LA CONSERVAZIONE SOSTITUTIVA
Erica Manzano - Udine, 17 maggio 2010 erica.manzano@gmail.com
1
Il processo di conservazione sostitutiva è una PROCEDURA INFORMATICA, regolamentata dalla legge italiana, in grado di garantire nel tempo la validità legale di un documento informatico.
E’ composto principalmente da tre elementi:
! Firma Digitale
! Posta Elettronica Certificata
! Conservazione Sostitutiva
2
La Firma Digitale
Il concetto di Firma Digitale è alla base di tutto il processo di Dematerializzazione, dal momento che ricopre un ruolo fondamentale sia nella PEC che nel processo di conservazione vero e proprio.
La Firma Digitale è il risultato di una procedura informatica che serve a garantire:
! l’AUTENTICITA’
! la PATERNITA’
! l’INTEGRITA’
! la NON RIPUDIABILITA’
3
La Firma Digitale (2)
Con Firma Digitale si intende il risultato di una procedura informatica che si basa su diversi elementi:
! Gli algoritmi crittografici
! Le impronte di Hash
! Le chiavi
! I certificati
Testo in Chiaro Hash
Crittografia
Firma
4
Le Chiavi
! Chiave privata: viene usata per firmare
! Chiave pubblica: viene usata per verificare una firma
Le due chiavi costituiscono una coppia inscindibile, quindi se una delle due dovesse venire a mancare sarebbe necessario generare una nuova coppia. Non è mai possibile associare a una chiave già esistente una nuova chiave pubblica/privata corrispondente.
5
I Certificati
Il valore delle chiavi pubbliche non è confidenziale, pertanto la maggiore criticità sta nel garantire l’autenticità e la paternità delle chiavi pubbliche.
A questo scopo sono stati introdotti i CERTIFICATI ELETTRONICI.
VERSION SERIAL NUMBER SIGNATURE ALGORITHM IDENTIFIER
ISSUER VALIDITY PERIOD
SUBJECT SUBJECT PUBLIC KEY INFORMATION
ISSUER UNIQUE IDENTIFIER SUBJECT UNIQUE IDENTIFIER
ALGORITHM IDENTIFIER PUBLIC KEY
CERTIFICATO X.509
6
La Marca Temporale
Le MARCHE TEMPORALI sono delle ETICHETTE ELETTRONICHE sottoscritte che vengono allegate al documento firmato allo scopo di dimostrare che la firma esisteva in un ben preciso momento.
Le marcature sono vincolate al documento a cui appartengono grazie all’utilizzo di alcuni riferimenti quali:
! l’impronta di Hash del messaggio
! il numero progressivo seriale della marca
! la data e l’ora dell’apposizione
7
La Posta Elettronica Certificata (PEC)
Soggetti interessati:
!MITTENTE
!DESTINATARIO
!GESTORE DEL MITTENTE
!GESTORE DEL DESTINATARIO
8
Funzionamento della PEC
Mittente Destinatario
Gestore del destinatario
Punto di ricezione
Punto di consegna
Gestore del mittente
Punto di accesso Punto di
consegna
Ricevuta di Accettazione
Ricevuta di Consegna Mail
Mail PEC
Mail PEC Ricevuta di
Presa in Carico
9
Funzionamento della PEC(2)
Il Mittente predispone il messaggio per l’invio, si autentica presso il proprio gestore e invia il messaggio.
Il messaggio raggiunge il PUNTO di ACCESSO.
! Vengono effettuati controlli formali sul messaggio
! Viene generata la BUSTA DI TRASPORTO
! Viene inviata al mittente una RICEVUTA di ACCETTAZIONE
Gestore del mittente
Punto di accesso Punto di
consegna
Ricevuta di
Accettazione Mail
10
Funzionamento della PEC(3)
Il messaggio viene inviato dal GESTORE del MITTENTE a quello del DESTINATARIO attraverso il PUNTO DI RICEZIONE.
Qui vengono svolti alcuni controlli:
!Verifica della correttezza della natura del messaggio
!Viene verificata l’appartenenza del gestore mittente all’elenco del CNIPA
!Viene generata una RICEVUTA di PRESA in CARICO Se il messaggio non supera i controlli viene generata una BUSTA di ANOMALIA
Gestore del destinatario
Punto di ricezione
Gestore del mittente
11
Funzionamento della PEC(4)
Destinatario
Il Gestore del Destinatario procede a inoltrare la mail nella casella di posta del Destinatario e invia una RICEVUTA di AVVENUTA CONSEGNA al Mittente.
Esistono tre tipi di ricevute:
!Ricevuta Breve
!Ricevuta Sintetica
!Ricevuta Completa Nel caso dovesse verificarsi qualche errore viene inviato un AVVISO di MANCATA
CONSEGNA al mittente.
Gestore del destinatario
Punto di consegna
Mail PEC Ricevuta di
Consegna
12
www.postacertificata.gov.it
13
I Certificati S/MIME
La normativa italiana prevede l’utilizzo dei certificati S/MIME in alternativa ai sistemi di PEC che
presentano alcuni limiti:
! La PEC è uno standard italiano non riconosciuto all’estero
! L’e-mail inviata con sistema PEC ha valore legale solo se entrambi gli utenti sono dotati di un account di posta elettronica certificata
I certificati S/MIME sono compatibili con qualsiasi sistema e sono riconosciuti in ambito internazionale
14
I servizi offerti S/MIME
S/MIME fornisce due servizi di protezione:
! Firme Digitali
! Crittografia dei Messaggi
Ciascuno di questi servizi consente di risolvere problemi specifici di protezione, le firme digitali forniscono il supporto all’autenticazione e per il non ripudio, mentre le crittografia garantisce la riservatezza dei messaggi.
