Vorrei attivare la mia firma digitale personale + marca temporale e farlo nel modo più libero e conveniente possibile. In questa pagina riassumo tutte le informazioni utili raccolte durante mio percorso per condividerle.

Cos’è la firma digitale

Per comprendere il funzionamento dellla firma digitale in modo esaustivo, ma soprattutto i pregi e le problematiche di questo nuovo strumento, consiglio la lettura della relativa voce di Wikipedia Italia.

Scegliere il certificatore

La legge (articolo 29, comma 1 del DLGS 7 marzo 2005 nn. 82, specificato nel DPCM 13 gennaio 2004) prevede un elenco pubblico dei certificatori, pubblicato su internet dal Centro Nazionale per l’Informatica nella Pubblica Amministrazione (Cnipa). Vale la pena consultarlo per farsi un’idea delle offerte aggiornate.

Secondo Antonio Iacono, attivista della cultura libera e sviluppatore di OpenSignature e WebFirma, Infocamere , ora sostituito da InfoCert, è il certificatore più adatto a chi esige un approccio etico alla firma digitale. I motivi sono convincenti:

• il loro software, Dike, seppur proprietario, è stato rilasciato anche per Linux, oltre che per Windows e MacOSX;
• hanno contribuito alla realizzazione del software open source Freesigner.

Scegliere il software

Per un’elenco aggiornato di alcuni software di firma digitale liberi e opensource, consultate la ricerca aggiornata su Sourceforge dei termini “digital signature”.

Il progetto OpenSignature sta realizzando un software libero per la firma digitale che affianchi quello proprietario sviluppato dai certificatori inclusi nell’elenco pubblico del Cnipa. Scritto in C/C++, è l’evoluzione del suo antenato Firma, in un’ottica di usabilità e di compatibilità con un maggior numero di smart-card. Attualmente è disponibile nelle versioni per Linux e Windows, localizzato in italiano, tedesco, inglese (scaricalo). Il progetto è stato co-finanziato dall’Unione Europea e ha vinto l’OpenSource Contest 2004, categoria Innovazione.

SmartSign, scritto in C/C++.

Oltre alle applicazioni tradizionali, è possibile firmare digitalmente sul web, con le seguenti modalità:

• attraverso un’applet java (ad esempio OpenSignPDF)
• attraverso un’applet Flash, firmando il file in locale;
• attraverso (ad esempio WebFirma o UPIServer);
• attraverso un’applet ActiveX, basata su librerie proprietarie di Microsoft e fortunatamente ormai in disuso.

Freesigner è un’applicazione opensource per la firma digitale, sviluppata presso il Servizio Sistema Informativo del Comune di Trento, con la collaborazione di InfoCamere.

WebFirma è un prototipo di applicazione web che permette l’autenticazione e la firma di documenti su Internet. Lo sviluppo è attualmente fermo, perchè perfezionarlo richiede ancora parecchio tempo.

Javasign è un’applicazione Java libera per la firma digitale che consente di apporre ai documenti informatici sia la firma elettronica qualificata (è necessaria la smart card) che la firma elettronica (attraverso l’utilizzo di certificati di firma in formato p12) e di verificarle. Consente di generare licenze Copyzero X e calcola automaticamente il digest SHA-1 relativo alle opere licenziate.

Scegliere l’hardware

Riguardo all’hardware, non siamo stati in grado di trovare lettori di smartcard aperti o liberi, con un’esaustiva documentazione sulla loro architettura. In ogni caso, attualmente, il problema della compatibilità della firma digitale non è il lettore ma la smart card.

Documenti alterati

Uno dei dubbi più frequenti sulla firma digitale riguarda la sua affidabilità: è possibile falsificarla?

Se la falsificazione non sembra possibile, nell’agosto 2008 è stata scoperta una vulnerabilità del meccanismo utilizzato per generare e verificare i documenti firmati, a seguito di un’indagine presentata nell’articolo A new Attack on Digital Segnature di Francesco Buccafurri, Gianluca Caminiti, e Gianluca Lax (Università di Reggio Calabria), apparso negli atti della “IEEE International Conference on the Applications of Digital Information and Web Technologies”. Maggiori informazioni sono disponibili sul sito www.unirc.it/firma.