Accesso

Firme interne ed esterne - CAdES, XAdES o PAdES? Un confronto tra firme interne ed esterne. (Parte 2)

Dati XML, archivi ZIP o file di grandi dimensioni: non sempre è possibile firmarli comodamente con una firma PAdES standard. In queste situazioni, è opportuno ricorrere a una firma esterna (ad esempio XAdES o CAdES): scoprite di cosa si tratta e quando è la soluzione migliore.
CAdES, XAdES o PAdES? Confronto tra firme interne ed esterne

In una sezione precedente abbiamo descritto PAdES e XAdES. Ora è il momento di CAdES: vediamo come funzionano le firme interne ed esterne in questo formato e qual è la sua utilità in ambito commerciale.

Una firma elettronica qualificata può essere creata all'interno di un documento (firma interna) o come file separato (firma esterna). Entrambe le forme offrono lo stesso livello di sicurezza, ma sono diverse dal punto di vista tecnico e pratico.

Nella prima parte di questo articolo abbiamo descritto in dettaglio le differenze tra firme interne ed esterne utilizzando come esempi i formati PAdES e XAdES. Ora, invece, esamineremo un altro formato - CAdES - e daremo consigli pratici su quali casi sono più adatti alle firme esterne e quali a quelle interne.

Formato CAdES - Firma CMS/PKCS#7 (interna o esterna)

CAdES (CMS Advanced Electronic Signature) è un altro formato di firma qualificata, basato sullo standard Cryptographic Message Syntax (PKCS#7).

In pratica, CAdES assume solitamente la forma di una busta crittografica con estensione .p7m, .p7s o .sig, che contiene i dati firmati o i riferimenti ad essi. Questo formato è versatile in termini di tipi di file, in quanto consente di firmare qualsiasi dato binario: documenti di testo (DOC/XLS), immagini, file PDF, archivi ZIP e persino grandi set di dati o file eseguibili. Grazie a questa versatilità, CAdES viene talvolta utilizzato nella comunicazione tra sistemi informatici e in soluzioni aziendali che richiedono la firma di file non standard.

Nel caso di CAdES, può trattarsi di una firma interna (surround): in questo caso viene creato un singolo file .p7m, che contiene il documento originale insieme alla firma. Un file di questo tipo è coerente e facile da caricare come singolo elemento, ma richiede un software speciale per essere aperto (l'utente medio non aprirà un .p7m senza un'applicazione dedicata). In alternativa, CAdES può agire come firma esterna: in questo caso il file originale rimane invariato e viene generato separatamente un file di firma (ad esempio con estensione .p7s o .sig), in modo simile a XAdES. Entrambi i metodi sono conformi a eIDAS; la scelta dipende dalle vostre esigenze. Molti programmi di firma (ad esempio Certum) consentono di scegliere tra "firma esterna" o "firma interna" in formato CAdES.

Vantaggi del formato CAdES

  • Qualsiasi tipo di file - CAdES può essere utilizzato per firmare praticamente qualsiasi tipo di dati elettronici. È la scelta migliore se dobbiamo firmare un file che non può essere facilmente coperto da un altro formato (ad esempio un formato binario non standard).

  • Una sola estensione per dati diversi: un file di firma .p7m può contenere un documento di qualsiasi formato, il che facilita la standardizzazione. Che si tratti di firmare un PDF o un AVI, il risultato è un .p7m.

  • Firma compatta - CAdES genera un overhead di dati relativamente ridotto. Una firma (indipendentemente dalle dimensioni dell'originale) ha in genere una dimensione di pochi kilobyte. È efficiente in termini di memoria e veloce da verificare, grazie alla struttura binaria definita della firma.

  • Popolarità nei sistemi - sebbene sia meno probabile che gli utenti finali scelgano consapevolmente CAdES, il formato è ampiamente utilizzato all'interno di applicazioni e servizi (ad esempio, per firmare pacchetti di dati, fatture elettroniche, comunicazioni da server a server). I suoi vantaggi sono apprezzati dalle soluzioni automatizzate: ad esempio, la firma e la verifica di un gran numero di file di tabelle possono essere implementate proprio in CAdES per garantire l'efficienza.

Limitazioni del formato CAdES

  • Richiede un software di lettura dedicato: la persona che riceve il file .p7m non potrà visualizzarne il contenuto senza utilizzare un'applicazione dedicata alla verifica della firma. Per il destinatario non esperto, questo può essere fonte di confusione: il file di firma non si aprirà come un normale documento, sollevando la domanda "come faccio a firmare/leggere questo?". È necessario utilizzare uno strumento di verifica (ad esempio il programma di un fornitore di firme).

  • Nessun sigillo visibile nel documento: la firma di CAdES è completamente separata dal contenuto del documento e non offre alcuna rappresentazione grafica della firma nel contenuto stesso (non è possibile vedere la "firma" su una stampa o un'anteprima del file). Se si desidera l'effetto visivo di una firma su un documento, CAdES non lo fornirà.

  • Difficoltà con le firme multiple - in uno scenario in cui più persone devono firmare lo stesso documento, la variante interna di CAdES genera un fenomeno di "matrice". Ciò significa che ogni firma successiva crea un nuovo file .p7m, contenente il file firmato precedentemente all'interno di - buste annidate buste di firme. Di conseguenza, la gestione di più firme su un singolo documento diventa complicata (strati successivi di firme). Nel formato XAdES o PAdES il problema non sussiste: le firme possono essere aggiunte senza avvolgere il file in livelli successivi.

