Verifica della firma digitale

La sottoscrizione con firma digitale di un documento informatico (file con estensione .p7m) permette di mantenerne l'integrità del contenuto e l'autenticità della provenienza.

L'Università di Genova, in collaborazione con Telecom Italia, fornisce un servizio di firma digitale per i documenti PDF.

Aspetto dei documenti PDF con firma digitale

I documenti .pdf firmati vengono "imbustati" dentro un altro file con estensione .p7m (formato MIME PKCS#7).

Poiché il file .p7m non sono gestiti automaticamente da Microsoft Windows, se non installando un apposito programma, appaiono con l'aspetto di un file generico con il nome che termina in .pdf.

icona di un documento PDF con firma digitale

Ovviamente, queste considerazioni non valgono per sistemi Mac e Linux o se si è disattivata da Windows l'impostazione "Nascondi le estensioni per i tipi di file sconosciuti".

Mozilla Thunderbird e i file .p7m

Il programma di posta Mozilla Thunderbird non tratta correttamente i file .p7m, come segnalato dal bug n. 243833. L'effetto è che i messaggi di posta con un allegato .p7m vengono mostrati come se fossero privi di allegati e non vengono mai marcati come già letti. Il problema è specificatamente legato al formato stabilito alla legislazione italiana (esiste una discussione in merito nel forum italiano di Mozilla).

Una possibile soluzione è l'installazione dell'estensione Smart P7M Support (in italiano), consapevoli dei limiti che l'uso di estensioni non ufficiali comporta in termini di sicurezza.

Dovendo invece inviare un file con firma digitale, è meglio spedirlo come file compresso .zip, per essere certi che il destinatario sia in grado di scaricarlo.

Verifica della firma

La verifica della firma digitale controlla che il file non sia stato alterato e che il certificato del firmatario sia stato rilasciato da un'autorità fidata.

Per verificare i file .p7m è possibile usare il programma gratuito Dike di InfoCert, disponibile per Microsoft Windows, Mac OS e Linux. Il riferimento alle Smart Card della documentazione si può ignorare se l'uso del programma è solo la verifica della firma e non l'apposizione della stessa.

Un'alternativa per la sola piattaforma Windows è DigitalSign Reader di CompEd.

Infine, per ncessità di automazione, è sempre possibile usare i tool a riga di comando, come OpenSSL:


$> openssl smime -in doc.PDF.p7m -verify -inform DER -CAfile it-telecom.pem -out doc.pdf
Verification successful

I certificati aggiornati delle Autorità di Certificazione (in questo esempio, IT Telecom) sono reperibili sul sito di DigitPA (già CNIPA), alla voce lista dei certificati, e scaricabili con WinZip o programmi simili.

Apertura del documento

Una volta accertata l'integrità del documento e l'autenticità della firma, il documento PDF può essere letto in vari modi.

La struttura dei file .p7m è fatta in modo che in molti casi (es. file PDF e Zip) sia possibile aprire il file con il programma usuale senza che la firma interferisca. Nel caso dei documenti PDF firmati, quindi, è sufficiente aprire Acrobat Reader o il proprio programma preferito per la lettura dei PDF e da lì aprire il file .p7m, eventulmente selezionando l'opzione "Tutti i file" per visualizzare il documento nell'elenco.

aprire un documento PDF con firma digitale da Acrobat

In alternativa, il documento può essere "deimbustato" dal programma di verifica della firma. Questa soluzione è però inadeguata alla conservazione a lungo termine, perché il documento potrebbe essere alterato in seguito, ad esempio da un virus, senza possibilità di un nuovo controllo.