15
!"#
#
!"#$%&'()*'+,-.+"/"-&'+,"'0,11&##" #
1. Ricezione del messaggio;
2. Recupero del messaggio crittografato;
3. Recupero delle informazioni che identificano il destinatario in maniera univoca;
4. Decrittografia del messaggio crittografato in modo da generare un messaggio non crittografato in base alle informazioni univoche del destinatario;
5. Recapito del messaggio non crittografato al destinatario.
Il processo di crittografia e decrittografia garantisce la riservatezza dei messaggi di posta elettronica. Questo processo consente di risolvere uno dei punti più deboli della posta elettronica, ovvero il fatto che qualsiasi messaggio può essere letto da qualsiasi utente.
INTERAZIONE DELLE FIRME DIGITALI CON LA CRITTOGRAFIA DEI MESSAGGI Le firme digitali e la crittografia dei messaggi non si escludono reciprocamente. Ciascuno di questi servizi consente di risolvere problemi specifici di protezione. Le firme digitali fornisFRQRLOVXSSRUWRDOO¶DXWHQWLFD]LRQHHSHULOQRQULSXGLRPHQWUHODFULWWRJUDILDJDUDQWLVFH
la riservatezza dei messaggi.
In considerazione dei diversi ruoli svolti, entrambi i servizi sono normalmente richiesti QHOO¶DPELWRGLXQDVWHVVDVWUDWHJLDGLSURWH]LRQHGHLPHVVDJJL/¶LQWHJUD]LRQHGLTXHVWLGXH
servizi è importante poiché a ciascuno interessa un diverso aspetto della relazione mittente- destinatario. Le firme digitali affrontano le problematiche relative ai mittenti, mentre la crittografia quelle relative ai destinatari.
Quando le firme digitali e la crittografia dei messaggi vengono utilizzate insieme, gli utenti possono beneficare di entrambi i servizi.
Vediamo come si applicano:
!"#$%&'(2*'3&'/"%0&'+"#"4&3,','3&'-%"44.#%&/"&'&553"-&4"'&"'-,%4"/"-&4"'67898:'";'";<". #
1. Acquisizione del messaggio;
1.Corpo del messaggio 2.Chiave privata del mittente 3.Chiave pubblica del destinatario 4.Firma con la chiave privata del mittente
5.Crittografia con la chiave pubblica del destinatario 6.Invio
16
!"#
#
2. Recupero delle informazioni che identificano il mittente in maniera univoca;
3. Recupero delle informazioni che identificano il destinatario in maniera univoca;
4. Applicazione al messaggio di una firma generata in base alle informazioni univoche del mittente;
5. Aggiunta della firma digitale al messaggio;
6. Crittografia del messaggio in base alle informazioni relative al destinatario;
7. Sostituzione del messaggio originale con quello crittografato;
8. Invio del messaggio.
In ricezione invece le fasi sono:
!"#$%&'()*'+&',"%-&'."#"/&+0'0'+&'1%"//2#%&,"&'&33+"1&/"'&"'10%/","1&/"'456768'"9'%"10:"290 #
1. Ricezione del messaggio;
2. Recupero del messaggio crittografato;
3. Recupero delle informazioni che identificano il destinatario in maniera univoca;
4. Decodifica del messaggio crittografato in modo da generare un messaggio in chiaro in base alle informazioni univoche del destinatario;
5. Acquisizione del messaggio in chiaro;
6. Visualizzazione del messaggio;
7. Recupero della firma digitale del messaggio non crittografato;
8. Recupero delle informazioni identificative del mittente;
9. Applicazione al messaggio in chiaro di una firma generata in base alle informazioni del mittente;
10. Confronto della firma digitale inclusa nel messaggio con quella generata al momento della ricezione;
11. Se le firme corrispondono, il messaggio è considerato valido.
8QRGHLPLJOLRUDPHQWLDSSRUWDWLGD60,0(YqUDSSUHVHQWDWRGDOOD³WULSODFULWWRJUDID]LRQH´
Un messaggio S/MIME con tripla crittografazione è un messaggio firmato, crittografato, quindi nuovamente firmato. Questo ulteriore livello di crittografia fornisce una protezione avanzata dei messaggi.
1.Ricezione del messaggio 2.Chiave privata del destinatario 3.Chiave pubblica del mittente
4.Decrittografia con chiave privata del destinatario 5.Messaggio in chiaro
6.Firma del messaggio con chiave pubblica del mittente 7.Confronto delle due firme
17
La Conservazione Sostitutiva
La formazione e la conservazione della memoria digitale di un soggetto pubblico o privato è un processo che si compone di quattro fasi:
Fase preparatoria
o preliminare
Fase della formazione
della memoria
digitale
Fase della conservazio
ne digitale
Fase dell’accesso
o della fruizione
18
La Pianificazione di un Progetto di ConservazioneSostitutiva
E’ importante individuare i processi più critici per numerosità e/o tipologia di documenti gestiti.
I criteri per individuarli sono:
! La numerosità dei documenti prodotti, ricevuti, gestiti all’interno di un processo
! La complessità del ciclo di lavorazione del documento
!La rilevanza strategica dei documenti
! La presenza di requisiti legali per la loro conservazione
19
La Pianificazione di un Progetto di ConservazioneSostitutiva(2)
20
Acquisto del Software o soluzione in ASP?
Esistono due possibili alternative per effettuare la conservazione sostitutiva:
1. Acquisizione delle licenze software per la conservazione sostitutiva e gestione interna dell’attività
2.Ricorso ai servizi di un fornitore esterno al quale poter anche delegare la funzione del responsabile della conservazione
21