software per la gestione integrale delle applicazioni di firma digitale

0001111100000001110101010100111110010101100101011000000111111001011001110110110000011010100001
software per la gestione integrale delle applicazioni di firma digitale
0101011110101010111101010000111101011001101011100110101111001110111101101110101110011011010110
1011101010110110111000000011111100110000011000000001111100010111110000111010101100011010111100
1100001111000101101010101011010110111000101010100000010101011110010101110001101011100110101110
0111000001110000111010101111000011110000011110001110011001111100000001110101010100111110010101
1001010110000001111110010110011101101000001101010000101010111101010101111010100001111010110011
0101110011010111100111011110110111010111001101101011010111010101101101110000000111111001100000
110000000011111000101111100001110100011111000001110101010100111110010101100101011000000111111
0010110011101101110000011010100001010101111010101011110101000011110101100110101110011010111100
1110111101101110101110011011010110101110101011011011100000001111110011000001100000000111110001011111
0000111010101100011010111100110000111100010110101010101010110111000101010100000010101011110010101110
0011010111001101011100111000001110000111010101111000011110000011110001110011001111100000001110101010
1001111100101011001010110000001111110010110011101101000001101010000101010111101010101111010100001111
0101100110101110011010111100111011110110111010111001101101011010111010101101101110000000111111001100
0001100000000111110001011111000011101000011111000000011101010101001111100101011001010110000001111110
0101100111011011000001101010000101010111101010101111010100001111010110011010111001101011110011101111
0110111010111001101101011010111010101101101110000000111111001100000110000000011111000101111100001110
10101100011010111100110000111100010110101010101101011011100010101010000001010101111001010111000110
1011100110101110011100000111000011101010111100001111000001111000111001100111110000000111010101010
0111110010101100101011000000111111001011001110110100000110101000010101011110101010111101010000111
1010110011010111001101011110011101111011011101011100110110101101011101010110110111000000011111100
1100000110000000011111000101111100001110100011111000001110101010100111110010101100101011000000111
1110010110011101101110000011010100001010101111010101011110101000011110101100110101110011010111100
111011110110111010111001101101011010111010101101101110000000111111001100000110000000011111
000101111100001110101011000110101111001100001111000101101010101010101101110001010101000000
101010111100101011100011010111001101011100111000001110000111010101111000011110000011110001
1100110011111000000011101010101001111100101011001010110 00000111111001011001110110100000110
10100001010101111010101011110101000011110101100110101110011010111100111011110110111010111
00110110101101011101010110110111000000011111100110000011000000001111100010111110000111010
Signum è il software della solinfo per la gestione
integrale delle applicazioni di firma digitale ai
documenti informatici.
Nella postazione di produzione di un documento, Signum consente ad un operatore
utente, facendo uso di un apposito dispositivo (smartcard o tokenUSB) che sia
associato ad un certificato digitale emesso da un’autorità competente, di apporre
la propria firma digitale al documento informatico stesso, quest’ultimo definito
come qualunque oggetto informatico che contenga atti, fatti o dati giuridicamente
rilevanti. Inoltre esso può essere utilizzato per la cifratura a chiave asimmetrica del
documento, al fine della sua trasmissione via rete al legittimo destinatario (del quale
sarà recuperata e adoperata la chiave pubblica).
Nella postazione di ricezione di un documento, invece, Signum consente la decifratura
dello stesso facendo uso della chiave privata del destinatario (comprovandone in tal
modo l’identità), nonché la verifica della firma digitale originariamente apposta al
documento e l’integrità del medesimo.
il certificato digitale e la Certification Authority
Il certificato digitale è un’insieme di informazioni che creano una stretta ed affidabile
correlazione fra una chiave pubblica e i dati che identificano il titolare del certificato stesso
(cioè il soggetto cui sono attribuite le firme digitali generate attraverso una determinata
chiave associata ad un determinato certificato).
Viene emesso da una Certification Authotity (autorità di
certificazione) riconosciuta secondo standard internazionali
e viene firmato con la chiave privata dell’autorità medesima.
Tale ente rilascia il certificato digitale associandolo ad un
dispositivo di firma (esempio: una smartcard).
la verifica della firma digitale
La verifica della firma digitale apposta ad un documento informatico consente di avere la
garanzia di autenticità, integrità e provenienza dello stesso.
La firma digitale viene apposta ad un documento informatico al fine di garantirne autenticità,
integrità e provenienza. Il documento firmato digitalmente ha lo stesso valore legale del
documento cartaceo con firma autografa.
