualmente ma, a giudicare dallo studio, spesso i software hanno una scarsa capacità di generare numeri davvero casuali.
In realtà questo è un problema già ben noto e le liste delle vulnerabilità sono piene di avvisi circa problemi di “poor random generation” per questo o quel programma.
I programmatori a digiuno di crittografia tendono a minimizzare il problema pensando che tali debolezze siano troppo difficili da sfruttare nella pratica ma, di fatto, criptoanalisti specializzati sono spesso in grado di raggiungere dei risultati effettivi attaccando chiavi o algoritmi indeboliti da una scarsa casualità. Questa porta infatti, come concetto generale, ad abbassare il livello di sicurezza di una chiave o di una trasmissione.
Il problema somiglia a quello creato dalla NSA imponendo a taluni produttori di software di crittografia di generare chiavi parzialmente prevedibili (abbastanza da renderle deboli per i sistemi della NSA stessa, che era l’unica a conoscenza della parte “fissa”).

Nello specifico, lo studio ha individuato la conseguenza che alcune chiavi pubbliche sono troppo deboli (poche, ma ci sono) e possono essere “craccate”, ovvero si può trovarne la corrispondente chiave privata che invece dovrebbe rimanere segreta e nelle sole mani del proprietario.
Ma ancora più curioso è il fatto che i ricercatori hanno individuato chiavi identiche prodotte per soggetti differenti, cosa che su un numero così ridotto di chiavi analizzate (7 milioni, numero molto piccolo nella crittografia), non dovrebbe assolutamente accadere.
Se questo fenomeno si è presentato, dobbiamo supporre che i software che hanno generato le chiavi identiche abbiano utilizzato una fonte di “entropia/casualità” scarsissima -o non ne abbiano utilizzata alcuna, affidandosi invece a valori “fissi”!
Se due soggetti possiedono la stessa chiave, l’uno può impersonare l’altro in una comunicazione cifrata!
Lo studio ha rivelato tutto questo (che ripeto, non era poi così imprevedibile; a simili conclusioni era già giunto qualcun altro analizzando i certificati di autenticazione presentati da migliaia di siti web), senza ricorrere a procedure di crittoanalisi sofisticate o enormi potenze di calcolo.

URS

SCBox ed MSBox: come fare a meno degli HSM e vivere felici

Allo scopo di ovviare ai costi degli HSM in commercio e comunque ai rischi di un investimento su questi apparati, vissuti per 10 anni in un limbo di legalità(1), circa tre anni fa Secure Edge ha messo a punto due speciali contenitori di SSCD, con l’obiettivo di poter gestire in modo comodo ed a basso costo, le operazioni di firma digitale di un numero significativo di utenti (firmatari).

In questi tre anni sono state messe in esercizio più di 60 piattaforme che utilizzano questi apparati, generalmente per l’erogazione del Timbro Digitale; alcune di queste installazioni in esercizio sono state oggetto di Visite Ispettive effettuate da DigitPA, ricevendo da questo Ente una valutazione positiva.

Gli SSCD presenti all’interno di questi due apparati, sono chip certificati Common Criteria EAL4+(2), quindi conformi alla normativa europea ed italiana sulla firma elettronica; questi chip sono presenti nelle smart card tipicamente rilasciate da Certification Authority accreditate da DigitPA (ex CNIPA).

Gli apparati di cui stiamo parlando sono:
SCBox: un contenitore tamper evident di SSCD (nella forma di smart card), che permette la conservazione sicura e l’accesso verificabile di 12 smart card, ognuna gestita come entità singola ed indipendente.
MSBox: un contenitore tamper evident di SSCD, che permette la conservazione sicura -ma non l’accesso fisico- di 98 di questi chip, ognuno gestito come singola ed indipendente entità.

Questi apparati operano perfettamente per tutte le applicazioni dove il quantitativo di firme di un singolo utente, effettuate nell’arco di una giornata, non supera le poche decine di migliaia.

