ElectroYou - la comunità dei professionisti del mondo elettrico

[GioArca67]

Per vendere se ne inventano di tutti i colori?

Io uso abbastanza spesso la firma digitale.
Ultimamente all'estero un file non mi è stato accettato, in quanto mancante di marca temporale.

La mia firma digitale qualificata non ha anche la marcatura temporale, penso nessuna se non richiesto espressamente.

Cercando info su Marca Temporale leggo un po' ovunque che (uno a caso):
"Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento. Ad esempio, per emissioni di credito, finanziamenti, atti ufficiali della Pubblica Amministrazione, libri contabili e societari conservati a norma.
Con ID Marca Temporale estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma."

Allora sorgono 2 domande.
1) Quando io firmo un file evidentemente ("Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento") non gli attribuisco alcuna indicazione circa il momento di firma.
2) Il documento firmato scade: ("estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma")

C'è qualcosa che non torna.
A) anche su un documento analogico con firma autografa non vi è alcuna certezza del momento di firma... eppure sono millenni che lo usiamo, a volte certo sorgono dispute, ma siam sopravvissuti fino ad ora...
Comunque il punto 1) ha un senso tecnico, anche se non vedo il problema di usare una (discretamente) accurata temporizzazione del server di firma.

B) il punto 2 non ha alcun senso: dopo la scadenza della firma digitale (perché mai dovrebbe scadere non è chiaro, se non per $$$ di rinnovo) perché mai non dovrebbe essere possibile verificare che il tal file è stato firmato durante la validità della firma digitale? magari non si sa l'esatto momento, ma sicuramente che fu firmato mentre era valida la firma si, oppure i SW di firma permettono di firmare anche con firma scaduta? come potrebbe essere se servono le autorizzazioni volta per volta del provider di firma?
Questo per altro significa che tutto ciò che ho (abbiamo?) firmato finora, in particolare quello con firma ora scaduta, non è più valido.
Allora diciamola in altro modo: faccio un progetto, scade la firma, il grattacielo crolla, qualcuno viene a bussare alla mia porta... eh mi dispiace non puoi dimostrare la mia firma, arrivederci... corretto?
Io penso di no e che mi incolpano.

Anche perché se vado qui
https://vol.postecert.poste.it/verificatore/
verificando un file recente mi dice che
"Il certificatore dichiara che le informazioni su questo certificato verranno conservate per almeno 20 anni"

e se verifico un file firmato col precedente certificato (ormai scaduto) mettendo una data antecedente alla scadenza del certificato, verifica correttamente; mentre se metto una data successiva alla scadenza non verifica: mi dice che non è stato modificato dalla firma ma anche che non trova info sulle revoche del certificato.

C'è qualcuno particolarmente esperto della materia?

la firma digitale già mi garantisce l'immutabilità del documento e la sua paternità, e mi dovrebbe anche garantire più o meno il momento in cui viene apposta; ok: con che precisione? e con che precisione la Marca temporale? che senso ha sapere che è stato firmato alle 17:59:59,9999999 invece che alle 18:00:01? (non mi dite che quello era ieri legale e questo oggi legale perché chi firma all'ultimo istante in modo manuale? non è possibile governare la decina di secondi, figuriamoci meno... se ho una latenza in rete? ecc...)

[Goofy]

C'è qualcuno particolarmente esperto della materia?

Ho i tuoi stessi dubbi e spero di leggere chiarimenti.
Aggiungo che se firmo un documento con la CNS - tessera sanitaria Lombardia invece che con quella di firma Aruba il documento viene accettato dai vari portali, ma se lo controllo con il software arubasign mi dà un messaggio di allerta sulla validità.

[NoNickName]

Non è la firma che scade, ma il certificato.
C'è anche uno studio del notariato che lo dice: https://www.notariato.it/wp-content/upl ... 017-DI.pdf

Il legislatore quindi dispone, in primo luogo, che la firma per essere valida deve essere apposta con un certificato sufficientemente sicuro e quindi aggiornato e valido.

Se la firma non è più valida, va riemessa per accertarsi che anche il certificato alla base di essa sia ancora valido. Altrimenti non avrebbe avuto senso introdurre una scadenza di validità.

Quello che accade quindi è che un documento a suo tempo validamente firmato, può degradare allo stato di documento non sottoscritto se il certificato utilizzato viene lasciato scadere o viene revocato o sospeso. Con una metafora, non differentemente da quello che accade ad una busta sigillata, la cui ceralacca con il tempo si sgretoli.

