Firma digitale, differenza tra CAdES e PAdES
Fonte articolo: amministrazionedigitale.unipi.it (vedi qui)
Una firma digitale può essere apposta in modalità diverse: CAdES e PAdES. Di per sé, la firma digitale consiste sempre nella creazione di un file associato a un documento, creato dal software di firma in base al documento da firmare e al certificato del firmatario. Tecnicamente, la differenza tra una firma di tipo CAdES e una firma di tipo PAdES consiste nel modo in cui il nuovo file viene associato al documento. Analizziamo le due tipologie nel dettaglio:
Firma CAdES
Nel caso di una firma digitale apposta con modalità CAdES, il documento firmato e il file con la firma digitale vengono inseriti insieme in una busta. Tale busta, che contiene il documento e il file della firma, è anch’essa un file con estensione .p7m. Infatti, tutti i file firmati digitalmente con modalità CAdES hanno una seconda estensione .p7m.
Ecco le principali caratteristiche di questa modalità di firma:
- la modalità CAdES consente di firmare qualsiasi tipo di documento (.docx, .xlsx, ecc.), anche se consigliamo comunque di firmare file in formato .pdf;
- un documento, una volta firmato con modalità CAdES, modifica il suo nome. Ad esempio un documento Prova.docx, una volta firmato digitalmente con modalità CAdES modificherà il suo nome in Prova.docx.p7m;
- per verificare una firma digitale apposta con modalità CAdES e per visualizzare il documento firmato, occorre utilizzare uno degli appositi software specifici come Dike 6, ArubaSign, ecc.
Firma PAdES
Nel caso di firma digitale apposta con modalità PAdES, invece, vengono sfruttate le caratteristiche dei documenti in formato .pdf e il file contenente la firma digitale viene inglobato insieme al documento stesso.
Ecco le principali caratteristiche di questa modalità di firma:
- la modalità PAdES consente di firmare solo documenti in formato .pdf;
- un documento, una volta firmato con modalità PAdES, mantiene il suo nome;
- per verificare una firma digitale apposta con modalità PAdES e per visualizzare il documento firmato, è possibile utilizzare un qualsiasi software per la lettura dei file .pdf, come ad esempio Acrobat Reader.
Validità di una firma digitale
Nel nostro ordinamento, un documento sottoscritto con firma digitale ha piena efficacia giuridica nel caso in cui siano rispettate le seguenti condizioni:
- la firma digitale sia apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario;
- la firma digitale sia apposta utilizzando un certificato di firma in corso di validità;
- il documento non sia modificato dopo l’apposizione della firma.
Nel caso in cui venga meno anche una di queste tre condizioni, la firma digitale NON è valida.
Adesso vediamo queste condizioni nel dettaglio:
Certificato di firma rilasciato da un ente accreditato
Il fatto che la firma digitale debba essere apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario, comporta che analizzando un documento con firma digitale valida è possibile verificare con certezza l’identità della persona che lo ha firmato (si parla di autenticazione del firmatario).
Ovviamente i certificati di firma rilasciati tramite il nostro Ateneo al personale docente e tecnico-amministrativo consentono di identificare in modo certo il proprietario del certificato e sono validi a tutti gli effetti.
Certificato di firma in corso di validità
Il fatto che la firma digitale sia apposta utilizzando un certificato di firma in corso di validità comporta che il firmatario di un documento con firma digitale valida non possa disconoscere il documento da lui firmato, salvo che non dia prova contraria (si parla di non ripudio del documento).
Questo avviene perché il certificato di firma ha una validità limitata nel tempo, e si ritiene che un eventuale malintenzionato non possa individuare la password necessaria per l’utilizzo del certificato prima della scadenza di quest’ultimo.
Inoltre, la firma digitale apposta su un documento utilizzando un certificato in corso di validità non ha più alcun valore dopo la scadenza del certificato stesso a meno che al documento non venga apposta una marcatura temporale prima della scadenza del certificato utilizzato per la firma. Si tenga presente, però, che il caricamento di un documento firmato digitalmente all’interno di un sistema di protocollo a norma (come Titulus) equivale a tutti gli effetti all’apposizione di una marcatura temporale e quindi, i documenti firmati digitalmente regolarmente protocollati restano validi anche dopo la scadenza del certificato utilizzato per la firma.
Infine, dal fatto che un firmatario non possa disconoscere un documento da lui firmato digitalmente, consegue l’importanza di mantenere segreta la password associata al proprio certificato di firma, in modo da non permettere a nessuno di apporre firme digitali per proprio conto.
Documento non modificato dopo la firma
Il fatto che il documento non possa essere modificato dopo l’apposizione della firma digitale, comporta che un documento con firma digitale valida è identico a quello all’atto della firma (si parla di integrità del documento).
Dato che una minima modifica in qualsiasi punto del documento comporterebbe l’invalidità della firma digitale, in caso di documenti firmati digitalmente non ha più senso l’atto di siglare le varie pagine di un documento (se vogliamo fare un parallelo con il cartaceo, possiamo considerare come se il documento digitale fosse scritto tutto su un unico foglio).
Dato che i documenti firmati digitalmente non devono più essere modificati dopo l’apposizione della firma digitale, richiamiamo la regola generale di firmare solo file in formato PDF e, laddove possibile, PDF/A.