'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Svelando la Firma Elettronica: Come PAdES Assicura la Sicurezza delle Firme PDF
Nell'articolo precedente abbiamo compreso in modo semplice ESI, in questo articolo approfondiremo e confronteremo il concetto di PAdES, mostrandoci come è definito il formato di firma elettronica per i PDF.
I. Cos'è PAdES?
- Definizione in una frase PAdES (PDF Advanced Electronic Signature) è un insieme di standard internazionali per la firma elettronica avanzata progettata per i documenti PDF. È molto più che inserire semplicemente un timbro di firma in un PDF, ma attraverso una complessa ma standardizzata struttura dati e meccanismi, garantisce che il file PDF firmato possa essere verificato e considerato affidabile anche dopo molti anni.
II. Il ruolo principale di PAdES:
Le firme elettroniche ordinarie, con il passare del tempo, affrontano tre rischi principali:
- Scadenza del certificato: La validità dei certificati digitali utilizzati per la firma è solitamente di soli 1-3 anni. Come verificare la firma originale dopo la scadenza?
- Violazione dell'algoritmo: Gli algoritmi di crittografia attualmente sicuri potrebbero essere violati da computer più potenti in futuro.
- Perdita di materiali: I materiali necessari per verificare la firma, come gli elenchi di revoca dei certificati (CRL), potrebbero non essere più disponibili a causa della chiusura dei server.
PAdES risolve questi problemi definendo diversi livelli di firma, uno dopo l'altro:
- PAdES-B-B (livello base): Dimostra l'identità del firmatario e l'integrità del documento.
- PAdES-B-T (con timestamp): Aggiunge un timestamp affidabile, dimostrando che la firma esisteva a un certo punto nel tempo, impedendo il ripudio a posteriori.
- PAdES-B-LT (validazione a lungo termine): Incorpora tutti i materiali necessari per la verifica (certificati, elenchi di revoca, ecc.) nel PDF stesso, impedendo la mancata verifica a causa della chiusura di server esterni.
- PAdES-B-LTA (validazione a lungo termine e archiviazione): Genera periodicamente nuovi timestamp con algoritmi più sicuri, coprendo l'intero pacchetto di firma, contrastando il rischio di obsolescenza dell'algoritmo e ottenendo una validità permanente.
Attualmente, è sufficiente adottare PAdES-B-T (con timestamp) per soddisfare i requisiti di base delle specifiche di firma elettronica (dopotutto, la possibilità che la CA stessa fallisca non è molto alta, quindi la verifica dello stato del certificato è generalmente supportata).
III. La composizione di PAdES:
Una firma PAdES incorpora un "pacchetto di dati di fiducia" completo all'interno del file PDF:
- Valore della firma (Signature Value): Il valore della firma principale basato su operazioni crittografiche.
- Certificato del firmatario (Signer's Certificate): Un documento d'identità elettronico che dimostra l'identità del firmatario.
- Timestamp affidabile (Trusted Timestamp): Emesso da un'autorità autorevole, che dimostra l'ora della firma.
- Dati di verifica (DSS - Document Security Store):
- Catena di certificati (Certificates): Il certificato dell'autorità emittente di livello superiore del certificato del firmatario.
- Informazioni di revoca (Revocation Information): Un elenco che dimostra che il certificato non è stato revocato al momento della firma.
- Timestamp di archiviazione (Archive Timestamp): A livello LTA, utilizzato per "rafforzare" periodicamente l'intero pacchetto di firma con nuovi timestamp.
IV. La relazione tra PAdES, CAdES e XAdES
PAdES non è uno standard isolato, ma insieme a CAdES e XAdES costituisce la "triade" degli standard di firma elettronica avanzata di ETSI (European Telecommunications Standards Institute). Il concetto fondamentale di questi tre standard è lo stesso, volto a realizzare la validità a lungo termine e la garanzia di fiducia delle firme elettroniche. Tuttavia, hanno caratteristiche diverse per diversi formati di file e scenari applicativi.
CAdES (CMS Advanced Electronic Signatures) è uno standard di firma elettronica ampiamente applicabile a qualsiasi formato di file, particolarmente efficace quando è richiesta una firma separata del file. XAdES (XML Advanced Electronic Signatures) è specificamente progettato per la firma elettronica di dati XML, in grado di essere preciso fino al livello dell'elemento dati, ed è adatto per la firma di dati strutturati. Rispetto a questi due, PAdES (PDF Advanced Electronic Signatures) si concentra sulla firma di file PDF, enfatizzando la stretta integrazione tra la firma e il documento, fornendo una buona esperienza visiva e consentendo agli utenti di percepire intuitivamente l'esistenza della firma.