  • Meno popolare tra gli utenti: la maggior parte delle persone associa la firma dei PDF (PAdES) o eventualmente dei file .xml alla firma (XAdES). CAdES in formato .p7s/.p7m è meno intuitivo per l'utente medio. Di conseguenza, se si invia a una controparte un documento firmato in formato CAdES, questa potrebbe non sapere come aprirlo o verificarlo: a volte sono necessarie delle istruzioni. Pertanto, CAdES viene utilizzato più spesso in relazioni commerciali consolidate o all'interno di sistemi in cui le parti sanno come gestire una firma di questo tipo.

Quando utilizzare una firma interna e quando una esterna?

La scelta tra firma interna ed esterna dipende dal contesto di utilizzo del documento e dai requisiti del destinatario. Di seguito sono riportati alcuni consigli pratici:

  • Documenti per le persone (ad es. contratti, lettere in PDF) - Quando si invia un documento firmato a una persona che deve semplicemente leggerlo ed essere sicura della sua autenticità, la firma interna in formato PAdES è la soluzione migliore. Il destinatario riceve un unico file PDF, che può facilmente aprire e il programma (ad esempio Acrobat Reader) mostrerà immediatamente le informazioni sulla validità della firma. Questo è il modo più semplice per firmare un documento in ambito commerciale e amministrativo. Una firma esterna in questo caso potrebbe solo complicare la situazione (si dovrebbero allegare due file e spiegare come verificarli).

 

  • Documenti in formati diversi dal PDF - Se dobbiamo firmare un file non PDF, possiamo scegliere tra XAdES e CAdES. La scelta tra interno ed esterno dipende dalle circostanze. Se il documento deve essere inviato a un ufficio o a un sistema che richiede un formato specifico (ad esempio, molte piattaforme di e-government accettano solo firme XAdES come file separato per XML), allora utilizziamo una firma XAdES esterna come richiesto. D'altra parte, quando si firma, ad esempio, un file Word per uso interno all'azienda, si può prendere in considerazione una CAdES interna - verrà creato un file .p7m contenente il documento, che i colleghi verificheranno nel loro software. Tuttavia, se il destinatario di tale file potrebbe avere difficoltà ad aprire il file .p7m, un'alternativa è quella di firmare esternamente (un .sig separato) e lasciare il DOCX originale; anche in questo caso, però, è necessario assicurarsi che le due parti non siano separate.

 

  • File di grandi dimensioni - per documentidi grandi dimensioni (link) (decine di MB) si consiglia spesso di utilizzare una firma esterna. Perché? Perché con una firma interna viene creato un nuovo file contenente l'intero originale più la firma, raddoppiando la quantità di dati da trasferire e memorizzare. Una firma esterna, invece, è di dimensioni ridotte (dell'ordine di qualche decina di kB) e può essere trasferita separatamente. In pratica, i fornitori indicano che la firma esterna è più adatta a file di dimensioni superiori a ~25 MB. Per file di queste dimensioni, una firma interna potrebbe essere problematica (ad esempio, non rientrerebbe nel limite degli allegati di posta elettronica o la piattaforma si rifiuterebbe di accettare un file troppo grande). Utilizzando una firma esterna, trasferiamo il file originale di grandi dimensioni senza modifiche e la firma come file separato di piccole dimensioni, il che a volte è una soluzione pratica.

 

  • Requisiti formali e di sistema - è sempre bene verificare quali formati e tipi di firma sono accettati dal destinatario o dal sistema a cui si sta inviando il documento. Alcune istituzioni specificano esplicitamente che, ad esempio, i documenti PDF devono essere firmati con PAdES e i moduli XML con una firma XAdES esterna (file separato) o richiedono uno standard specifico (ad esempio ASiC). In queste situazioni, la decisione è imposta dai requisiti in anticipo. Fortunatamente, la maggior parte dei software di firma elettronica consente di cambiare facilmente il formato e il tipo di firma in base alle esigenze: è sufficiente selezionare le opzioni appropriate prima di firmare.

In sintesi, la firma interna funziona bene quando si apprezza la comodità di un unico file e la leggibilità(principalmente PDF/PAdES per i documenti tipici), mentre la firma esterna è indispensabile negli scenari che richiedono flessibilità - con diversi formati di file, elaborazione automatica dei dati o allegati molto grandi. Indipendentemente dal metodo scelto, comunque, entrambi i tipi di firma garantiscono lo stesso livello di sicurezza e validità legale, derivante da un certificato qualificato.

È fondamentale che il destinatario possa verificare la firma, pertanto è necessario fornire tutti i file e le istruzioni necessarie quando si utilizzano forme meno ovvie (ad esempio .xades o .p7m). Grazie a questa conoscenza, possiamo scegliere consapevolmente il formato e il tipo di firma più adatti alla situazione, garantendo sia la convenienza che la conformità.

 

Firme qualificate SimplySign e Certum Mini

In caso di dubbi o domande, vi preghiamo di contattarci

+48 22 417 05 55

Risponderemo alle vostre domande, vi troveremo una data adatta e un consulente a Danzica, Gdynia, Cracovia, Varsavia o Breslavia.

Potete anche inviarci un'e-mail podpisano.plcontatto@ . 

Controlla anche:

  • Timbri qualificati, firme qualificate

KSeF in JDG e piccola società: firma qualificata, timbro e automazione delle fatture

  • Timbri qualificati

Modalità offline KSeF: due codici QR e garanzia di autenticità della fattura (Certificato KSeF Tipo 2)

  • Timbri qualificati

Due strategie di gestione del KSeF in azienda: ZAW-FA o timbro elettronico aziendale

  • Timbri qualificati, firme qualificate

KSeF sicuro con firma qualificata – guida all'integrazione ERP per le aziende e all'invio automatico delle fatture elettroniche

Vedi tutti

Hai bisogno di aiuto?

Info
Per saperne di più Aggiungi al carrello
Info
Per saperne di più Aggiungi al carrello

Trovare ciò che si sta cercando