Ricordate la Posta Elettronica Certificata? Argomento concettualmente legato alla firma digitale dei documenti? Tutti i professionisti e le aziende lo ricordano benissimo perché per comunicare con la Pubblica Amministrazione si è caldamente invitati a utilizzarla ed è d'obbligo quando si ha a che fare con l'Agenzia delle Entrate.
Ebbene a fine luglio si entra nel tunnel del cambiamento. Infatti da fine luglio incominciano ad essere aggiornati i programmi che rilasciano firma digitale e marcatura temporale (ossia la funzione dell'ufficio postale che timbra l'ora in cui il documento firmato digitalmente è stato inviato).
Il motivo del cambiamento è l'applicazione della delibera 45/2009 emanata dal CNIPA, centro Nazionale per l'Informatica nella Pubblica Amministrazione.
Si trova su DigitPA.
La delibera n.45/2009 del CNIPA
La sostanza dice che
dal 3 settembre prossimo dovranno essere sostituiti i programmi di firma dei documenti per apporre le firme e verificare i documenti firmati.
Il motivo è legato alla sicurezza. Quando nel 2005 furono fatti i primi passi della firma digitale ci si fidò dell'algoritmo SHA-1. Poi l'acqua ha lavato parecchi ministeri e sottosegretariati e si è scoperto che
quell'algoritmo era troppo debole e s'è deciso di cambiare tutto o quasi.
Il documento firmato digitalmente viene riassunto in un file e cifrato combinando la chiave personale con l'algoritmo
SHA-256 (il numero fa riferimento ai bit della chiave) e il tutto viene imbustato dentro un documento di trasporto utilizzando
una chiave RSA a 1024 bit e ricomposto nel
formato standard europeo CMS Advanced Electronic Signature (CAdES). Anche i formati PDF con firma (PDadvanced Electronic Signature, PDaES) dovranno essere adeguati alla firma SHA-256.
Comunque
occhio al 3 settembre perché dopo quella data la Pubblica Amministrazione potrà rifiutare i documenti firmati alla vecchia maniera.