Come funziona la firma digitale: la tecnologia dietro le quinte
Chiavi crittografiche, certificati, hash e marche temporali: ecco come si crea, si verifica e si conserva una firma digitale conforme a ZertES/eIDAS.
La firma digitale è un meccanismo crittografico che lega in modo univoco un firmatario a un documento, garantendo integrità, autenticità e non ripudio. In Svizzera ed UE, i livelli AES e QES forniscono valore probatorio elevato e, nel caso QES, equivalenza alla firma autografa.
Coppia di chiavi e certificati X.509
Ogni firmatario dispone di una coppia di chiavi (privata/pubblica). La chiave privata firma; la chiave pubblica verifica. Un certificato X.509, emesso da un’autorità di fiducia (QTSP), collega la chiave pubblica all’identità del firmatario. La catena di certificazione consente ai programmi (es. i lettori PDF) di fidarsi della firma.
Hash del documento
Prima di firmare, il documento viene trasformato in un digest con una funzione di hash (es. SHA-256). Anche una minima modifica al file cambia l’hash: per questo l’hash è la base per rilevare manomissioni.
Creazione della firma: AES e QES
- AES: l’hash viene cifrato con la chiave privata del firmatario. Si registrano metadati (timestamp, IP, user agent) nell’audit trail per rafforzare l’attribuzione.
- QES: identità verificata da QTSP; la chiave privata risiede in un HSM o dispositivo qualificato. La firma è accompagnata da un certificato qualificato e spesso da marca temporale.
Scelta del livello: consulta differenza tra SES, AES e QES e, per Svizzera, la legge ZertES.
Verifica e validazione nei PDF
Nei PDF, le firme sono incorporate come signature dictionary con certificati e, se presenti, marche temporali. All’apertura, il visualizzatore:
- Ricalcola l’hash delle parti firmate e lo confronta con quello firmato.
- Verifica la catena di certificazione fino a una radice fidata.
- Mostra lo stato della firma (valida/invalida) e i dettagli del certificato.
La validazione a lungo termine (LTV) archivia anche CRL/OCSP per verificare la revoca in futuro.
Marca temporale e dossier probatorio
La marca temporale attesta data e ora certe, rilasciate da un servizio fidato. Insieme a audit trail, hash e certificati, costituisce il dossier probatorio per ispezioni e contenziosi.
Sicurezza: HSM, SSO e gestione del ciclo di vita
- HSM per proteggere la chiave privata (soprattutto in QES).
- SSO/2FA per l’accesso degli utenti e controllo del consent.
- Rotazione certificati, logging e segregazione dei ruoli.
- Cifratura dei dati a riposo e in transito, hardening e monitoraggio.
Conformità: ZertES, eIDAS e GDPR/DSG
Per massima validità, usa livelli e processi coerenti con eIDAS e ZertES. Il trattamento dei dati personali deve rispettare GDPR/DSG (minimizzazione, base giuridica, retention, diritti degli interessati).
FAQ – Come funziona la firma digitale
La firma digitale modifica il documento?
No: si calcola un hash del contenuto e si firma il digest. Qualsiasi modifica successiva rende la firma non valida.
Che differenza c’è tra AES e QES a livello tecnico?
AES lega identità e documento con forte prova tecnica; QES aggiunge certificati e dispositivi qualificati gestiti da QTSP, con massima affidabilità legale.
Come si verifica una firma in un PDF?
Il lettore PDF ricalcola l’hash, verifica la catena di certificazione e mostra lo stato della firma. Con LTV conserva informazioni OCSP/CRL per controlli futuri.
Serve sempre la marca temporale?
Non sempre, ma è consigliata per validità di lungo periodo e per rafforzare la prova di data e ora della firma.
Implementa firme digitali in modo sicuro
Prova gratuitamente SignnTrack – AES/QES, audit trail e verifica nei PDF, conforme a ZertES/eIDAS.
Prova gratuitaConclusione: La firma digitale combina hash, crittografia asimmetrica, certificati e marca temporale per offrire prova tecnica e legale robusta. Con policy corrette e strumenti affidabili, ottieni velocità, sicurezza e conformità duratura.