Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa europea

Gli standard di conservazione con il regolamento eIDAS: che c’è da sapere

Il lavoro di standardizzazione di ETSI in relazione all’articolo 34 del regolamento eIDAS affronta nello specifico il tema della conservazione di lungo periodo delle firme digitali e dei dati, stabilendo i parametri entro cui agire correttamente

23 Gen 2019

Giovanni Manca

consulente, Anorc


Una recente consultazione pubblica ha reso disponibile il lavoro di standardizzazione di ETSI in materia di conservazione digitale di lungo periodo, in conformità all’articolo 34 del regolamento eIDAS.

Le specifiche pur essendo nello stato di stable draft possono essere ancora modificate dal gruppo di lavoro ETSI ma la loro analisi già consente di comprendere quale saranno le regole tecniche comunitarie che renderanno applicabile il sopra citato articolo 34 del regolamento eIDAS.

Per quel lettore meno pratico di normativa comunitaria è utile ricordare che la definitiva pubblicazione degli standard non implica automaticamente alcun obbligo per gli Stati membri. Gli obblighi trans nazionali e settoriali sono stabiliti mediante atti di esecuzione della Commissione Europea in conformità al paragrafo 2 del già citato articolo 34.

L’analisi dell’articolo 34

Ciò premesso possiamo iniziare la nostra analisi riportando di seguito il paragrafo 1 dell’articolo 34:

Un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica oltre il periodo di validità tecnologica.

La lettura del testo consente di comprendere immediatamente che non stiamo conservando documenti ma firme elettroniche qualificate allo scopo di estendere l’affidabilità della firma elettronica “proteggendola” dalla scadenza dei certificati digitali, da debolezze crittografiche e altre questioni attinenti alle tecnologie utilizzate per la sottoscrizione.

Queste operazioni di validazione sono coordinate con il già pubblicato standard ETSI EN 319 102-1 recante “Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation”. Per completezza sul tema è utile citare anche un draft in fase di elaborazione; il documento ETSI EN 319 102-2 che si occupa di standardizzare i contenuti del rapporto di validazione della sottoscrizione.

Nell’ambito degli obiettivi del regolamento eIDAS in materia di LTDP (Long-Term Data Preservation) sono stati diffusi i draft:

  • ETSI TS 119 511 recante “Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signatures techniques”.
  • ETSI TS 119 512 recante “Protocols for trust service providers providing long-term data preservation services”.

In questa sede analizziamo solo il primo documento. Il secondo contiene i dettagli dei protocolli da utilizzare per interagire con il sistema di conservazione elettronica presentando dettagliate specifiche operative in XML e JSON.

Il documento 119 511 sviluppa i requisiti delle politiche generali per i prestatori di servizi fiduciari pubblicate nel documento EN 319 401; tale sviluppo è relativo ai requisiti di sicurezza e alle politiche organizzative in materia di conservazione di lungo periodo delle sottoscrizioni digitali e altri dati generali come dati sottoscritti o non sottoscritti. Si considera sempre l’utilizzo di tecniche di sottoscrizione digitale. La conformità è sempre relativa al regolamento eIDAS e alla totalità delle firme e dei sigilli previsti nello stesso.

Gli scenari analizzati

Gli scenari analizzati sono due:

  • La conservazione per lunghi periodi di tempo, con l’uso di tecniche di firma digitale, la capacità di convalidare una firma digitale, di mantenere nel tempo il suo stato di validità e di ottenere una prova dell’esistenza dei dati firmati associati così come erano al momento della presentazione al servizio di conservazione, anche se successivamente la chiave di firma viene compromessa, il certificato scade o gli attacchi crittografici diventano attuabili rispetto all’algoritmo della firma o nell’algoritmo di hash utilizzato nella firma in esame.
  • La fornitura di una prova dell’esistenza di oggetti digitali, indipendentemente dal fatto che siano firmati o meno, utilizzando tecniche di firma digitale (firme digitali, token con marca temporale, registrazioni di prove).

Nello scenario operativo il sistema di conservazione può prevedere memorizzazione, nessuna memorizzazione o memorizzazione temporanea. In alternativa il sistema di conservazione può ricevere dall’esterno la sottoscrizione digitale, i dati sottoscritti, le informazioni di revoca o semplicemente le loro impronte (calcolate mediante la funzione di hash) ed evidenze digitali.

