Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione del documento informatico e la PEC La conservazione del documento informatico
Il Documento Informatico e la sua gestione Al centro del Codice è il Documento informatico, variamente declinato attraverso: Firma digitale, che consente l'inequivocabile attribuzione della paternità degli atti nella fase della loro formazione; Protocollo informatico, che governa la fase di gestione permettendo di assegnare agli atti ed ai documenti un posto preciso all'interno dei database delle pubbliche amministrazioni, tracciandone ogni movimento; Posta elettronica certificata (PEC), che regola la fase di trasmissione del documento informatico tra PA diverse e tra queste e gli utenti, consentendo di trasferire il tutto con modalità certe; Archiviazione digitale, che permette in fase di conservazione, di archiviare la documentazione prodotta. Riferimento:– Capire il Codice -L. Spallino 2006
Firme Elettroniche Principi di base
Firma digitale (in senso tecnico) La firma digitale è un numero associato ad un documento mediante tecniche crittografiche. Il certificato digitale lega in modo sicuro l’identità del titolare alle informazioni crittografiche utilizzate per la firma. Nella firma digitale sono critiche le informazioni sul tempo di apposizione della sottoscrizione e lo stato del certificato digitale (revoche e sospensioni). Nel certificato digitale possono essere inserite una serie di informazioni sul sottoscrittore. Per esempio il titolo, le limitazioni d’uso, le limitazioni nei valori negoziali, l’utilizzo di sottoscrizione con procedura automatica. La imminente introduzione del titolo telematico fa ampio uso di queste modalità tecnologiche.
Le chiavi e la crittografia asimmetrica Chiave pubblica Chiave privata
Le chiavi e la crittografia asimmetrica Spett.le Sig. Verdi Da96dv fdsfw Spett.le Sig. Verdi Chiave privata Chiave pubblica Spett.le Sig. Verdi Da96dv fdsfw Spett.le Sig. Verdi Chiave pubblica Chiave privata Le chiavi sono complementari
Generazione della firma digitale
Il Certificato Nome: Giovanni Cognome: Manca CF: MNCGNN59D02H501Z Dati Anagrafici del titolare Sottoscrizione del Certificatore Chiave pubblica
Produce sempre 160 bit (SHA1), 256 bit (SHA2) Non è reversibile La funzione di Hash Spett.le Sig. Verdi Algoritmo SHA1-SHA2 Estratto (hash) del documento SHA1 – SHA2 Produce sempre 160 bit (SHA1), 256 bit (SHA2) Non è reversibile Non è possibile produrre collisioni utili
La generazione della Firma Spett.le Sig. Verdi Estratto (hash) del documento RIPEMD160 – SHA1 Estratto cifrato del documento Spett.le Sig. Verdi Estratto cifrato del documento Busta PKCS#7 Nome: Giovanni Cognome: Manca CF:MNCGNN59D02H501Z nomefile.P7M
La verifica della firma digitale PKCS#7 Spett.le Sig. Verdi Estratto cifrato del documento Nome: Giovanni Cognome: Manca CF:MNCGNN59D02H501Z Estratto (hash) del documento Estratto (hash) del documento GARANZIA DI INTEGRITA’ E AUTENTICITA’ =
La verifica della firma digitale PKCS#7 Spett.le Sig. Rossi Estratto cifrato del documento Nome: Stefano Cognome: Arbia CF:RBASFN64T31H501H Estratto (hash) del documento Estratto (hash) del documento Firma non valida
L’importanza del tempo Se un certificato viene revocato e non è possibile sapere se una certa firma è stata apposta quando esso era ancora valido, la firma è da “buttare”. Comunque deve essere possibile verificare la firma definita una certa data. … quindi … è indispensabile stabilire con certezza se la firma è stata creata prima della scadenza o revoca. Attenzione: stabilire l’esistenza di un documento prima della firma non serve a nulla: chi ne garantisce autenticità e integrità prima della firma, se il certificato è revocato o scaduto?
Le marche temporali Dlgs 82/2005 (Codice) ART. 1.1 bb) validazione temporale, il risultato della procedura informatica, con cui si attribuisce, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi; DPCM 30/3/2009, art. 1.1 i) marca temporale, un’evidenza informatica che consente la validazione temporale. Una marca temporale è firmata da un ente affidabile (TSA) e contiene il riferimento univoco a un altro oggetto binario e l’indicazione certa del tempo. Una marca temporale può in certi casi essere sostituita da un riferimento temporale affidabile: DPCM 30/03/2009
Posta Elettronica Certificata (PEC)
Punto di Accesso Punto di Ricezione Mittente Destinatario
1 Autenticazione Punto di Accesso Punto di Ricezione Mittente Destinatario
2 Invio Messaggio Punto di Accesso Punto di Ricezione Mittente Destinatario
Viene generata la ricevuta di accettazione Punto di Accesso Punto di Ricezione Viene generata la ricevuta di accettazione Ricevuta Accettazione 3 Ricevuta Accettazione Mittente Destinatario
Messaggio di Trasporto 4 Messaggio di Trasporto Punto di Accesso Punto di Ricezione Mittente Destinatario
5 Ricevuta Presa in Carico Punto di Accesso Punto di Ricezione Mittente Destinatario
Deposito Messaggio nella mailbox del Destinatario 6 Deposito Messaggio nella mailbox del Destinatario Punto di Accesso Punto di Ricezione Mittente Destinatario
7 Ricevuta Avvenuta Consegna Punto di Accesso Punto di Ricezione Mittente Destinatario
Autentica il proprio utente di Posta Certificata Punto di accesso Autentica il proprio utente di Posta Certificata Emette la “RICEVUTA DI ACCETTAZIONE” Costruisce il messaggio di trasporto e lo invia al Punto di Ricezione Punto di Ricezione Emette la “RICEVUTA DI PRESA IN CARICO” Inserisce il messaggio nella mailbox del destinatario Invia al mittente una “RICEVUTA DI AVVENUTA CONSEGNA” Mittente Conserva la “RICEVUTA DI ACCETTAZIONE” Conserva la “RICEVUTA DI AVVENUTA CONSEGNA” Indica la propria “Casella di Posta Certificata” Accede periodicamente alla casella di posta certificata Destinatario
L’USO DELLA PEC … Cosa accade se il destinatario non accede alla propria casella di Posta Certificata? La trasmissione del documento informatico per via telematica, con modalità che assicurino la disponibilità all’indirizzo elettronico dichiarato, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.
… e la Legge 20 novembre 1982, n. 890 dispone all’articolo 8 che: L’USO DELLA PEC… E I RISCHI/VANTAGGI … e la Legge 20 novembre 1982, n. 890 dispone all’articolo 8 che: La notificazione si ha per eseguita decorsi dieci giorni dalla data del deposito. La PEC è utilizzata nel Registro Generale d’ordine (Modello 60).
Ricevuta Avvenuta Consegna Presa in Carico Ricevuta Avvenuta Consegna