MultiMedia IT

1 - Le marche temporali di Infocamere del 2007

Secondo alcuni (per correttezza non faccio nomi) le marche temporali emesse da Infocamere nel 2007, hanno un problema di incoerenza.

L'Issuer del certificato (sarebbe la certification autority che ha emesso il certirficato digitale di sottoscrizione della marca temporale) e il contenuto del campo IssuerSerial che si trova nell'attributo SigningCertificate sono incoerenti.

Se così fosse tutte le marche temporali emesse da Infocamere in tale periodo non sarebbero valide con conseguenze disastrose.

Sarebbero anche tutti sbagliati i software di verifica che riconoscono come valide tali marche temporali. Considerato che questo scenario è alquanto improbabile, non resta altro da pensare che (come spesso accade) chi ha fatto tali affermazioni si è semplicemente sbagliato e invece di approfondire ha scaricato il suo errore sugli altri.

2 - Accesso con smart card al sito dell'Agenzia delle Entrate

Altro fatto del giorno , ho due firme digitali (ora 3). Una di Infocamere che sta per scadere, difatti ogni volta che la uso mi viene segnalata la prossima scadenza e mi viene proposto di rinnovarla, peccato che quando attivo la funzione di rinnovo dei certificati, il software si accorge che si tratta di una smart card vecchia e che non si può più rinnovare . Ma non potrebbero fare il controllo PRIMA di propormi il rinnovo ?

La secondo è un token di Aruba (Actalis)

Volevo attivare l'accesso con smart card al sito dell'Agenzia dell'Entrate e, visto il problema di cui sopra, ho provato ad utilizzare il token di Aruba. Peccato che il sito non riconosce la CNS inserita nel token di Aruba e lo considera non corretto. Ho scritto ad Aruba ma non ho avuto risposta.

Ieri sono andato ad acquistare un'altra firma digitale, vista la vicinanza ho preso quella di Namirial, m quando ho provato ad accedere al sito dell'Agenzia ho avuto lo stesso errore che ha generato Aruba.

3 - Il motivo di tale errore

scopro solo ora che i certificatori non possono rilasciare carte CNS ma rilasciano delle CNS like , in pratica una certificato per ora inutile.

4 - Richiesta del duplicato del codice fiscale

Mi sono registrato al sito dell'Agenzia delle Entrate perchè volevo richiedere il duplicato del codice fiscale che ho smarrito. Bene tale possibilità non esiste. Pur avendo 3 smart card con firme digitali la richiesta del duplicato del codice fiscale va presentata allo sportello fisico.

Alla fine di questa mezza giornata mi sono chiesto :

MA CHE PAESE ABBIAMO COSTRUITO IN QUESTI ANNI ?

Volevo registrarmi al sito dell'Agenzia utilizzando la smart card (token) di Aruba , ma stranamente ottengo questo errore.

Si è verificato un problema durante la registrazione.
La CNS inserita non risulta conforme allo standard e pertanto non può essere abilitata. Per maggiori chiarimenti si prega di contattare il certificatore che ne ha effettuato il rilascio.

Se avete test diversi e ce lo comunicate vi saremo grati.

Le impronte dei documenti informatici e quelle usate per la firma digitale e la marca temporale, dal 1' gennaio di quest'anno sono realizzate in formato sha 256.

Negli anni precedenti si utilizzava l'algoritmo sha1 ormai lo sapete visto che se n'è parlato parecchio.

La comunicazione delle impronte relative agli archivi informatici di documenti fiscalmente rilevanti prevista dal DM 23/01/2004 e regolata dal Provvedimento dell'Agenzia delle Entrate n. 2010/143663  va inviata per i documenti del periodo fiscale 2010 e per quelli precedenti.

Dunque tutti i precedenti sono in formato sha1 e quelli più vecchi hanno anche i certificati di emissione scaduti (il certificato di emissione delle marche ha durata di 4 anni)

Se si invia una comunicazione contenente tali tipologie di marche temporali, accade che il programma di verifica delle marche temporali dice che sono valide, ma il servizio di ricezione delle comunicazioni dice che non sono valide.

Abbiamo avvisato tutti da tempo ma sembra che la cosa non interessi a nessuno. Siccome ci risulta che ci siano in giro centinaia di migliaia di impronte calcolate in questo modo, con il prossimo aggiornamento proporremo a tutti i nostri clienti di fare un "calcolo preventivo" delle comunicazioni da generare e di comunicarci il risultato via internet.

Sarà una operazione velocissima che vi richiederà solo due click e sarà l'occasione per verificare che i supporti sono tutti in linea.

Riteniamo che il calcolo vada fatto su tutti gli archivi relativi a documenti fiscali a partire da quelli relativi ai documenti fiscali del periodo 2006 .

La situazione attuale è ben rappresentata dalla immagine che trovate sotto.

Per coloro che effettuano la conservazione delle fatture e che hanno numerose impronte per ogni anno, stiamo predisponendo la gestione delle super impronte. Queste le potete già calcolare con le utilità presenti nel comando ArchiMaster , funzione Gestione Impronta universale. Quello che verrà aggiunto sarà un archivio per la conservazione e la possibilità di generare automaticamente comunicazioni dalla super impronta.

L'archivio sarà unico quindi in caso di consegna delle super impronte ai clienti si dovrà provvedere a generare estratti per ditta.

Cosa accade oggi con le impronte sha1

Capisco che la pubblicità è l'anima del commercio e che per un giornale, pubblicità significa anche titoli altisonanti ma quello che ho letto oggi sul sole 24 ore mi fa veramente arrabbiare.

La legge

Il 31 ottobre è stato pubblicato un decreto "Proroga del termine che autorizza l'autocertificazione circa la rispondenza dei dispositivi automatici di firma ai  requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei  Ministri 30 ottobre 2003. (11A14291) (GU n. 254 del 31-10-2011 )

Il Contenuto

In sostanza dice che gli HSM utilizzati per la firma remota, possono essere utilizzate se, alla data del 1' novembre (cioè il giorno dopo) i "dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) .."

Ovvio che non tutti avevano la procedura in corso o avevano ottenuto la certificazione quindi tutti questi dispositivi oggi sarebbero fuori legge e di conseguenza le firme generate non sarebbero valide.

Cosa dice il sole 24 ore

il Sole afferma "Il problema riguarda le sottoscrizioni digitali rilasciate attraverso dispositivi automatici e la certificazione di questi ultimi. Si tratta praticamente di quasi tutte le firme  elettroniche che circolano sul mercato, perché quelle che ricorrono alla smart card rappresentano un'esigua minoranza."

Su che basi viene fatta una simile affermazione

Io conosco 1700 utenti che usano la smart card e i token e 1 solo centro servizi che usa l'Hsm.
Aggiungo che ho notizia che c'è 1 solo produttore di HSM che è rimasto escluso anche se mi risulta essere il più diffuso.       

Per cui chi ha smart card

Può continuare a firmare tranquillamente tutto e non prestare attenzione a queste cose. Chi usa gli HSM, impari a scegliere meglio il fornitore (La presunzione nei tecnici è default)            

A chi fa le norme però va detto che

Non si può andare avanti così, datevi una regolata