È possibile distinguere diversi scenari per i servizi di conservazione, ciascuno con requisiti di sicurezza e criteri specifici.

Nello scenario definito nello standard un servizio di conservazione può fornire:

  • la conservazione per lunghi periodi di tempo della capacità di convalidare una firma digitale, di mantenere il suo stato di validità e di ottenere una prova dell’esistenza dei dati firmati associati, e/o
  • la fornitura di prove dell’esistenza per lunghi periodi di tempo di dati generali, sia che questi dati siano firmati o meno.

Nel primo caso, la capacità di convalidare una firma digitale e di mantenerne lo stato di validità si ottiene assicurandosi che tutti i dati di convalida necessari siano raccolti, verificati e protetti utilizzando anche per essi tecniche di firma digitale.

Queste evidenze forniscono una prova dell’esistenza della firma digitale e dei dati di convalida (marche temporali, percorsi di certificazione, informazioni di revoca) e anche una prova dell’esistenza dei dati firmati nel caso in cui i dati firmati siano forniti insieme alla firma.

I dati di convalida possono essere inclusi nelle informazioni inviate al servizio di conservazione o possono essere ottenuti dal servizio di conservazione.

Conservazione non significa convalida

Si noti bene che il servizio di conservazione non è un servizio di convalida della firma. Può utilizzare un servizio di convalida della firma per creare un rapporto di convalida o per assicurarsi che tutti i dati di convalida necessari siano raccolti e verificati, ma ciò non è necessario, a condizione che raccolga, verifichi e protegga tutti i dati di convalida necessari per preservare il capacità di convalidare la firma digitale e di mantenere il suo stato di validità per lunghi periodi di tempo.

Lo standard utilizza tre modelli di memorizzazione per la conservazione:

  • Servizi di conservazione con memorizzazione. In questo caso, i dati da conservare vengono memorizzati dal servizio di conservazione mentre le evidenze e i dati conservati vengono consegnati su richiesta dal servizio di conservazione al client di conservazione. Il servizio di conservazione memorizza gli oggetti contenenti i dati inviati e gli oggetti di conservazione derivati ​​da tali dati per l’incremento o la costruzione di un contenitore denominato Preservation Object Container (POC) e le prove di conservazione associate. Requisiti specifici, raccomandazioni o permessi per questo caso sono ulteriormente specificati nello standard.
  • Servizi di conservazione con memorizzazione temporanea. In questo caso, i dati da conservare sono archiviati sul lato client. Il servizio di conservazione mantiene i dati o un hash dei dati da conservare solo temporaneamente al più tardi fino alla produzione delle prove. Le prove sono prodotte in modo asincrono. Una volta prodotte, le prove vengono archiviate durante un certo periodo di tempo per consentire al client di recuperarlo. Requisiti specifici, raccomandazioni o permessi sono ulteriormente specificati nello standard. A titolo di esempio è ipotizzabile che le evidenze/prove possono essere prodotte giornalmente utilizzando i valori di hash dei dati da conservare che sono stati presentati durante 24 ore.
  • Servizi di conservazione senza memorizzazione. In questo caso, i dati da conservare sono archiviati sul lato client. Il servizio di conservazione non memorizza i dati forniti, né le prove di conservazione. Le prove sono prodotte in modo sincrono e sono incluse nella risposta. Il servizio di conservazione conserva solo tracce delle sue azioni per essere in grado di fornire queste informazioni. Requisiti specifici, raccomandazioni o permessi per questo caso sono ulteriormente specificati nello standard.

A seconda del modello di conservazione prescelto, il servizio realizzerà gli specifici e diversi processi necessari. Lo standard descrive anche i profili di conservazione che identificano una serie di dettagli di realizzazione atti a specificare come le prove di conservazione sono generate e convalidate e che sono pertinenti a un modello di conservazione e uno o più obiettivi di conservazione.

Differenza tra profilo e schema di conservazione

Un profilo di conservazione può fare riferimento a uno schema di conservazione per specificare le regole generali. Uno schema di conservazione è un insieme generico di procedure e regole pertinenti a un modello di conservazione e uno o più obiettivi di conservazione che delinea come le prove di conservazione sono state create e convalidate. Può anche essere una generalizzazione di uno o più schemi di conservazione. Per identificare questi schemi possono essere utilizzate collegamenti di rete (URI) conformi alla specifica RFC 3986 o OID (Object IDentifier).