La procedura di verifica della firma digitale apposta ad un documento consiste sostanzialmente nel comprovare che:
• il documento non sia stato modificato dopo la firma;
• il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori;
• il certificato del sottoscrittore non sia scaduto;
• il certificato del sottoscrittore non sia stato sospeso o revocato.
la firma digitale
l’utilità della firma digitale
la firma digitale in sanita’
La firma elettronica è un insieme di dati in
forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di
autenticazione informatica. La firma digitale
è una particolare tipo di firma elettronica
qualificata (e cioè ottenuta attraverso una
procedura informatica che garantisce la
connessione univoca al firmatario) basata
su un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro.
La firma digitale è utile nel momento in cui è
necessario sottoscrivere una dichiarazione
ottenendo la garanzia di integrità dei dati
oggetto della sottoscrizione e di autenticità
delle informazioni relative al sottoscrittore.
Il documento firmato digitalmente ha lo
stesso valore legale del documento cartaceo
con firma autografa.
L’utilizzo della firma digitale in sanità va notevolmente diffondendosi. Spesso però ci si
trova di fronte a consistenti problemi di gestione della stessa, soprattutto per quanto attiene
l’interfacciamento fra dispositivo di firma (smart-card) e il software di riconoscimento, a
causa delle frequenti modifiche a cui sono rispettivamente assoggettati.
Essa consente al titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l’integrità
di un documento informatico o di un insieme di documenti
informatici. La firma digitale deve essere creata con
mezzi sui quali il firmatario può conservare un controllo
esclusivo e deve essere collegata ai dati ai quali si riferisce,
in modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la
creazione della firma stessa.
Una chiave pubblica è una chiave crittografica utilizzata in
un sistema di crittografia asimmetrica; ogni chiave pubblica
è associata ad una chiave privata. La caratteristica dei
crittosistemi asimmetrici è che ogni coppia di chiavi è formata
in modo tale che ciò che viene cifrato con una, può essere
decifrato solo con l’altra. La “chiave privata” è la chiave
della coppia utilizzata nel processo di sottoscrizione di un
documento informatico, la “chiave pubblica” (utilizzabile anche
su un canale potenzialmente non sicuro, come e-mail, tramite
pagina web ecc.) è quella utilizzata da chiunque esegua la
verifica di una firma digitale.
Il documento informatico, dopo la sottoscrizione, non può
essere modificato in alcun modo in quanto, durante la procedura
di verifica, eventuali modifiche sarebbero riscontrate. Solo
il titolare del certificato può aver sottoscritto il documento
perché non solo possiede il dispositivo di firma (smartcard/
tokenUSB) necessario, ma è anche l’unico a conoscere il PIN
(Personal Identification Number) necessario per utilizzare il
dispositivo stesso. Quanto sopra espresso, associato al ruolo
del Certificatore che garantisce la veridicità e la correttezza
delle informazioni riportate nel certificato (dati anagrafici
del titolare), conferisce allo strumento “firma digitale”
caratteristiche tali da non consentire al sottoscrittore di
disconoscere la propria firma digitale (fatta salva la possibilità
di querela di falso).
Può infatti capitare che il software che sovrintende alla gestione
della firma digitale non riconosca la smart-card dell’interessato,
perché tale software è fornito da una Certification Authority
diversa ed incompatibile con quella che invece ha emesso la
smart-card in possesso dell’interessato stesso.
In altri casi può accadere che l’interessato abbia ricevuto una
nuova smart-card emessa dalla stessa Certification Authority
che a suo tempo consegnò la smart-card originaria, ma che
la stessa Certification Authority abbia nel frattempo adeguato
le nuove smart-card per renderle conformi alle variazioni
normative, senza che il componente che riconosce la smart
card sia ancora stato adeguato alla nuove specifiche.
La favorevole situazione italiana, se da una parte rappresenta
senza dubbio una enorme opportunità per la smaterializzazione
dei documenti oggi cartacei (realizzando così un notevole
snellimento nella gestione delle procedure), dall’altro ha
anche visto il susseguirsi di continui adeguamenti normativi e
il proliferare di Certification Authority.
Oggi esistono delle forti incompatibilità tra smart-card generate
da Certification Authority emettitrici di smart cards. Tutto ciò
ha notevolmente acuito le problematiche sopra illustrate.
la soluzione signum
La solinfo propone, come soluzione a tutti i problemi di gestione della firma digitale,
il proprio software Signum, che è essenzialmente un applicativo che si frappone tra le
applicazioni di gestione documentale e i vari software proposti dalla varie Certification
Authority. Esso è utilizzabile sia in applicazioni Windows che in quelle Web Based.
E’ Signum che si prende carico di gestire i rapporti informatici
con i vari standard, normalizzandoli per le singole applicazioni.
