[Discussioni] Firma digitale - decreto dell'AIPA

[Andrea Capriotti]

On 16 May 2001 23:50:15 +0200, Leandro Noferini wrote:

> non c'è nessuno che dà una scorsa alla circolare dell'AIPA sulla firma
> digitale e ci racconta qualcosa? 
> 
> Io proprio non ne ho il tempo, chiedo scusa. 

Nell'introduzione viene definito il concetto di "interoperabilità dei
sistemi di protocollo informatico".

"Per interoperabilità dei sistemi di protocollo informatico si intende
la possibilità di trattamento automatico, da parte di un sistema di
protocollo ricevente, delle informazioni trasmesse da un sistema di
protocollo mittente, allo scopo di automatizzare altresì le attività ed
i processi amministrativi conseguenti (articolo 55, comma 4, del decreto
del Presidente della Repubblica 28 dicembre 2000, n. 445, ed articolo 15
del decreto del Presidente del Consiglio dei ministri 31 ottobre 2000,
pubblicato nella Gazzetta Ufficiale del 21 novembre 2000, n. 272)."

Viene poi stabilita la modalita' di comunicazione, il protocollo e il
formato della codifica (posta elettronica, SMTP e MIME).

"Per realizzare l'interoperabilità dei sistemi di protocollo informatico
gestiti dalle pubbliche amministrazioni distribuite sul territorio è
necessario, in primo luogo, stabilire una modalità di comunicazione
comune, che consenta la trasmissione telematica dei documenti sulla
rete. Ai sensi del D.P.C.M. 31 ottobre 2000, il mezzo di comunicazione
telematica di base è la posta elettronica, con l'impiego del protocollo
SMTP e del formato MIME per la codifica dei messaggi."

XML viene utilizzato per codificare la firma e le informazioni
necessarie per protocollare i documenti.

"In questo senso, le regole tecniche di cui al D.P.C.M. 31 ottobre 2000
stabiliscono che ogni messaggio di posta elettronica protocollato debba
riportare alcune informazioni archivistiche fondamentali, per facilitare
il trattamento dei documenti da parte del ricevente. Tali informazioni
sono incluse nella segnatura informatica di ciascun messaggio
protocollato e sono codificate in formato XML."

I primi 4 capitoli del contengono le definizioni dei termini utilizzati,
direttive sulla composizione dei messaggi protocollati e regole per la
loro spedizione.

Nei capitoli successivi si entra nel dettaglio di protocollo e codifica.

"Come stabilito dall articolo 15, comma 1, del D.P.C.M. 31 ottobre 2000,
i messaggi scambiati tra le AOO devono essere compatibili con i sistemi
di posta elettronica che adottano lo standard SMTP, descritto nelle
specifiche pubbliche RFC 821 e RFC 822."

"I messaggi sono codificati in base allo standard MIME, descritto nelle
specifiche pubbliche RFC 2045, RFC 2046, RFC 2047, RFC 2048 e RFC 2049.
Tale forma di codifica rappresenta anche la modalità fondamentale di
aggregazione di documenti informatici, ai fini della trasmissione in un
unico messaggio."

Viene spiegato come firmare i messaggi.

"La segnatura informatica è contenuta in una body part avente nome
Segnatura.xml. Tale body part contiene un documento XML strutturato nel
modo previsto dalla Document Type Definition (DTD) allegata, ovvero la
sua versione più recente, ed avente un root element di tipo <Segnatura>.
L'uso del nome Segnatura.xml per una body part è riservato a questo
unico scopo. Ogni variazione, in termini di caratteri maiuscoli e
minuscoli, del nome di una body part deve essere evitata."

Allo stesso modo, vengono utilizzati Conferma.xml/<ConfermaRicezione>,
Eccezione.xml/<NotificaEccezione>,
Aggiornamento.xml/<AggiornamentoConferma>,
Annullamento.xml/<AnnullamentoProtocollazione> per gestire i messaggi di
ritorno.

Poi viene descritta in maniera piu' dettagliata la segnatura XML e le
sezioni che la compongono (intestazione, riferimenti e descrizione):

"Come prescritto dall articolo 18, comma 1, del D.P.C.M. 31 ottobre
2000, la segnatura informatica è codificata in armonia con lo standard
eXtensible Markup Language   XML 1.0 (raccomandazione W3C del 10
febbraio 1998) secondo la DTD di cui alla presente circolare, ovvero la
sua versione più recente, e disponibile presso il sito Internet di cui
all articolo 11, comma 3, del D.P.C.M. 31 ottobre 2000."

Ho trovato poco chiara la parte che riguarda la sicurezza che cito quasi
integralmente:

"La firma digitale apposta sui documenti informatici inclusi nel
messaggio garantisce i requisiti di autenticità, integrità e non ripudio
dei singoli documenti. Ulteriori aspetti, quali l'integrità delle parti
non firmate   come ad esempio la segnatura   e la riservatezza
dell'intero messaggio richiedono l adozione di altre soluzioni. Per la
trasmissione di messaggi di posta elettronica su reti telematiche non
sicure, le AOO possono adottare sistemi di autenticazione e cifratura
dei messaggi che hanno a riferimento tecniche basate su chiave pubblica,
previa indicazione di ciò nel piano della sicurezza della AOO, previsto
dell articolo 4, comma 1, lettera c, del D.P.C.M. 31 ottobre 2000, e con
esplicito riferimento alle regole di interoperabilità di cui alla
circolare AIPA/CR/24 del 19 giugno 2000. Per lo scambio su rete sicura
(come la Rete unitaria delle pubbliche amministrazioni o altra rete
dedicata), l'uso di messaggi securizzati è in generale non necessario."

E' anche allegata una DTD in XML che devo ancora leggere, ma che sembra
ben commentata.

Saluti
-- 
Andrea Capriotti