Questi tre condividono lo stesso concetto e supportano diversi livelli di firma come B-B, B-T, B-LT e B-LTA, sforzandosi di ottenere una validità a lungo termine. Si basano sulla stessa infrastruttura, inclusa l'infrastruttura a chiave pubblica (PKI) e i servizi di timestamp (TSA). In termini di quadro giuridico, i tre seguono anche requisiti normativi simili, in linea con le disposizioni del regolamento eIDAS dell'UE e altri regolamenti sulle firme elettroniche avanzate.
A seconda del formato del file, gli utenti possono scegliere lo standard appropriato in base alle proprie esigenze: se è necessario firmare qualsiasi tipo di file, è possibile scegliere CAdES; se si firmano dati XML, scegliere XAdES; e per la firma di documenti PDF, scegliere PAdES.
V. PAdES vs Standard cinese GB/T 31308.3-2023
Lo standard cinese GB/T 31308.3-2023 è tecnicamente completamente coerente con lo standard internazionale PAdES (ETSI EN 319 142). Il meccanismo principale, i livelli di firma e gli obiettivi di entrambi sono gli stessi, volti a risolvere i problemi di validità a lungo termine ed efficacia legale delle firme elettroniche PDF. In breve, lo standard internazionale PAdES e lo standard GB/T 31308.3 non hanno differenze nelle specifiche tecniche, ma ci sono requisiti diversi in alcuni aspetti chiave, che si riflettono principalmente nella scelta degli algoritmi di crittografia e della radice di fiducia.
Lo standard internazionale PAdES utilizza solitamente algoritmi di crittografia universalmente utilizzati a livello internazionale come RSA, ECDSA e SHA-2, mentre lo standard GB/T 31308.3 enfatizza maggiormente l'uso di algoritmi di crittografia nazionale sviluppati in modo indipendente dalla Cina (come SM2, SM3, SM9). Inoltre, PAdES si basa su CA/TSA riconosciute a livello internazionale o dall'UE, mentre GB/T 31308.3 richiede l'uso di istituzioni di servizio nazionali che hanno superato la certificazione di prodotti di crittografia commerciale cinese e la licenza CA.
In termini di campi di applicazione, PAdES internazionale è più utilizzato in scenari come contratti elettronici transfrontalieri e documenti di commercio internazionale, in linea con le esigenze del mercato internazionale e i requisiti di riconoscimento reciproco transfrontaliero. GB/T 31308.3 è principalmente utilizzato in documenti ufficiali governativi nazionali, contratti finanziari, conservazione di prove giudiziarie e altri campi, in linea con le normative di settore e i requisiti legali cinesi.
In generale, PAdES internazionale può essere considerato come un "passaporto universale internazionale", mentre GB/T 31308.3 è la "versione speciale cinese" di questo passaporto. Sebbene le specifiche tecniche siano completamente coerenti, nell'applicazione pratica, è necessario seguire i requisiti legali cinesi, come la "Legge sulle firme elettroniche" e la "Legge sulla crittografia", e utilizzare la "tecnologia anticontraffazione" designata (algoritmi di crittografia nazionale).
VI. Conclusione
PAdES è una delle tecnologie fondamentali per costruire la fiducia a lungo termine nell'era digitale. Combinandosi con CAdES e XAdES, fornisce soluzioni complete per diversi scenari applicativi, garantendo che le firme elettroniche dai dati ai documenti possano resistere alla prova del tempo.
Per le aziende, comprendere e adottare PAdES (o GB/T 31308.3 in Cina) significa:
- Garanzia legale: I contratti elettronici firmati hanno una maggiore efficacia probatoria giudiziaria.
- Riduzione dei costi e aumento dell'efficienza: Realizzare un processo completamente paperless, rendendo più conveniente la gestione, l'archiviazione e la verifica dei contratti.
- Conformità a lungo termine: Soddisfare i requisiti di archiviazione a lungo termine delle firme elettroniche in varie leggi e regolamenti nazionali ed esteri.