Per un servizio di conservazione con deposito temporaneo o senza spazio di archiviazione bisogna prevedere un periodo atteso di gestione per la prova. Questa è una durata durante la quale o una data fino alla quale, il servizio di conservazione si aspetta che una prova di conservazione che è stata prodotta possa essere utilizzata per raggiungere l’obiettivo di conservazione.

Ciò significa che le prove di conservazione possono ancora essere verificate e forniscono protezione crittografica. Per i diversi formati delle prove di conservazione, ad es. registrazioni di prove o firme AdES di archiviazione, è sufficiente essere in grado di validare con successo l’ultima registrazione temporale per poter validare l’intera prova di conservazione.

Per le prove di conservazione generate utilizzando tecniche di firma digitale, è necessario considerare diversi periodi di tempo come dettagliato nello standard. Lo standard considera anche aspetti relativi al periodo di conservazione quando quest’ultima prevede la memorizzazione. Lo standard successivamente individua una serie di rischi, che analizza, stabilendo subito dopo le contromisure relative alla tecniche crittografiche utilizzate.

Conservazione e archiviazione

Concludiamo questo articolo con l’analisi del paragrafo dello standard che affronta il cruciale tema delle differenze e relazioni tra un servizio di conservazione e un servizio di archiviazione.

In questo caso, per mantenere il livello di dettaglio dello standard proponiamo lo specifico testo dello standard tradotto in modo non ufficiale:

  • Servizio di archiviazione:

Quando si gestisce un record all’interno di un servizio di archiviazione, ci sono tre diverse fasi per il ciclo di vita:

1) record attuali: in questa fase i record vengono creati aggiornati e/o collegati insieme. Durante questa fase, viene spesso utilizzata per gestire i record un’applicazione di tipo workflow.

2) record semi-correnti o intermedi: una volta che i record diventano stabili, cioè non vengono più modificati, possono essere trasferiti a un sistema di archiviazione. I metadati sono inclusi nei record per due motivi principali:

(a) essere in grado di identificare i record che corrispondono ad alcuni criteri di ricerca in modo che possano essere recuperati, e

(b) essere in grado di identificare i record che hanno raggiunto la fase di cancellazione (smaltimento) in cui i record possono essere cancellati, trasferiti a un sistema di archiviazione storica e mantenuti più a lungo.

3) registri storici: tali registri sono selezionati per un archivio permanente solitamente basato sul loro valore culturale, storico o probatorio. In questo caso, il periodo di tempo dell’archivio è “per sempre”. I metadati inclusi nei record vengono utilizzati per individuare uno o più record che corrispondono a determinati criteri di ricerca allo scopo di accedere a tali record.

Quando un record viene presentato a un servizio di archivio intermedio, il servizio di archiviazione aggiunge metadati al record in modo che sia possibile conoscere la data dell’archivio e un identificatore dell’entità che ha effettuato il deposito.

Esempio: in Francia, un sistema di archiviazione può utilizzare tecniche crittografiche per fornire prove dell’esistenza dei dati, ma non è obbligato a farlo. In tal caso, può utilizzare i servizi di un servizio di conservazione come descritto in questo documento.

  • Servizi di conservazione

Esistono due categorie principali di servizi di conservazione:

1) con l’archiviazione

2) senza memorizzazione o con memorizzazione temporanea.

Un servizio di conservazione con spazio di archiviazione può sembrare simile a un servizio di archiviazione poiché entrambi i servizi supportano una funzionalità di archiviazione.

Un servizio di conservazione con archiviazione mantiene gli oggetti di conservazione inviati e le prove associate in memoria durante un periodo di conservazione. Il servizio di conservazione fornisce la funzionalità per eliminare gli oggetti di conservazione prima della fine del periodo di conservazione.

Esempio: In Germania, prima di eliminare un ordine di acquisto, tutti gli enti pubblici federali e statali sono obbligati per legge a trasferire i documenti non più necessari per svolgere compiti nell’Archivio federale o statale da assumere come materiale di archivio federale / statale. Questo dovere di offrire vale anche per i documenti elettronici. Poiché l’archiviazione non è oggetto di queste specifiche tecniche, tuttavia, i requisiti legali corrispondenti non saranno descritti in modo più dettagliato.

