Firme qualificate, spiegate

Spec Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence § Standard-backed Evidence: Standard-backed

In sintesi

«Qualificata» è uno status giuridico previsto dal Regolamento UE eIDAS, non una proprietà che una libreria possa conferire. Per ottenerla, più soggetti svolgono compiti specifici: un certificato qualificato, un dispositivo per la creazione di una firma qualificata, un prestatore di servizi fiduciari qualificato ed elenchi di fiducia pubblicati. Questa pagina mette in relazione quei ruoli e dichiara con chiarezza l’unica parte circoscritta che NextPDF svolge — e le responsabilità più ampie che non assume.

Perché è importante

Una qualified electronic signature ha, nella giurisdizione applicabile, l’effetto giuridico che la legge le attribuisce. Per questo l’etichetta «qualificata» è allettante. Ed è anche per questo che rivendicarla con leggerezza è pericoloso. Si supponga che un flusso venga descritto come in grado di produrre firme qualificate, ma che nella catena manchi un elemento — il certificato non è qualificato, il dispositivo non è un QSCD, il prestatore non figura in un elenco di fiducia. Allora le firme non sono qualificate. Di solito quella lacuna emerge nel momento più critico: una controversia, un audit, un controllo di accettazione transfrontaliera.

La difficoltà è che una firma avanzata perfettamente valida e una qualificata possono apparire identiche in un visualizzatore PDF. La differenza sta nel certificato, nel dispositivo, nel prestatore e nell’elenco di fiducia — nessuno dei quali è fornito da un motore di firma. Il punto è sapere con esattezza quale parte detiene quale garanzia.

La versione breve

• La qualificazione è una catena, non una funzionalità. Richiede un certificato qualificato emesso da un prestatore di servizi fiduciari qualificato, una firma creata su un QSCD e l’individuabilità tramite gli elenchi di fiducia. Rimuovere uno qualunque di questi elementi e il risultato non è più qualificato.
• Un QSCD è obbligatorio. Secondo le policy dei certificati qualificati, le firme devono essere create solo da un dispositivo per la creazione di una firma qualificata. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
• Il controllo esclusivo resta al firmatario, tramite il dispositivo. La chiave privata deve restare sotto il controllo esclusivo del firmatario, custodita in un dispositivo che la protegge e firma per conto dell’utente. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
• La parte di NextPDF è circoscritta e onesta. Assembla una firma PDF strutturalmente corretta e può incorporare una marca temporale attendibile e materiale per la convalida a lungo termine. Non è né un QSCD, né un prestatore di servizi fiduciari (qualificato), e non emette certificati, non gestisce elenchi di fiducia, né conferisce lo status di qualificato.

Come lo affronta NextPDF

I ruoli, nominati

Una qualified electronic signature secondo eIDAS si fonda su responsabilità distinte. NextPDF occupa una sola casella; le altre appartengono a parti e standard esterni al motore.

1. Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
2. Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
3. Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements ETSI EN 319 412-5 qualified-certificate profile — the QC statements
4. Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
5. Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds

La catena che una qualified electronic signature attraversa, in ordine, e chi detiene ciascun anello: il certificato qualificato, il QSCD, il prestatore di servizi fiduciari qualificato e l'elenco di fiducia non sono il motore di firma — NextPDF si limita ad assemblare il vettore della firma PDF e può aggiungere tempo attendibile e materiale di convalida.

• Il certificato qualificato. È emesso a favore del firmatario e reca le QC statement che lo contrassegnano, in forma leggibile dalla macchina, come certificato qualificato per la firma elettronica e identificano il prestatore di servizi fiduciari qualificato che lo ha emesso. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF non lo emette.
• Il QSCD. Un dispositivo per la creazione di una firma qualificata — in termini ETSI, un dispositivo crittografico sicuro che custodisce la chiave privata dell’utente, la protegge dalla compromissione ed esegue la firma per conto dell’utente. Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF è software che firma attraverso un dispositivo di questo tipo; il motore non è un QSCD e non lo è nemmeno il suo percorso con chiave software.
• Il prestatore di servizi fiduciari qualificato. Il QTSP emette il certificato qualificato ed è a sua volta sottoposto a vigilanza; le policy richiedono che le firme rilasciate sotto questi certificati siano create solo da un QSCD. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF non è un prestatore di servizi fiduciari.
• Elenchi di fiducia. L’evidenza pubblicata mediante la quale una parte che fa affidamento accerta che il prestatore e il servizio erano qualificati. NextPDF non gestisce né garantisce gli elenchi di fiducia.

La parte circoscritta che NextPDF svolge

All’interno di questa catena, il compito di NextPDF è delimitato e concreto. Assembla la firma PDF: posiziona il campo firma, calcola il byte range e costruisce il CMS SignedData che lo standard richiede nella voce Contents. Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Quando la chiave di firma risiede su un QSCD, NextPDF firma attraverso di esso tramite la stessa giunzione hardware descritta in Firma con supporto HSM, e la chiave resta sul dispositivo.