Ciò non succede però se siamo in presenza di marca temporale.

l'effetto di cui all'art. 24 comma 4 bis (perdita della sottoscrizione) non si verifica quando alla firma è associabile un riferimento temporale opponibile ai terzi che colloca l'esistenza del documento (e quindi la generazione della firma) in data anteriore a quella della scadenza o revoca. Quindi il documento pur se firmato con un certificato ormai scaduto può - come si vedrà, in determinate condizioni - mantenere validità, laddove sia comunque possibile datarlo ad un periodo all’interno della finestra di validità del certificato con il quale è firmato.

Si può quindi prevedere che, con il trascorrere del tempo e la conseguente scadenza dei certificati di firma associati ai documenti inseriti, il sistema di conservazione, in fase di esibizione, produrrà copie piuttosto che rilasciare un duplicato dell’originale.
Quest’ultimo infatti non avrà più alcun valore se non accompagnato da una certificazione del responsabile della conservazione che ne attesti la conformità, autenticità ed integrità rispetto al momento di conservazione stesso di cui al riferimento temporale ad esso associato.

[GioArca67]

Ma puoi usare la CNS attraverso il dispositivo di firma Aruba? ed ArubaSign? O usi qualcosa di specifico?
Avevi fatto le verifiche in precedenza o ora col link alle Poste che ho indicato?

[Goofy]

Ma puoi usare la CNS attraverso il dispositivo di firma Aruba? ed ArubaSign? O usi qualcosa di specifico?

Sì, con il lettore (bit4id) che uso per la tessera aruba convenzionata ingegneri e il software arubasign.

Avevi fatto le verifiche in precedenza o ora col link alle Poste che ho indicato?

Non lo conoscevo, ci proverò

[Goofy]

Quindi il documento pur se firmato con un certificato ormai scaduto può - come si vedrà, in determinate condizioni - mantenere validità, laddove sia comunque possibile datarlo ad un periodo all’interno della finestra di validità del certificato con il quale è firmato.

Quindi pare che sia possibile firmare un documento anche se il certificato è scaduto, bella merda.

[GioArca67]

La domanda ulteriore è : posso firmare un documento con un certificato di firma scaduto?
ArubaSign non mi permette di farlo... Almeno credo...
Qualcuno ha una vecchia smart card per verificare?

Come dicevo sono millenni che si firma senza certezza del momento, in quanto è il ricevente il documento che "certifica" un momento non successivo.
Io ha sempre fatto una considerazione (semplicistica) (anacronistica?) : nel documento indico una data, poi applico la firma, la data è cristallizzata (qualunque essa sia) in quanto non posso modificare in modo truffaldino il documento, il ricevente mi fornisce una ricevuta anch'essa datata e firmata.
Dov'è il problema? Non c'è problema.

Successivamente per es. modifico la data del documento e pretendo sia valido mostrando anche la ricevuta. Ma il destinatario ha quello originale che oppone, che non ha potuto modificare in quanto impossibile senza il mio certificato.
Dov'è il problema? Non vedo problemi.

L'accoppiata documento ricevuta mi sembra inoppugnabile.

Grazie per le considerazioni del Notariato.

Stiamo quindi dicendo che non c'è modo col sistema attuale (di firma) di sapere ora se un file è stato firmato con un certificato scaduto/revocato al momento dell'applicazione?

Bel sistema che si sono inventati...
Se fosse così non sarebbe bastato "imbustare" tutto con la firma del provider? Il quale super partes la appone solo dopo verifica della validità del certificato di chi firma? Serve un collegamento in tempo reale. Ma perché, per apporre una marca temporale non serve?
L'apposizione della marca temporale su che tempo si basa? L'orologio del mio computer?

[NoNickName]

Quindi pare che sia possibile firmare un documento anche se il certificato è scaduto, bella merda.

No, il documento firmato ALLORA con un certificato valido, può avere ancora validità ORA con certificato scaduto, se è possibile datare con certezza che la firma sia avvenuta all'interno del periodo di validità del certificato stesso, cioè con firma temporale.

[NoNickName]

tutto con la firma del provider? Il quale super partes la appone solo dopo verifica della validità del certificato di chi firma

Eh, beh vedremmo la ndrangheta disinteressarsi della cocaina per cominciare ad acquistare providers.

[NoNickName]

Il certificato scade così come scade la carta di identità perché altro non è che un codice alfanumerico complesso, ma di complessità finita. Si suppone che dopo dieci anni la tecnologia sia avanzata in maniera tale che i computer potrebbero decrittare il certificato ed apporre firme false.
Trascorsi dieci anni, il certificato scade, e ne viene emesso uno nuovo, di complessità uguale o maggiore, a seconda di quanto sia avanzata la tecnologia.
Anche la CI deve essere rinnovata perché cambiano i connotati della persona la cui identità è fotografata nella carta di identità stessa.