Si consideri inoltre che è possibile avere più certificati di firma digitale per ogni singolo firmatario: nulla osta il singolo utente dal possedere più certificati di firma digitale, ovviamente diversi tra loro.
Potenzialmente quindi, si può configurare un MSBox dedicato ad effettuare firma massiva per un solo firmatario, per un totale di poco più di 350.000 firme l’ora; il tutto a costi risibili, se confrontati con l’uso di un HSM.
I casi in cui si debbano spendere svariate migliaia o decine di migliaia di euro, per l’acquisto di un HSM utilizzato da un singolo firmatario, sono comunque molto rari.
Nell’eventualità che il numero di firme per unità di tempo o il numero dei firmatari da gestire fosse veramente molto grande, si deve pensare ad utilizzare un HSM.

Naturalmente purché questo HSM non risulti ancora fuorilegge.

In un articolo sul Corriere della Sera del 23 gennaio di quest’anno viene infatti segnalato come ancora non sia stato risolto il problema degli HSM non certificati
e delle possibili irregolarità per 8 milioni di certificati qualificati di firma.

A meno di una mia colpevole disattenzione, ad oggi solo la israeliana ARX con il suo prodotto CoSign -se pur non ancora certificato- risulta conforme al DPCM 14 ottobre 2011, come si evince su questo articolo pubblicato sul blog Firma Facile del 29 gennaio di quest’anno.

[In questo articolo, l’autore fa una strana affermazione su
“i chip certificati EAL4+ ed utilizzati dalla mano del titolare (e non infilati chissà dove,
perché questo prevede il profilo di protezione CWA 14169)”
.
A mia modesta opinione non sembra che l’utilizzo dalla mano del titolare sia una modalità di cui si occupa il profilo di protezione CWA 14169, ma se qualcuno volesse entrare nel merito sarà naturalmente il benvenuto.]

In tutto ciò non vorrei però creare confusione; ricordo che l’ambito in cui ci stiamo muovendo riguarda un contesto ben preciso:
– l’uso di apparati sicuri per firma digitale -nello specifico gli HSM- che possano essere usati da più firmatari diversi.

E’ quest’ultima caratteristica il problema che molti HSM non riescono a superare e la ragione per cui in Secure Edge abbiamo realizzato gli apparati SCBox ed MSBox.

A poter gestire un solo firmatario infatti, sono certificati in modo opportuno ormai la gran parte degli HSM(3); il CWA 14169, il documento tecnico che definisce i requisiti di questa certificazione, prevede esplicitamente:
i) la presenza di una sola chiave di firma all’interno dell’apparato sicuro; letteralmente dal documento citato:
“The destruction of the SCD is mandatory before the TOE generate a new pair SCD/SVD” (4)
ii) l’utilizzo dell’apparato, da parte di un solo utente; letteralmente dal documento citato:
“SSCD Type 2 and Type 3 are personalized components which means that they can be used for signature creation by one specific user – the signatory – only” (5)

Nel momento in cui un HSM dovesse gestire più chiavi di firma, e/o dovesse essere utilizzato da più di un utente (un firmatario), la sua certificazione -valida per un solo firmatario- non potrebbe essere considerata tale e di fatto quindi, l’HSM stesso non dovrebbe essere più utilizzato per questo scopo.

L’uso del condizionale è indesiderato, ma inevitabile: con una serie di proroghe, che ormai abbracciano un arco temporale di 10 anni (diecianni!), il Governo italiano ha concesso tempo ai produttori per mettersi in regola tramite una opportuna certificazione che permettesse a questi apparati di firma, la gestione contemporanea di più firmatari e più chiavi di firma, nel rispetto delle norme.

Non avendo mai avuto risposta da questi produttori, ed ormai “alla canna del gas”, il Governo ha proceduto con una sorta di ultimatum, che scadeva appunto lo scorso 1 novembre 2011.

Da quella data ad oggi non molto sembra cambiato, il tema è rimasto sottaciuto e questo spiega sia l’allarmante articolo del Corriere della Sera di cui all’inizio di queste note, sia lo scontento dell’unico produttore che ha investito in tempo per rendere la propria tecnologia conforme alla legge, che vede quasi vanificato il suo impegno.

