Firma Digitale e files P7M

Send Us a Sign! (Contact Us!)

La firma digitale è un’operazione con la quale si genera un codice crittografico che dimostra l’identità e l’integrità di un documento. In altre parole, la firma digitale permette di verificare che il documento:

  • è stato firmato da una ben precisa persona.
  • successivamente, non ha subito modifiche.

La firma digitale si basa su algoritmi crittografici che richiedono il possesso, da parte dell’utente, di una chiave privata e di un corrispondente certificato. La chiave privata ed il certificato sono normalmente memorizzati su un dispositivo elettronico simile ad una carta di credito, chiamato smartcard, oppure su un token USB (in entrambi i casi si tratta di microchip con funzionalità crittografiche):

In fase di generazione della firma, è necessario digitare il PIN della propria smartcard o dispositivo USB.

Il certificato è un piccolo file contenente informazioni essenziali per la verifica della firma:

  • il nome ed il codice fiscale dell’utente titolare (es. Mario Rossi).
  • il nome dell’azienda di appartenenza, se applicabile.
  • il nome dell’ente certificatore.
  • la data di inizio e la data di fine validità.
  • la chiave pubblica del titolare.
  • altre informazioni di servizio.

Il certificato viene rilasciato all’utente da un ente terzo fidato, detto certificatore (Certification Authority, CA).

Dopo aver generato una firma digitale, questa viene solitamente salvata in un file detto busta crittografica; la busta contiene normalmente anche il documento di partenza ed il certificato del firmatario, così da tenere insieme tutte le informazioni necessarie per la verifica.

Esistono diversi formati di busta crittografica; il più diffuso è quello conosciuto come PKCS#7 (in tal caso il file ha l’estensione P7M).

Affinché la firma digitale abbia un pieno valore legale (in tal caso si parla di firma qualificata), devono essere rispettate diverse norme di legge che stabiliscono requisiti relativi alle chiavi, al certificato, alla smartcard, al certificatore, al formato della busta crittografica, etc.

Il file P7M

È il file derivato dal processo di apposizione della firma ditale CAdES. Utilizzando un programma di firma digitale ed apponendo la firma CAdES ad un file, si ottiene un nuovo file con estensione P7M. Quest’ultimo è di fatto un contenitore e contiene diversi oggetti tra cui il file originale. La caratteristica principale del file P7M è che al suo interno può essere contenuto e quindi firmato qualsiasi tipo di file.

La busta crittografica
Per il fatto che un file firmato digitalmente contiene diversi oggetti viene denominato busta crittografica. Un file firmato digitalmente genera sempre una busta crittografica. La busta può essere quindi di diversi tipi a seconda del tipo di firma utilizzata.

  • CMS Advanced Electronic Signatures (CAdES)
  • PDF Advanced Electronic Signatures (PAdES)
  • XML Advanced Electronic Signatures (XAdES)

Al suo interno la busta crittografica contiene diversi oggetti tutti indispensabili affinché la busta crittografica sia completa e la firma digitale valida.

  • il file originale
  • L’evidenza informatica della firma
  • Il certificato emesso a nome del sottoscrittore
  • La chiave per la verifica della firma
  • La chiave per la verifica della firma è contenuta all’interno del certificato emesso a nome del sottoscrittore.

La struttura informatica della busta crittografica consente una varietà di possibilità riguardo alla firma digitale. Alla stessa maniera degli omologhi cartacei, i documenti informatici possono:

  • Avere usa sola firma.
  • Avere più firme.

Il file P7M a firma singola

È la procedura più semplice. Grazie ad un programma per la firma digitale al documento informatico viene apposta la firma digitale. Si forma così un contenitore al cui interno c’è tutto il necessario perché possa essere a tutti gli effetti una busta crittografica. Il risultato è un nuovo file con estensione P7M.

Firma Digitale e files P7M

Il file p7m a firma multipla

Le modalità per aggiungere più firme ad un file P7M sono due:

  • Busta singola
  • Busta multipla

Busta singola

Questa soluzione prevede di aggiungere tutte le firme ad un documento informatico e di chiudere il tutto in una busta crittografica. I sottoscrittori sono quindi co-firmatari.

Operativamente è necessario che i diversi sottoscrittori siano contemporaneamente presenti al momento della creazione della busta crittografica. I firmatari uno per volta inseriscono la loro smart card e digitano il PIN per apporre la loro firma. Quando tutte le firme sono aggiunte si da al software il comando di chiudere la busta crittografica. Il risultato è un file con una sola estensione p7m.

Firma Digitale e files P7M

Busta multipla

Questa modalità prevede che il file possa essere firmato da più persone in momenti ed in luoghi diversi. In questo caso si parla di contro firma. Ad esempio puoi firmare il file. Inviarlo per posta elettronica al contro-firmatario. Il contro-firmatario lo firma a sua volta e te lo re invia indietro. Il risultato è un file con tante estensioni p7m quante sono le firme digitali apposte sul documento informatico.

Operativamente ad ogni apposizione di firma si chiude la busta crittografica. Ogni successivo firmatario appone la propria firma digitale creando una nuova busta al cui interno c’è la busta crittografica precedente. Per questo motivo la questa modalità viene detta anche firma matrioska.

Firma Digitale e files P7M

Aprire un file p7m

Abbiamo detto che la firma CAdES la si può usare per qualsiasi tipo di file. Invece, ad esempio, la firma PAdES può essere usata solo sui file PDF. La versatilità della firma CAdES ha un contro: è possibile visionare il contenuto dei file firmati digitalmente solo con un programma apposito. Mentre invece, tornando all’esempio di poco fa, un file con firma PAdES può essere aperto con qualsiasi programma per la lettura dei PDF. Adobe Acrobat Reader su tutti.

I programmi per aprire i file p7m sono gli stessi che servono ad apporre le firme. I più diffusi sono

  • ArubaSign
  • DiKe
  • Firma Certa

I limiti della firma CAdES

Nei casi di firma multipla visti in precedenza la busta crittografica contiene una versione unica del documento informatico. A quest’ultimo possono solo essere aggiunte ulteriori firme digitali senza mai cambiarne il contenuto.

Mettiamo il caso in cui si vogliano riportare sul documento delle note successive alla sottoscrizione, ad esempio un numero di protocollo. Per fare questa operazione sarà necessario

  • Estrarre il documento informatico dalla busta crittografica.
  • Apportare le annotazioni.
  • Firmare nuovamente il documento.
  • Le modifiche apportate sarebbero così visibili sul documento firmato, ma le firme precedenti non sarebbero più valide.

Una evoluzione della firma CAdES potrebbe portare al superamento di questo limite.