NextPDF può anche incorporare i due ingredienti che rendono durevole una firma: una marca temporale attendibile rilasciata da un’autorità di marcatura temporale e il materiale per la convalida a lungo termine che la mantiene verificabile. Una marca temporale è la prova, fornita da una terza parte fidata, che un dato esisteva prima di un determinato istante Spec Spec: RFC 3161, §1 RFC 3161 §1 ; nel quadro UE, tale autorità opera secondo una policy per i prestatori di servizi fiduciari che emettono marche temporali. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF richiede e incorpora il token. Non gestisce l’autorità di marcatura temporale, e incorporare una marca temporale non rende di per sé qualificata una firma.

Che cosa dice l’evidenza

Evidence § Standard-backed Evidence: Standard-backed Il requisito del QSCD è esplicito nelle policy dei certificati qualificati: gli obblighi del sottoscrittore (o del TSP che lo gestisce) richiedono che le firme digitali siano create solo da un QSCD. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Il dispositivo stesso è definito come un dispositivo che custodisce la chiave privata dell’utente, la protegge dalla compromissione ed esegue la firma per conto dell’utente Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; per una persona fisica la chiave privata deve essere sotto il controllo esclusivo del firmatario. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Una libreria di firma non può soddisfare alcuno di questi obblighi per conto dell’intera catena.

Evidence § Standard-backed Evidence: Standard-backed Ciò che rende un certificato qualificato risiede nelle QC statement del certificato, inclusa un’indicazione leggibile dalla macchina che attesta che è stato emesso come certificato qualificato per la firma elettronica, e dati che identificano il prestatore di servizi fiduciari qualificato che lo ha emesso. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Una libreria che consuma un certificato per costruire una firma non rende il certificato qualificato; lo fa il QTSP che lo ha emesso.

Evidence § Standard-backed Evidence: Standard-backed Il tempo attendibile ha un proprio ruolo e un proprio prestatore. RFC 3161 definisce una Time Stamp Authority come una terza parte fidata che fornisce la prova di esistenza di un dato in un istante nel tempo Spec Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 specifica i requisiti di policy e sicurezza per i prestatori di servizi fiduciari che emettono marche temporali, le quali possono supportare firme digitali o provare che un dato esisteva prima di un determinato momento. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF incorpora un token proveniente da un prestatore di questo tipo; l’eventuale status di qualificato del prestatore appartiene al prestatore, non al motore.

Human-factors note: Human-factors note

Questa pagina apre con la catena e con il costo di un anello mancante prima di qualsiasi dettaglio meccanico, perché in un contesto di fiducia giuridica l’informazione con le maggiori conseguenze deve trovarsi dove non possa sfuggire. La struttura è intenzionale: prima i ruoli, poi la casella circoscritta di NextPDF, nominata esplicitamente, quindi gli standard — in modo che chi legge possa fermarsi dopo «La versione breve» e già sapere quali garanzie non spetta al motore fornire.

Esempio pratico

Non esiste alcuna API che «renda qualificata una firma», e un esempio di codice che lasciasse intendere il contrario sarebbe sbagliato. Lo strumento utile qui è una lista di controllo delle responsabilità che un revisore può usare:

Anello della catena	Chi lo detiene	La parte di NextPDF
Certificato qualificato emesso	Prestatore di servizi fiduciari qualificato	Lo consuma; non lo emette
Firma creata su un QSCD	Il firmatario + il dispositivo	Firma attraverso di esso; non è un QSCD
Controllo esclusivo della chiave privata	Il firmatario + il dispositivo	Non detiene mai la chiave quando è su un QSCD
Il prestatore/servizio è qualificato	Il QTSP + la vigilanza	Non asserisce nulla al riguardo
Individuabile tramite gli elenchi di fiducia	Operatori degli elenchi di fiducia	Non li gestisce né li verifica
La firma PDF è ben formata	Il motore di firma	Questa è la casella di NextPDF
Marca temporale attendibile incorporata	Un’autorità di marcatura temporale	Richiede e incorpora il token
Materiale per la convalida a lungo termine	Il flusso di signing/validation	Può incorporarlo (vedere Documenti correlati)

Se anche una sola riga sopra la casella del motore non è soddisfatta, il risultato è — nel migliore dei casi — una firma avanzata valida, non una qualificata. NextPDF può soddisfare ogni riga di sua competenza e comunque non rendere qualificata la firma, perché lo status non spetta al motore conferirlo.

Un equivoco comune

«NextPDF produce firme qualificate.»

Non è così, e la formulazione precisa è importante. NextPDF produce firme PDF strutturalmente corrette ed è compatibile con la firma su un QSCD e con l’incorporazione di marche temporali di prestatori qualificati. Se una determinata firma sia qualificata dipende dal deployment: dipende da un certificato qualificato, da un QSCD, da un prestatore di servizi fiduciari qualificato e dallo status negli elenchi di fiducia — nessuno dei quali è fornito o certificato dal motore. L’affermazione corretta è «NextPDF assembla la firma; lo status di qualificato proviene dal certificato, dal dispositivo e dal prestatore.» Dire di più equivale a rivendicare in eccesso uno status giuridico che il software non può conferire.

