La decisione di esecuzione della Commissione europea 2015/1506, dell’8 settembre 2015, definisce le specifiche relative ai formati di firme elettroniche avanzate. Queste devono essere riconosciute dagli organismi della Pubblica Amministrazione ai sensi degli articoli 27 e 37 del regolamento eIDAS.
Quest’ultimo, definisce le specifiche della firma digitale ASiC (associated signature container). La firma digitale ASiC è un contenitore di dati che viene utilizzato per contenere un gruppo di file e firme digitali e/o marche temporali associate a tali file. Questi dati vengono memorizzati nel contenitore ASiC in formato ZIP.
Perché la firma digitale ASiC
Quando viene creata una firma elettronica, questa deve essere associata ai dati che deve proteggere. La cosa si ottiene creando un insieme di dati che combinerà la firma digitale con i dati firmati.
In alternativa è possibile tenere separate la firma e i dati utilizzando un mezzo esterno per associare dati e firma digitale.
Ci sono alcuni vantaggi nell’utilizzo delle firme separate dai dati, la principale è impedire la modifica dei file originali. Usando questa tecnica però, è possibile che la firma venga definitivamente separata dai file a cui è associata, se ciò dovesse succedere la firma digitale sarebbe compromessa.
Nel tentativo di ridurre il rischio di separate i dati dalla firma associata, è stata sviluppata una tecnica per combinare una firma separata, insieme ai dati firmati il tutto all’interno di un contenitore.
Questo tipo di contenitore permette una gestione ed una distribuzione del file firmato più semplice. Inoltre aiuta a garantire che la firma digitale e i suoi metadati vengano correttamente associati durante il processo di convalida.
Questo principio vale anche per le marche temporali. L’implementazione di ASiC fornisce uno standard per i tipi di contenitori da utilizzare per firme digitali e/o marche temporali.
Cos’è la firma digitale ASiC?
In poche parole, un ASiC è un contenitore di dati che contiene un gruppo di file e le relative firme digitali e/o marche temporali che utilizza il formato ZIP. Il file firmato con firma digitale ASiC ha l’estensione .asic, tuttavia è possibile aprirlo con WinZip per vederne la struttura interna.
Aprendo un file .asic con WinZip si trovano:
- Una cartella radice che contiene tutto il contenuto del contenitore, che può includere cartelle che riflettono la struttura del contenuto.
- Una cartella “META-INF” all’interno della cartella radice che contiene i file che contengono metadati sul contenuto, inclusi i file di firma o di marca temporale associati.
I file contenuti nella cartella “META-INF” vengono memorizzati in modo tale che l’integrità dei dati non venga compromessa quando vengono estratti dal contenitore ZIP.
Il file della firma può contenere una singola firma CAdES o può contenere una o più firme XAdES. Il file della marca temporale può contenere un token con un timestamp conforme allo standard IEFT RFC 3161 o un record di dati conforme agli standard IETF RFC 4998 e IETF RFC 6283.
Cosa supporta ASiC
I contenitori di firma associati (ASiC) gestiscono le firme digitali e/o le marche temporali separatamente dai file di dati a cui sono associati in un singolo contenitore basato su ZIP, che fornisce una struttura di base del contenitore.
I file di dati possono includere
- documenti
- fogli di calcolo
- contenuti multimediali
per quanto riguarda le firme digitali ASiC supporta:
- Oggetti CAdES che utilizzano firme CAdES
- Firme XAdES
ASiC-S
Nella definizione di ASiC-S la S sta per semplice (simple). La firma digitale ASiC semplice associa un file a un certificato di firma o a una marca temporale.
Un file denominato mimetype, che si trova all’interno del contenitore, specifica il tipo di associazione. Questo tipo di contenitore consente le firme digitali aggiuntive, che possono essere apposte in tempi successivi.
ASiC-E
Qui E sta per esteso (extended). Questo contenitore è in grado di contenere uno o più file di firma o di marca temporale associati ai relativi insiemi file.
Ogni file può avere ulteriori informazioni o metadati ad esso associati che possono essere protetti dalla firma digitale. Questo tipo di contenitore è utilizzato per limitare il rischio di modifiche o per consentire l’inclusione di nuovi file firmati senza danneggiare le firme precedenti.