I servizi di conservazione descritti nel presente documento utilizzano tecniche di firma digitale.

Ci sono due possibili obiettivi:

1) estendere su lunghi periodi di tempo la capacità di convalidare una firma digitale e mantenere il suo stato di validità, e

2) fornire prove dell’esistenza di dati per lunghi periodi di tempo.

Per poter estendere per lunghi periodi di tempo lo stato di validità di una firma digitale, il servizio di conservazione deve fornire una prova dell’esistenza della:

1) firma,

2) dei dati firmati e

3) dei dati di convalida (percorsi di certificazione, informazioni di revoca).

La prova dell’esistenza dei dati firmati può essere fatta indirettamente da una prova dell’esistenza della firma, purché la firma possa ancora essere considerata attendibile per fornire la prova dell’integrità dei dati firmati, vale a dire l’algoritmo di hash e l’algoritmo crittografico utilizzato per creare la firma possono essere ancora attendibili.

Confronto dei servizi di archiviazione con i servizi di conservazione

Per un servizio di archiviazione digitale, la dimostrazione di una prova di esistenza può essere basata su una verifica del servizio di archiviazione rispetto ad alcuni criteri, ad es.

  • ISO 14721: OAIS 2012 (Open Archival Information System),
  • ISO 16363 (2011) Audit e certificazione dei repository affidabili,
  • ISO 14641-1: 2018 Archiviazione elettronica – Parte 1: Specifiche relative alla progettazione e al funzionamento di un sistema informativo per l’elettronica conservazione delle informazioni o altro

Per un servizio di conservazione, la dimostrazione di una prova dell’esistenza si basa su due fattori:

1) un audit del servizio di conservazione rispetto ad alcuni criteri, ad es. ETSI TS 119 511 “Requisiti di politica e sicurezza per i fornitori di servizi fiduciari che garantiscono la conservazione a lungo termine delle firme digitali o dei dati generali utilizzando tecniche di firma digitale”,

2) l’uso di tecniche di sottoscrizione digitale per dimostrare che alcuni dati non sono stati modificati da una determinata data.

Un servizio di archiviazione digitale può utilizzare tecniche di firma digitale per fornire prove dell’esistenza di alcuni dati, ma non è necessario utilizzarli.

Un servizio di conservazione può essere parte di un servizio di archiviazione ma non è un requisito obbligatorio.

Una differenza tra un servizio di conservazione e un servizio di archiviazione è che un servizio di archiviazione senza un servizio di conservazione non acquisisce né verifica i dati di convalida associati a una firma digitale.

Relazione tra un servizio di archiviazione e di conservazione

Un servizio di archiviazione digitale può utilizzare un servizio di conservazione per fornire prove dell’esistenza di dati basati su tecniche di sottoscrizione digitale. Ha bisogno di gestire tutti i metadati richiesti da un servizio di archiviazione.

Un servizio di conservazione con memorizzazione può utilizzare un servizio di archiviazione per l’obiettivo di memorizzazione dei dati.

Lo standard prosegue con l’analisi dei rischi e le politiche da applicare per i documenti di descrizione del servizio, il tutto in analogia con quanto previsto per gli altri scenari di eIDAS comprendenti firme, sigilli e servizi elettronici di recapito certificato.

Conclusioni

L’analisi di questa bozza dello standard ci consente di affermare che le regole stabilite in questo standard sono analoghe ad una serie di regole presenti nell’ordinamento nazionale (in particolare le regole tecniche stabilite nei DPCM 22 febbraio 2013 sulle firme e marche temporali e 3 dicembre 2013 sulla conservazione digitale). Lo scopo profondamente differente degli standard ETSI qui citati individua, come negli altri casi, la necessità di valutazioni di natura politica sull’opportunità di far convergere gli standard nazionali verso gli standard comunitari.

Un’analisi di impatto sul tema può essere utile. Naturalmente la possibile convergenza è certamente utile nello scambio di documenti sottoscritti e da conservare per un lungo periodo nel mercato interno comunitario. Meno attrattiva e indispensabile appare la convergenza per i documenti della pubblica amministrazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4