Limiti e confini

Il confine, dichiarato con chiarezza e senza ambiguità:

• Che cos’è NextPDF. Un motore di firma PDF 2.0. Costruisce la firma secondo Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , firma attraverso un dispositivo quando ne viene fornito uno e può incorporare una marca temporale e materiale per la convalida a lungo termine.
• Che cosa non è NextPDF. Non è né un QSCD, né un prestatore di servizi fiduciari qualificato (né di alcun tipo), né un’autorità di certificazione, né un operatore di elenchi di fiducia. Non valuta, non conferma né conferisce lo status di qualificato.
• Essere conforme non significa essere certificato. È un’affermazione strutturale che NextPDF costruisce firme conformi a quanto richiesto dallo standard delle firme PDF e può trasportare gli elementi che un profilo AdES si aspetta. Non è una certificazione del fatto che una firma risultante sia qualificata, né un sostituto delle condizioni di QSCD, certificato, prestatore ed elenco di fiducia che — insieme — la rendono tale.
• La giurisdizione conta. «Qualificata» e il suo effetto giuridico sono definiti dal Regolamento eIDAS nel suo ambito. Questa pagina è una spiegazione tecnica, non un parere legale. La sufficienza giuridica di una firma per un uso specifico è una questione per la legge pertinente e per i legali delle parti, non per la documentazione di una libreria.

Qualified-signature support — edition availability

Edition	Availability
Core	○ Core costruisce il vettore della firma PDF e il contenitore CMS. Non contribuisce da solo allo status di qualificato.
Pro	○ Pro aggiunge la firma con chiavi gestite e l’augmentation della firma, descritte a livello di comportamento. Non diventa comunque né un QSCD né un prestatore di servizi fiduciari.
Enterprise	○ Enterprise aggiunge la firma con token hardware tramite PKCS#11, in modo che la chiave di firma possa risiedere su un dispositivo che un deployment gestisce come QSCD. Il motore firma attraverso il dispositivo; lo status di qualificato resta del certificato, del dispositivo e del prestatore — mai del motore.

Mini-FAQ

Una firma avanzata è la stessa cosa di una qualificata? No. Possono apparire identiche in un visualizzatore. Una firma qualificata richiede inoltre un certificato qualificato, un QSCD e un prestatore di servizi fiduciari qualificato; una firma avanzata no. La differenza sta nella catena, non nei byte del PDF.

Firmare su un HSM rende qualificata una firma? Non da solo. Un QSCD è necessario ma non sufficiente. Il certificato deve essere un certificato qualificato di un prestatore di servizi fiduciari qualificato, e il dispositivo deve soddisfare i criteri QSCD per quel deployment. Un HSM generico non è automaticamente un QSCD.

Aggiungere una marca temporale rende qualificata una firma? No. Una marca temporale attendibile rafforza la durabilità e la prova del tempo; non fornisce le condizioni di certificato, dispositivo o prestatore che definiscono lo status di qualificato. È necessaria per i profili a lungo termine, ma non sufficiente per lo status di qualificato.

NextPDF può indicare se una firma è qualificata? No. Il motore non asserisce nulla riguardo allo status di qualificato. Accertarlo è una questione di certificato, dispositivo, prestatore, elenchi di fiducia e legge applicabile — al di fuori della responsabilità del motore.

Documenti correlati

• Firma con supporto HSM — la giunzione del dispositivo usata in una firma basata su QSCD, e dove si colloca il confine della chiave.
• Marche temporali e tempo attendibile — che cosa prova una marca temporale RFC 3161 e il ruolo del prestatore che la sostiene.
• Convalida a lungo termine — il materiale di convalida che mantiene una firma verificabile nel tempo.

Glossario

• Qualified electronic signature — secondo il Regolamento eIDAS, una firma elettronica avanzata creata da un QSCD e basata su un certificato qualificato; uno status giuridico, non una funzionalità software.
• eIDAS — Regolamento UE (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari; il quadro giuridico che definisce «qualificata» e il suo effetto.
• QSCD (qualified signature creation device) — un dispositivo che soddisfa i criteri eIDAS; nei termini ETSI un dispositivo crittografico sicuro che custodisce la chiave dell’utente, la protegge e firma per conto dell’utente.
• Qualified certificate — un certificato emesso da un prestatore di servizi fiduciari qualificato le cui QC statement lo contrassegnano, in modo leggibile dalla macchina, come qualificato per la firma elettronica.
• QTSP (qualified trust service provider) — un prestatore di servizi fiduciari vigilato che emette certificati qualificati e relativi servizi qualificati.
• Trusted list — evidenza pubblicata mediante la quale una parte che fa affidamento accerta che un prestatore e un servizio erano qualificati.
• Sole control — l’obbligo che la chiave privata di un firmatario persona fisica sia mantenuta sotto il controllo esclusivo di tale firmatario.
• Time Stamp Authority (TSA) — una terza parte fidata che fornisce la prova di esistenza di un dato in un istante nel tempo (RFC 3161).