L’integrità e la durata di entrambi i tipi di firma digitale ASiC, contenenti a loro volta le firme XAdES o CAdES, sono ottenute utilizzando dei token di data e ora o dei file manifest contenenti l’indice del contenuto all’interno dei contenitori.
Contenitori ASiC aggiuntivi
A partire da aprile 2016, con il rilascio di
- Firme elettroniche e infrastrutture (ESI)
- Contenitori di firma associati (ASiC);
- Contenitori ASiC aggiuntivi (ETSI EN 319 162-2 V1.1.1)
sono stati definiti tre nuovi contenitori aggiuntivi nel regolamento eIDAS. Questi contenitori aggiuntivi sono stati progettati per ottimizzare l’interoperabilità per gli usi dell’ASiC che non sono coperti dai due contenitori di base originali.
Contenitore aggiuntivo ASIC-S marca temporale
Questo contenitore funziona secondo i requisiti di un contenitore ASiC Simple (ASiC-S), tuttavia include requisiti aggiuntivi per la marca temporale. Esso può contenere elementi aggiuntivi all’interno della sua cartella META-INF
- per utilizzare solo il dato “SignedData”
- per includere informazioni su certificati e revoche nel caso in cui siano presenti uno o più file “ASiCArchiveManifest”.
Contenitore aggiuntivo ASiC-E CAdES
Questo contenitore è conforme ai requisiti ASiC-E, ma presenta delle restrizioni. È in grado di supportare gli stessi livelli definiti per i contenitori di base.
Contenitore aggiuntivo ASiC-E marca temporale
Questo contenitore è conforme ai requisiti di base della firma digitale ASiC . Inoltre, presenta ulteriori restrizioni aderendo e supportando clausole ASiC aggiuntive relative alla marca temporale.
Firma digitale ASiC con ArubaSign
ArubaSign attualmente è l’unico software a distribuzione gratuita che supporta le firme ASiC. Se non hai ancora ArubaSign o vuoi scaricare la versione più aggiornata, che supporta ASiC, leggi l’articolo dedicato al download di ArubaSign.
Ore ti spiego come fare a firmare digitalmente un file con la firma digitale ASiC. Assicurati di aver collegato il tuo dispositivo di firma al PC, poi apri ArubaSign e fai click sul primo tasto a sinistra.
Così facendo si apre la finestra che vedi qui sopra che ti invita a trascinare i documenti da firmare all’interno della stessa oppure a selezionarli. Se ti limiti a selezionare un solo file PDF, come nella maggior parte dei casi, la possibilità di scelta della firma sarà limitata ai formati
- CAdES
- PAdES
- ASiC-S
da notare il fatto che se il file selezionato non è un PDF il formato PAdES non è disponibile.
Firma di più documenti con ASiC-E
Se invece selezioni più di un file alle scelte precedenti si va ad aggiungere il formato di firma ASiC-E.
Questa cosa chiarisce abbastanza eloquentemente quale sia la differenza tra ASiC-S (semplice) e ASiC-E (esteso). La cosa è resa ancora più chiara da quello che si vede nella finestra Documenti firmati. Firmare più file contemporaneamente nel formato ASiC-E, genererà un unico file firmato con estensione .asice, al cui interno ci saranno tutti i documenti caricati.
Prima di procedere puoi decidere dove salvare il file firmato cliccando su Cambia cartella in basso a sinistra. Inoltre puoi decidere di salvare il file con un nome deciso da te, facendo doppio click su asiceFile, nella parte destra della schermata.
Cliccando in basso a destra su Prosegui passi alla schermata seguente nella quale devi
- inserire il PIN
- mettere la spunta alla casella per confermare la presa visione dei documenti da firmare
- cliccare su Firma
Se tutto è a posto dopo pochi secondi un messaggio ti avvisa che il documenti sono stati regolarmente firmati e che e stato creato un file (in questo caso asiceFile.asice) che li contiene.
Conclusioni
Il nuovo formato ASiC nasce chiaramente con l’intento di semplificare le procedure di firma digitale. Esso infatti dà la possibilità di firmare più documenti contemporaneamente conservandoli all’interno di un unico file firmato (contenitore). La Pubblica Amministrazione dovrà accettare questo formato di firma semplificando così il lavoro do chi li deve firmare.
Grazie per aver letto il mio articolo Firma Digitale ASiC. Cosa è e come funziona il nuovo formato.