Firma digitale non è sicura: da settembre cambia tutto. Cosa devono fare aziende e professionisti.

A partire da settembre entreranno in vigore le nuove disposizioni in materia di firma digitale e marca temporale emanate dal CNIPA. L’algoritmo SHA-256 sostituirà l’SHA-1.

Redazione 

A partire da settembre entreranno in vigore le nuove disposizioni in materia di firma digitale e marca temporale emanate dal CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione) e indicate nella delibera n.45 del 21 maggio 2009.

Le nuove direttive nascono dalla necessità di sostituire l’algoritmo sinora impiegato per la firma digitale e per la marca temporale, l’SHA-1, uno dei più diffusi algoritmi di hashing al mondo, rivelatosi troppo debole e, quindi, non adatto a garantire elevati livelli di sicurezza. Al suo posto subentrerà l’SHA-256. Il CNIPA ha provveduto, inoltre, a ridefinire il formato delle marche temporali e il formato e la semantica dei certificati di sottoscrizione.

Le nuove disposizioni implicano la sostituzione di tutte le librerie di firma e marca per tutte le applicazioni e l’implementazione di nuove funzioni di marca all’interno delle librerie e delle applicazioni. L’adeguamento tecnologico alla delibera 45/2009 dovrà essere operativo dal 1° settembre 2010: il mancato adattamento alla stessa provocherà la perdita di validità legale dei documenti prodotti e la non conformità dei documenti sottoscritti digitalmente.

Sotto il profilo tecnico, un documento con firma digitale dovrà essere riassunto in un file e cifrato combinando la chiave personale con l’algoritmo SHA-256. Si dovrà provvedere, poi, a impiegare una chiave RSA a 1024 bit e a ricomporre il documento nel formato standard europeo CAdES (CMS Advanced Electronic Signature). Dovranno essere adeguati alla delibera CNIPA 45/2009 anche i formati PDF con firma digitale PDaES (PDadvanced Electronic Signature).

Autore: Andrea Galassi

Ultimi articoli correlati:

Commenta La Notizia!