AgID e firma digitale revocata – aggiornamento del 21 Dicembre 2022
L’AgID, tramite una comunicazione sul proprio sito web, ha informato che dal 2023 in Italia non saranno più utilizzabili alcuni dispositivi per la generazione di firme digitali.
In particolare, l’agenzia francese ANSSI (Agence nationale de la sécurité des systèmes d’information), organismo francese analogo al ns. AgID, ha notificato all’Agenzia per l’Italia Digitale la revoca di di 2 secure electronic signature creation devices (SSCD) e qualified electronic signature creation devices (QSCD) dall’elenco notificato alla Commissione europea.
Nel dettaglio, questi i dispositivi di firma considerati da ANSSI ormai obsoleti:
- Smart card di tipo Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual ou contact) sur composants NXP T;
- Smart card TS-CNS con chip NXP ASEPCOS-CNS v1.84 in SSCD configuration with patch PL07 on NXP P60D080PVG dual interface microcontroller T.
Quali saranno i dispositivi revocati?
Dai dati AgID risulta che sono interessati circa un milione di certificati di firma elettronica qualificata, pari al 25% dei certificati qualificati di firma digitale attivi. Le firme apposte con tali dispositivi dopo il 31/12/2022, saranno considerate quindi non valide, causa revoca del trust su catena eIDAS.
Firma digitale Namirial revocata?
Namirial ha confermato che tutti i propri dispositivi FirmaCerta non saranno interessati dalla revoca.
Come verificare se il mio dispositivo sarà revocato?
Per effettuare una verifica sul proprio dispositivo, Namirial ha messo a disposizione un apposito strumento incorporato nel nuovo software di firma Namirial Sign (che sostituisce il noto e diffuso software FirmaCerta).
N.B. Il dispositivo di firma deve essere correttamente installato sul PC per effettuare la verifica, diversamente non verrà rilevato. Il tool funziona anche con dispositivi di altro produttore.
Per procedere con la verifica, occorre innanzitutto scaricare il software di firma Namirial Sign:
Namirial Sign è il nuovo software del noto produttore di firme digitali che sostituisce la precedente applicazione denominata Firma Certa.
Con Namirial Sign è possibile firmare digitalmente in qualsiasi formato uno o più file (PadES, CadES, XadES), verificare ed aprire files firmati digitalmente, apporre marche temporali. Funziona con qualsiasi dispositivo di firma (anche non Namirial) ed è possibile utilizzare sia dispositivi fisici di firma (Token USB) che firma remota.
Per l’utilizzo del software è richiesto un account Namirial (iscrizione gratuita).
Clicca per scaricare software per Windows 32/64bit.
Il software è disponibile per Windows 7 o successivi e MacOSX 10.11 o successivi.
Una volta installato, avviare il software e cliccare sul pulsante Verifica Dispositivo (non è richiesto accesso con account Namirial per effettuare l’operazione)
La stessa funzionalità è disponibile anche sulla schermata principale del software, dopo l’accesso con account Namirial
L’esito dell’operazione verrà visualizzato dopo pochi istanti
Alcune considerazioni ed informazioni supplementari
Da una ulteriore ricerca di informazioni, risulta inoltre che:
- non vi è correlazione con la data di scadenza;
- sono diversi i Produttori di firma interessati, Namirial esclusa;
- il certificato affetto è quello di sottoscrizione (firma) non di autenticazione (accesso PolisWeb, CNS).
Qualora il dispositivo si rivelasse non conforme, dal 31 dicembre 2022 ogni documento firmato non sarebbe più attendibile (trusted) quindi il dispositivo va sostituito per tempo.
Damper Sistemi è accreditato Namirial LRA (Local Registration Authority) e distribuisce dispositivi di firma digitale Namirial FirmaCerta (Token USB) con certificati di autenticazione e sottoscrizione validi per 3 anni.
Se hai acquistato un dispositivo Namirial puoi continuare ad utilizzarlo regolarmente dopo la data del 31 dicembre 2022, ovvero fino alla naturale scadenza dei certificati. Dopo la comunicazione AgID hai scoperto che la tua firma digitale sarà revocata?
Contattaci se hai bisogno di ulteriori informazioni o se necessiti di supporto.
Aggiornamento 21 Dicembre 2022
Con una comunicazione del 21 Dicembre 2022 sul proprio sito web, l’Organismo di Certificazione della Sicurezza Informatica notifica che i dispositivi di firma indicati nella precedente comunicazione del 24 Maggio 2022 potranno continuare ad essere utilizzati fino alla naturale scadenza.