Regolamento eIDAS e standard di conservazione
Su Agenda Digitale è stato pubblicato l’articolo “Gli standard di conservazione con il regolamento eIDAS: che c’è da sapere”, a firma di Giovanni Manca. “Il lavoro di standardizzazione di ETSI in relazione all’articolo 34 del regolamento eIDAS - si legge nell’abstract - affronta nello specifico il tema della conservazione di lungo periodo delle firme digitali e dei dati, stabilendo i parametri entro cui agire correttamente”.
Una recente consultazione pubblica - scrive l’esperto in apertura - ha reso disponibile il lavoro di standardizzazione di ETSI in materia di conservazione digitale di lungo periodo, in conformità all’articolo 34 del regolamento eIDAS.
Le specifiche pur essendo nello stato di stable draft possono essere ancora modificate dal gruppo di lavoro ETSI ma la loro analisi già consente di comprendere quale saranno le regole tecniche comunitarie che renderanno applicabile il sopra citato articolo 34 del regolamento eIDAS.
Per quel lettore meno pratico di normativa comunitaria è utile ricordare che la definitiva pubblicazione degli standard non implica automaticamente alcun obbligo per gli Stati membri. Gli obblighi trans nazionali e settoriali sono stabiliti mediante atti di esecuzione della Commissione Europea in conformità al paragrafo 2 del già citato articolo 34.
L’analisi dell’articolo 34
Ciò premesso possiamo iniziare la nostra analisi riportando di seguito il paragrafo 1 dell’articolo 34:
Un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica oltre il periodo di validità tecnologica.
La lettura del testo consente di comprendere immediatamente che non stiamo conservando documenti ma firme elettroniche qualificate allo scopo di estendere l’affidabilità della firma elettronica “proteggendola” dalla scadenza dei certificati digitali, da debolezze crittografiche e altre questioni attinenti alle tecnologie utilizzate per la sottoscrizione.
Queste operazioni di validazione sono coordinate con il già pubblicato standard ETSI EN 319 102-1 recante “Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation”. Per completezza sul tema è utile citare anche un draft in fase di elaborazione; il documento ETSI EN 319 102-2 che si occupa di standardizzare i contenuti del rapporto di validazione della sottoscrizione.
Nell’ambito degli obiettivi del regolamento eIDAS in materia di LTDP (Long-Term Data Preservation) sono stati diffusi i draft:
- ETSI TS 119 511 recante “Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signatures techniques”.
- ETSI TS 119 512 recante “Protocols for trust service providers providing long-term data preservation services”.
In questa sede analizziamo solo il primo documento. Il secondo contiene i dettagli dei protocolli da utilizzare per interagire con il sistema di conservazione elettronica presentando dettagliate specifiche operative in XML e JSON.
Il documento 119 511 sviluppa i requisiti delle politiche generali per i prestatori di servizi fiduciari pubblicate nel documento EN 319 401; tale sviluppo è relativo ai requisiti di sicurezza e alle politiche organizzative in materia di conservazione di lungo periodo delle sottoscrizioni digitali e altri dati generali come dati sottoscritti o non sottoscritti. Si considera sempre l’utilizzo di tecniche di sottoscrizione digitale. La conformità è sempre relativa al regolamento eIDAS e alla totalità delle firme e dei sigilli previsti nello stesso...