In questo modo, ad esempio, se all’interno di un laboratorio
analisi i vari medici firmano con smart-cards rilasciate da
diverse Certification Authority o smart-cards di versioni
diverse della stessa Certification Authority, il software
gestionale di laboratorio non è in alcun modo chiamato
in causa, dato che si limita al dialogo con Signum, il quale
prende totalmente a carico le problematiche di integrazione
con le suddette smart-cards.
Oggi Signum è utilizzato da gran parte delle principali
software house italiane ed estere che producono applicativi
per la gestione del laboratorio analisi, delle radiologie, delle
anatomie patologiche, delle microbiologie e di altri servizi dei
dipartimenti di diagnostica. Esso viene anche ampiamente
utilizzato all’interno di software di cartella clinica, di Pronto
Soccorso, di CUP, nonché in sistemi di conservazione
sostitutiva dei documenti e in sistemi per l’accesso on-line alle
informazioni sulla storia clinica dei pazienti (come nel caso del
fascicolo elettronico del paziente).
concept & graphic design_stefanoserafini.com
la tecnologia - le 3 macro componenti
Signum componente
ActiveX COM
Signum Applicazione
Autonoma
Signum
Java
E’ un componente software
integrabile in ogni applicazione
Windows che supporti questo
tipo di tecnologia.
E’ una applicazione software
che è in grado di prendersi
in carico un documento presente sul file system e di
firmarlo, spostandolo su di
un’altra cartella.
E’ un software (integrabile in
applicazioni web lato server
o applicazioni J2EE) che
permette di operare tutte le
attività relative alla verifica
della firma per fare in modo
che non sia necessario installare alcunché sul lato client.
Esso è utilizzabile per la generazione
della firma digitale attraverso una
applicazione Web Based. Il componente
gestisce l’accesso alla eventuale lista di
revoca predisposta dalla Certification
Authority, per tenere traccia di quelle
che sono i certificati revocati. Esso
supporta la generazione di documenti
firmati secondo la normativa vigente in
Italia, utilizzando lo standard PKCS#7
sia in formato binario che ASCII. Viene
gestita dal componente sia la firma
singola che una eventuale catena di firme
da applicare al documento, (esempio:
livelli multipli di approvazione della
cartella clinica). Esso amministra tutte le
problematiche di sicurezza relative alla
cifratura con chiave simmetrica o con
chiave asimmetrica, al fine di garantire
la sicurezza sulla consegna ad un
predefinito destinatario. Viene garantita
la compatibilità con la Carta Nazionale
di Servizi (CNS) utilizzabile come una
normale smart card di firma.
Questa applicazione effettua l’autenticazione dell’utente attreverso l’introduzione
del codice PIN. Inoltre gestisce eventuali
time out di inutilizzo, bloccando usi non
autorizzati, richiedendo nuovamente il
codice PIN. I casi di utilizzo di questa
procedura sono tutti quelli in cui ci sia la
necessità di generare documenti con firma
digitale, ma per vari motivi non sia possibile
realizzare una integrazione profonda tra
“Signum Componente” e l’applicazione
terza, come ad esempio accade quando
si riscontra l’impossibilità tecnica di
modificare le procure documentali o
l’incompatibilità di piattaforme software.
In queste situazioni, utilizzando “Signum
Applicazione Autonoma” si riesce ad
ottenere il risultato sperato anche nelle
predette particolari situazioni.
I nomi degli operatori e degli utenti/pazienti riportati nelle schermate e negli
esempi, sono frutto di immaginazione. Ogni riferimento a fatti reali e/o a
persone è del tutto casuale. Tutti i diritti riservati. Nessuna parte del presente
opuscolo può essere copiata, riprodotta, tradotta o convertita in qualsiasi
formato elettronico o meccanico senza la previa autorizzazione scritta.
Questo componente è studiato per gestire
grossi volumi di dati ed un elevato numero
di accessi. Come “Signum Componente”,
può essere facilmente integrato in applicazioni esistenti per sfruttare in modo
semplice le sue funzionalità.
I marchi citati nella presente pubblicazione che non appartengano alla
Solinfo s.r.l. sono di proprietà dei legittimi titolari. Il loro uso è stato
effettuato a fini esclusivamente descrittivi, non implicando o sottintendendo
l’esistenza di alcun collegamento, di natura societaria o contrattuale, tra la
Solinfo s.r.l. stessa e le società o i soggetti titolari di tali marchi.
Solinfo s.r.l. · 36100 VICENZA · Via dell’Edilizia, 19
tel. 0444.962.966 · fax 0444.963.936 · www.solinfo.it