SFN


(1) a chi non fosse chiaro il tema, consiglio una rapida lettura di questo post sulla pagina FaceBook di Timbrodigitale
e questa nota dello Studio Legale Finocchiaro

(2) secondo il Protection Profile – Secure Signature-Creation Device Type3 presente nel documento CWA 14169 Annex-C

(3) la gran parte di questi, risulta per l’appunto certificata Common Criteria EAL4+, conformemente a quanto richiesto all’allegato III della “DIRETTIVA 1999/93/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche.
(Direttiva referenziata direttamente anche dalla norma italiana sulla firma elettronica e sulla validità del documento informatico)

(4) Una traduzione plausibile è la seguente:
E’ obbligatoria la distruzione dell’SCD, prima che il TOE generi una nuova coppia SCD/SVD
L’SCD (Signature Creation Data) in questo contesto è la chiave privata per la creazione della firma, mentre l’SVD (Signature Verification Data) è la sua controparte: la chiave pubblica.
Il TOE (Target of Evaluation) è in questo caso l’SSCD, cioè il chip nella smart card.
E’ chiaro quindi che se devo distruggere la chiave privata precedente, prima di generarne una nuova, sempre una al massimo mi è concesso di gestire.

(5) Una traduzione plausibile è la seguente:
Gli SSCD Tipo 2 e Tipo 3 sono componenti personalizzati, questo significa che possono essere utilizzati per la creazione di firma da parte di un utente specifico solamente, il firmatario
Nello scenario in cui ci stiamo muovendo -ed a meno di proposte estreme- gli SSCD di riferimento sono quelli di tipo 3 (Type 3); SSCD è l’acronimo di Secure Signature-Creation Device (tr: apparato sicuro per la creazione di firma); questi possono essere ad esempio le smart card ovvero gli HSM.

Quando la firma digitale incontra la carta

Per tutti i curiosi aiutateci a verificare la funzionalità del nostro codice.
E’ facile.
Innanzi tutto è necessario scaricare il software gratuito di decodifica dal sito:
http://www.secure-edge.com/hp.php?section=407

A pagina 3 (pagina 21 della rivista Iged) dell’articolo sottostante troverete un codice bidimensionale. A questo punto ci sono due possibilità.

Possibilità 1:
Selezionare il codice con Adobe Reader, con il tasto destro copiarlo in memoria appunti (clipboard) e decodificarlo con il software Decoder 2D Plus scaricato, seguendo le istruzioni (help) direttamente dall’interfaccia.

Possibilità 2:
Stampare il codice, riacquisirlo con uno scanner e decodificarlo con il software Decoder 2D Plus scaricato seguendo le istruzioni (help)direttamente dall’interfaccia.

E’ importante per noi avere i vostri commenti; se saranno complimenti, saremo felici. Se saranno critiche, saranno per noi occasione di miglioramento.

A chi volesse approfondire la tecnologia e le potenzialità del Timbro Digitale, proponiamo in anteprima un articolo scritto dal CTO di Secure Edge Sandro Fontana, che uscirà sul prossimo numero (n.04/2011) di Iged.

Timbro digitale plaude alla spinta verso la semplificazione data dal Governo.

Grazie all’art.15 della Legge 12/11/2011 n.183,i
cittadini a partire dal 01 Gennaio 2012 non dovranno piu’ operare come fattorini tra le
Amministrazioni, per trasportare documentazione gia’ in possesso di
queste organizzazioni. Il Governo ha finalmente obbligato le
Amministrazioni ad organizzarsi, in modo che possano scambiarsi le informazioni d’ufficio,
senza per questo coinvolgere il singolo cittadino.

Contemporaneamente il Governo sta incoraggiando le Amministrazioni a fornire in
modalita’ on-line i documenti ancora necessari ai cittadini,in modo
da facilitare e semplificare a questi ultimi l’accesso alle
informazioni stesse.

In questo contesto la soluzione Timbro Digitale 2D-Plus e’ l’unica che
abilita al rilascio di documenti on line con firma digitale, mantenendone
la validita’ anche una volta stampati e senza costi aggiuntivi.

