Avete appena ricevuto un documento firmato elettronicamente e volete verificare la validità della firma apposta? Come posso verificare che una firma elettronica su un file PDF sia valida? E come si interpretano i vari messaggi visualizzati in Adobe Acrobat Reader?
Mentre la verifica di una firma manuale può essere difficile, nel caso di una firma digitale può essere dimostrata rapidamente. Il software Acrobat Reader di Adobe consente di verificare la validità di una firma su un documento PDF. È comunque necessario comprendere e decifrare i vari messaggi che il software può visualizzare. Leggendo questo articolo, sarete in grado di capire come interpretare questi messaggi e come assicurare che una
firma elettronica
.
Che cos’è Adobe Acrobat?
Adobe Acrobat Reader è un software gratuito specializzato nell’elaborazione di file PDF. L’editore di software ha lanciato un programma privato chiamato “AATL” (Adobe Approved Trust List), il cui scopo è consentire agli utenti di verificare semplicemente le firme elettroniche. L’azienda americana ha quindi elaborato una serie di requisiti tecnici da soddisfare per essere inclusi in questa lista. Qualsiasi Autorità di Certificazione (CA) può richiedere di aderire al programma AATL presentando una domanda. L’obiettivo di questa certificazione è fornire fiducia agli utenti che utilizzano e condividono documenti firmati. Il suo scopo è anche quello di rendere più facile la comprensione della validità di una firma.
I 3 diversi codici colore
Quando si apre un PDF firmato nel software, viene visualizzato un banner direttamente nella parte superiore del documento. Fornisce informazioni sulla validità della firma. Esistono 3 diversi codici colore per distinguere i diversi stati della firma:
- Un segno di spunta verde accompagnato dal messaggio “Firmato con firme valide”.
- Un triangolo arancione con la scritta “Almeno una firma presenta un problema”.
- Una croce rossa con il messaggio “Almeno una firma non è valida”.
L’algoritmo analizza i dati del file in base a diversi criteri:
- Garantirà l’integrità del documento, ossia che il contenuto del documento non sia stato modificato dopo la firma.
- Verificherà che il certificato non sia scaduto o revocato al momento della consultazione.
Al termine di questo controllo, viene visualizzato uno dei 3 messaggi seguenti.
Desacralizzare la zecca verde
Il software visualizza un segno di spunta verde se è soddisfatto uno dei seguenti criteri:
- L’Autorità di certificazione (CA) è inserita nella lista di fiducia europea EUTL, disciplinata dal regolamento eIDAS. Si tratta solo di servizi qualificati, il livello più alto in Europa.
- La CA fa parte dell’AATL e soddisfa i requisiti tecnici imposti da Adobe.
- Il documento viene firmato utilizzando un certificato di persona giuridica (timbro del server) rilasciato sulla base di un incontro fisico o equivalente: si tratta di una firma semplice conforme a eIDAS.
Sfumatura delle zecche rosse e arancioni
Nel caso delle firme elettroniche avanzate, questo livello è suddiviso in diversi livelli di certificato. Questi includono i livelli LCP e NCP+:
- La LCP (Lightweight Certificate Policy) richiede l’autenticazione con la prova della verifica dell’identità del firmatario tramite un documento d’identità.
- NCP+ (Extended Normalized Certificate Policy) corrisponde al livello LCP, con autenticazione completata da un faccia a faccia fisico o equivalente e da un dispositivo HSM.
Questi diversi livelli di firma avanzata sono certificati e quindi conformi al regolamento eIDAS. Tuttavia, una firma LCP avanzata può far scattare una spunta rossa o arancione, anche se rispetta rigorosamente il regolamento europeo che la disciplina. Se l’OID (signature policy identifier) del certificato utilizzato non è elencato nell’AATL, il software visualizza una croce rossa. Quest’ultimo caso non significa necessariamente che ci sia un problema di integrità della firma; potrebbe essere perfettamente valida dal punto di vista crittografico.
Questo vale anche per una firma semplice, che può essere valida e riconosciuta come tale da un tribunale francese, ma che in Acrobat ha un segno di spunta rosso.
Se il certificato è scaduto e la firma non è stata convalidata a lungo termine (cioè non contiene i dati di revoca del certificato), il software visualizza un triangolo arancione. Il documento potrebbe aver visualizzato in precedenza un segno di spunta verde, ma solo temporaneamente: si tratta di un segno di spunta verde effimero.
Le zecche rosse e arancioni devono quindi essere qualificate e possono riguardare firme perfettamente valide. Ma i messaggi rossi possono anche riguardare certificati contenenti errori: quando il documento è stato modificato dopo l’apposizione della firma, o quando il timestamp non è presente.
Per decifrare le ragioni della comparsa di un messaggio rosso o arancione, dobbiamo esaminare i dati del documento in modo più dettagliato.
Controllare le proprietà
Per verificare i dettagli del certificato utilizzato :
1. Primo passo, aprire il file PDF
2. Nel pannello di sinistra, selezionare l’icona della piuma, quindi dispiegare le informazioni e fare clic sulla freccia.
3. Ultimo passo, fare clic su “dettagli del certificato”.
4. Viene visualizzata una finestra che mostra le informazioni contenute nel certificato del firmatario.
È possibile ottenere informazioni anche facendo clic con il tasto destro del mouse sulla firma e poi su “Visualizza proprietà della firma”. Nel caso di una croce rossa, può sembrare importante controllare le informazioni dettagliate sui certificati. Possiamo assicurarci che il documento non sia stato modificato da quando è stato firmato o che contenga una marca temporale. È anche possibile convalidare manualmente la firma nella scheda Approvazione. La croce rossa diventa immediatamente un segno di spunta verde.
Per verificare la configurazione del software e assicurarsi che l’elenco degli attendibili sia aggiornato :
- Nel pannello Modifica, selezionare Preferenze
- Selezionare la categoria “Gestione approvazioni”.
- Aggiornare l’AATL.
In alcuni casi, il software richiede l’approvazione manuale della firma e visualizza il seguente messaggio: “È necessario convalidare almeno una firma, compilare il seguente modulo”.
I limiti del programma AATL
Nonostante l’ambizione del programma e il suo desiderio di rendere più semplice e chiaro il controllo dello stato di una firma elettronica, esso presenta una serie di limiti di cui dovremmo essere consapevoli.
Ricordate che questo programma è gestito da una società privata, che non garantisce la validità legale della firma digitale. Due firme che forniscono prove identiche, di cui solo una fa riferimento all’AATL, avranno lo stesso valore legale ma potenzialmente dimostreranno differenze in Adobe Acrobat.
Il codice colore visualizzato non è quindi garanzia di sicurezza. Semplicemente, facilita la lettura di una firma elettronica, che a volte può essere complessa. Il valore legale di una firma non può essere messo in discussione solo da questa interpretazione.
I messaggi rossi e arancioni non indicano necessariamente un problema di integrità della firma. Infine, il possesso di un contrassegno verde è positivo e dimostra una firma valida, ma può essere il retaggio di norme meno restrittive che non possono essere annullate (AATL V1).
Terza parte affidabile e riconosciuta come Autorità di Registrazione e Certificazione, Netheos e il il gruppo NAMIRIAL offrono soluzioni di firma elettronica conformi al offrono soluzioni di firma elettronica conformi al RGS (Référentiel Général de Sécurité), ai requisiti del regolamento eIDAS e sono state convalidate dall’elenco di fiducia di Adobe.
Elenco di fiducia Adobe
.