Ringrazio Matteo Agrizzi di Selda Informatica (Chiavari GE) perchè ieri, spaventatissimo, ci ha chiamato pensando che ci fosse qualche cosa di sbagliato nei programmi e che le firme digitali fossero non valide, dandoci lo spunto per pubblicare una delle tante verifiche che facciamo periodicamente.
Tra certificati, algoritmi, smart card, token, norme e contronorme, in 12 anni di uso della firma digitale di cose ne sono cambiate parecchie e "raccapezzarci" non è facile specialmente se si va indietro nel tempo.
Gli elementi che concorrono alla verifica sono diversi e a volte gli "avvisi" generati dai programmi sono un pò ermetici.
Proviamo a fare la verifica delle firme e delle marche temporali del 2005. Ovviamente diremo il peccato e non il peccatore.
Programma 1 - Tutto ok , se visualizziamo il certificato segnala che è scaduto ma non per questo la marca risulta non valida. Anche la firma risulta valida (immagini prova 1)
Programma 2 - Con la marca tutto ok , la scadenza del certificato è riportata ma non viene evidenziato che è scaduto. Con la firma abbiamo una segnalazione strana , firma non valida perchè basata sull'algoritmo sha1. Nel 2005 era quello l'algoritmo valido. Potendo cambiare la data di verifica, inseriamo il 2006. Verifica completata correttamente ma la scritta rossa rimane (immagini prova 2)
Programma 3 - Del file marcato non ne vuole sapere (probabilmente non supporta i tsr), la verifica della firma è corretta, firma valida certificato scaduto. (immagini prova 3)
Programma 4 - Sostanzialmente corretto in tutte le verifiche (Immagine prova 4)
Passiamo alle verifiche "on line" cioè quelle che si possono effettuare inviando a server esterni il file da veriicare.
Prova on line 5 - Ottima, tutto verificato e segnalato correttamente con abbondanza di informazioni (immagini prova 5)
Prova on line 6 - Segnalato direi correttamente, pochi dettagli ma funziona (Immagini prova 6)
Prova on line 7 - La verifica della marca non c'è, per la firma più o meno i risultati di Programma 2, le segnalazioni non sono chiare e fanno pensare ad un documento non valido. Non si tratta dello stesso certificatore del programma 2. (Immagini prova 7)
Tutti i test sono stati effettuati il 4 ottobre2011 tra le ore 10 e le ore 11.