La soluzione Timbro Digitale 2D-Plus e’gia stata adottata in accordo quadro
da due Regioni (Emilia Romagna e Sardegna), da 100 tra i piu’
importanti Comuni d’Italia e da 10 Università,
proprio per il rilascio di certificati anagrafici, certificati universitari,
cedolini paga on-line.

Da piu’ di due anni circa 12 milioni di cittadini
possono stampare direttamente da casa propria i certificati
anagrafici senza necessita’ di presentarsi fisicamente presso gli sportelli
comunali con conseguente risparmio di tempo, evitando estenuanti code.

Pertanto un caloroso incoraggiamento al Governo per il suo impegno nel processo
di semplificazione.

Sandro Fontana

UNA NUOVA CA

Cosa è?

Secure Edge è  un’azienda che si occupa a livello professionale di ICT Security, sia utilizzando prodotti di terze parti, sia sviluppando software in proprio (http://www.secure-edge.com/hp.php?section=4) e dal2003 ha una  Public Key Infrastructure [PKI] e quindi una Certification Authority [CA] interna.

Tre settimane fa, abbiamo rilasciato un nuovo root certificate per la nostra CA, che a partire dal 9 gennaio 2012, va a sostituire l’operatività  del precedente, firmando quindi i nuovi certificati di autenticazione, di firma e di crittografia.

Perchè un nuovo certificato?

Ci sono una serie di motivi tutti importanti, sia dal punto di vista della sicurezza informatica, sia dal punto di vista organizzativo.

Una delle ragioni è quella di evitare qualsiasi discontinuità  di esercizio per la nostra CA.  La validità  del root certificate precedente scadrà  il prossimo 10 gennaio 2013; avere un anno di sovrapposizione tra le validità  del vecchio e del nuovo certificato, ci garantisce che non ci potranno essere dei disservizi.

Allo scopo di rendere questo periodo di sovrapposizione ancora più controllabile, dall’emissione del nuovo root certificate -quindi dal 9 gennaio 2012 il vecchio root certificate non verrà  più utilizzato per firmare certificati, ma naturalmente rimarrà  valido per la funzione di verifica delle firme emesse nel suo periodo di attività.

Un root Certificate ha una validità  temporale molto più grande dei certificati creati per autenticazione, per firma o per crittografia: tipicamente la sua durata è di 10 anni.

Il root certificate precedente è stato creato nel 2003, a partire da una coppia di chiavi da 1024 bit; una lunghezza considerata adeguata per un root certificate ed implementata fino a qualche anno fa da tutte le CA commerciali.

Ma in 10 anni cambiano molte cose.

Forse qualcuno ricorda che  con una prima nota a febbraio 2005 e poi ufficialmente ad agosto dello stesso anno, alcuni ricercatori cinesi dell’Università di Shandong (Cina) presentarono alla Crypto Conference un metodo efficiente per trovare collisioni nella funzione SHA-1.

Il metodo non metteva a (immediato) rischio il valore della firma digitale ma nonostante questo dopo pochi mesi il NIST deprecava l’uso dello SHA-1 nei processi di firma, suggerendo al suo posto lo SHA-256; e ancora qualche tempo dopo, lo stesso NIST dava il via ad una gara internazionale per trovare un nuovo algoritmo di hash standard: lo SHA-3. Dalla rosa dei candidati selezionati nel 2011 quest’anno si verrà definita la tecnologia migliore.

Come ulteriore elemento da considerare, dal punto di vista della opportuna lunghezza delle chiavi impiegate per la firma, sempre il NIST depreca l’uso operativo di chiavi da 1024 bit, se effettuato dal 2011 inpoi e ne vieta l’uso a partire dal 2014.

Per tutta questa serie di considerazioni quindi, oltre ad aver emesso il nuovo root certificate con un anno di anticipo, rispetto alla scadenza del precedente, si è deciso di rendere la crittografia della nuova copia di chiavi della CA molto più forte, generando una chiave privata da 2048 bit.

Inoltre, pur non dovendo essere accreditata da un ente come DigitPA (ex CNIPA), le procedure seguite per l’operatività  delle CA ed i meccanismi di sicurezza implementati sono di ottimo livello. A titolo di esempio, le coppie di chiavi della CA Secure Edge risiedono all’interno di un dispositivo sicuro di firma (SSCD) ed il computer che ne gestisce le operazioni è mantenuto off-line.

