Modifiche in materia di Firma Digitale

Giovedì 29 luglio 2010

A partire da fine luglio saranno aggiornati i programmi degli enti certificatori che partecipano alla Firma Digitale nei documenti inviati alla Pubblica Amministrazione. Di conseguenza entro il 3 settembre ogni professionista e azienda dovrà adeguarsi perché da quella data le vecchie firme, insicure, non saranno più funzionanti. 

A fine luglio partirà pertanto la campagna di aggiornamento dei programmi che rilasciano firma digitale e marcatura temporale (ossia la funzione dell’ufficio postale che timbra l’ora in cui il documento firmato digitalmente è stato inviato).

Il motivo del cambiamento è l’applicazione della delibera 45/2009 emanata dal CNIPA, centro Nazionale per l’Informatica nella Pubblica Amministrazione.

La sostanza dice che dal 3 settembre prossimo dovranno essere sostituiti i programmi di firma dei documenti per apporre le firme e verificare i documenti firmati.

Il motivo è legato alla sicurezza. Quando nel 2005 furono fatti i primi passi della firma digitale ci si fidò dell’algoritmo SHA-1. Poi si è scoperto che quell’algoritmo è troppo debole e s’è deciso di cambiare tutto o quasi.

Il documento firmato digitalmente viene riassunto in un file e cifrato combinando la chiave personale con l’algoritmo SHA-256 (il numero fa riferimento ai bit della chiave) e il tutto viene imbustato dentro un documento di trasporto utilizzando una chiave RSA a 1024 bit e ricomposto nel formato standard europeo CMS Advanced Electronic Signature (CAdES). Anche i formati PDF con firma (PDadvanced Electronic Signature, PDaES) dovranno essere adeguati alla firma SHA-256.

Comunque dopo il 3 settembre prossimo, la Pubblica Amministrazione potrà rifiutare i documenti firmati secondo i vecchi standard.

(fonte: http://www.ictbusiness.it/cont/news/la-firma-digitale-non-e-sicura-la-pa-cambia-tutto/24981/1.html )