Sandro Fontana (CTO Secure Edge)

Per maggiori approfondimenti:

http://csrc.nist.gov/publications/drafts/800-57/Draft_SP800-57-Part1-Rev3_May2011.pdf

http://www.slideshare.net/sfontana/articolo-new-crypto-ict-security-5-aprile-2007-presentation

250.000 certificati digitali in un anno per l’Università la Sapienza di Roma

Da quasi un anno si sono assottigliate le file alle segreterie delle facoltà dell’Università romana La Sapienza. Per richiedere certificati e documenti con valore legale agli studenti basta un semplice clic.  Grazie all’introduzione della tecnologia del timbro digitale gli studenti sono in grado di richiedere e ricevere online tutti i documenti sia in carta semplice sia in bollo. 

“L’introduzione del Timbro Digitale è stato un vero successo, siamo davvero molto soddisfatti. I numeri, dopo un anno circa dall’implementazione sono ottimi”, spiega la professoressa Tiziana Catarci, docente all’Università La Sapienza di Roma e presidente di Infosapienza, centro di competenze per la predisposizione di soluzioni innovative dell’Ateneo romano. “L’obiettivo è incrementare ulteriormente questi risultati che consideriamo già molto positivi. Basti pensare, ad esempio, che chi non è più uno studente universitario ed ha bisogno di un certificato,  utilizza la certificazione con timbro digitale 4 volte su 5. Ad oggi sono stati emessi digitalmente un totale di oltre 250mila certificati”, aggiunge Catarci.

Adottata da oltre 10 Università e più di cento Comuni, tra cui quello di Roma, Milano oltre alle regioni Emilia Romagna e Sardegna, il timbro digitale permette di erogare in tempo reale documenti e certificati legalmente validi. L’utilizzo è semplicissimo, dopo  l’autenticazione al portale, un operatore virtuale verifica l’emettibilità del documento, il sistema genera quindi il certificato richiesto con il timbro digitale, in formato Pdf con firma digitale del Dirigente, e lo invia automaticamente via mail.

Il Timbro Digitale 2D-Plus Non Rischia Alcun Blocco

Le firme digitali rischiano il blocco scrive l’edizione online del Sole 24 ore. (http://bit.ly/rq5A6u)

 

Una notizia che ha creato un panico comprensibile tra chi usa quotidianamente nel proprio lavoro questo tipo di applicazioni. L’articolo, giustamente, scrive che il blocco coinvolge “praticamente  quasi tutte le firme elettroniche che circolano sul mercato, perché quelle che ricorrono alla smart card rappresentano un’esigua minoranza”.

Ebbene siamo felici di annunciarvi – non senza un pizzico di malcelato orgoglio – che tra questa “minoranza”, che tanto minoranza non è (almeno per quel che concerne il numero di utenti che anche inconsapevolmente usufruiscono dei servizi del Timbro Digitale 2D-Plus) c’è proprio il Timbro Digitale.

In parole povere per chi come il comune di Roma, di Milano o la regione Emilia Romagna, ( o l’università La Sapienza, di Bologna etc etc) ha scelto la nostra piattaforma tecnologica per offrire alla propria utenze i servizi di certificazione digitale non esiste alcun problema. Potranno tranquillamente continuare ad usare il Timbro Digitale 2dPlus per erogare i propri servizi.

Di seguito, per gli addetti ai lavori, la spiegazione del perché la nostra soluzione non è sotto scacco dell’ennesima pastoia burocratica del nostro paese. Il perché, è detto anche in due parole, qualche volta l’innovazione, quella vera, è avanti anche ai legislatori.

 

——————————————————————–

 

A cura di Sandro Fontana, CTO di SECURE-EDGE

Basandoci sull’innovazione mirata, l’uso efficace della tecnologia e la semplicità delle soluzioni, da subito abbiamo valutato che i progetti basati sul Timbro Digitale (e non solo su questo), comportano la generazione di un numero di firme giornaliere (poche decine / poche migliaia al giorno), tale per cui sarebbe stato inutile investire in un HSM (gli apparati a cui si riferisce l’articolo: vedi anche Gazzetta Ufficiale n. 254 del 31 ottobre 2011 il d.p.c.m. 14 ottobre 2011 ).

 

Inoltre, dovendo gestire più firmatari contemporaneamente, gli HSM non avrebbero neppure potuto essere utilizzati (mancando della specifica certificazione Common Criteria per questo specifico utilizzo, ovvero hanno delle opzioni cosi’ costose da non renderle praticabili)

 

A questo punto, abbiamo optato per un sistema che si basa sulla firma digitale prodotta da più SSCD certificati (sono le smart card di firma digitale), invece che da un singolo e costoso HSM, con una speciale scatola “tamper evident” che garantisce una corretta custodia del dispositivo di firma, come richiesto dalla norma (Art 32 c.1 del Codice), una serie di politiche di sicurezza e di comunicazione sicura in modo da ottemperare agli altri requisiti della norma (Art. 35 c.3)

Acerra Primo Comune Campano ad Adottare il Timbro Digitale 2D-Plus

Il Timbro Digitale 2D Plus sbarca in Campania. Infatti, il 12 dicembre è stato firmato un protocollo d’intesa tra il commissario straordinario del comune di Acerra, Marcello Fulvi e dal Prefetto di Napoli Andrea De Martino per dare il via alla sperimentazione del rilascio automatico delle certificazioni di anagrafe e di stato civile mediante l’uso del “Timbro Digitale “. (video con accesso al portale ed intervista al Prefetto di Napoli)

Acerra sarà infatti il primo comune campano ad adottare la nostra piattaforma tecnologica che permetterà ai suoi cittadini – come riportato correttamente sul sito del comune – di evitare file e stress per ottenere i certificati anagrafici.

All’evento sono state invitate anche alcune tra le maggiori amministrazioni comunali della provincia, onde favorire la diffusione di iniziative analoghe, nella piena condivisione dell’obiettivo dell’innovazione e della modernizzazione della pubblica amministrazione.

“Con questa iniziativa“, commentano il Commissario Straordinario Fulvi, il Dirigente dei Servizi Informatici dell’Ente Ascoli e il Vice Segretario Generale, Dirigente dei Servizi Demografici Castaldo, “il Comune di Acerra intende proseguire nel percorso d’innovazione avviato ormai da alcuni anni e ulteriormente valorizzato dall’attuale amministrazione commissariale, fornendo un servizio semplice ma fondamentale per l’Ente ed i suoi cittadini, come l’emissione dei certificati, sfruttando la tecnologia web ormai alla portata di tutti. Il timbro digitale, in quanto versione analogica del documento informatico, è in linea con gli sforzi in atto per la digitalizzazione della PA, fornendo la soluzione alla necessità pratica di stampare su carta un documento informatico, mantenendone validità ed efficacia. Ci auguriamo che questa sperimentazione possa avere ad Acerra lo stesso successo che ha riportato in altri comuni italiani, anche molto grandi, dove analoghi servizi sono già forniti da un paio d’anni, così da fungere da volano per l’innovazione, nell’ottica di una pubblica amministrazione sempre più al passo coi tempi.

Non meno significative le parole del Prefetto di Napoli de Martino : “L’iniziativa favorisce la semplificazione e l’ ottimizzazione dei rapporti con tutti gli utenti dei servizi pubblici, cittadini ed imprese, in quanto consente la riduzione dei tempi di attesa allo sportello e insieme dei costi di produzione dei certificati da parte del Comune in linea con le esigenze di efficienza della pubblica amministrazione e di riduzione della spesa pubblica”

A partire da gennaio 2012 i cittadini di Acerra potranno richiedere via fax le credenziali per l’accesso al nuovo sistema, o potranno recarsi direttamente presso gli uffici anagrafici comunali. Per usufruire del servizio dovranno collegarsi al portale www.comune.acerra.na.it e seguire le istruzioni a video. Saranno disponibili on line tutti i certificati più comuni, quali i certificati anagrafici (residenza e stato di famiglia) e di stato civile (certificati o estratti di nascita, matrimonio e morte)

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.