Simple Signing System (S3)
Gestione dei Certificati X.509 e Firma Digitale
Simple Signing System (S3)
Gestione dei Certificati X.509 e Firma Digitale
Home > Marca Temporale
Tutte le attività umane, in quanto eventi del nostro universo fisico, sono caratterizzate dalla componente temporale: si svolgono nel tempo, e devono essere sincronizzate tra di loro, e con altri eventi del mondo circostante.
Facciamo colazione allo spuntar del sole, ci rechiamo a una riunione con altre persone a una data ora di un dato giorno, iniziamo il backup di un server solo quando tutti gli utenti del server si sono sconnessi, e cosi via.
Ognuno di noi possiede almeno un orologio, ed è nostra cura mantenerlo aggiornato. Come? Con il servizio televisivo del mattino, oppure con il servizio "Ora Esatta" delle compagnie telefoniche, o con il nostro orologio da muro sincronizzato via radio con Francoforte in Germania o con Rugby in Inghilterra.
Solo negli ultimi anni, con l'avvento di Internet, si è diffusa la sensibilità da parte degli operatori informatici di mantenere aggiornati gli orologi (clock) dei loro computer. Prima dell'avvento di Internet l'unico modo per avere il clock di un computer tarato sull'ora universale (GMT - Greenwich Mean Time) era quello di dotarsi di un ricevitore radio sincronizzato con l'Istituto Elettrotecnico Nazionale Galileo Ferraris di Torino. Con Internet si è reso disponibile il protocollo NTP (Network Time Protocol), che permette di sincronizzare il clock di ogni computer connesso a Internet con qualunque server NTP pubblico.
Mantenere sincronizzati gli orologi dei computer delle nostre reti è fondamentale per garantire la corretta Tracciabilità degli Eventi. Per gestire e proteggere correttamente e adeguatamente le nostre reti è fondamentale avere un riferimento temporale unico per i clock di tutti i computer connessi.
Ogni computer registra in varie forme gli eventi di sistema e di rete che il System Administrator ritiene importanti: connessioni, errori di configurazione, attivazione/disattivazione di servizi, eccetera.
Chi realizza pacchetti applicativi deve fornire evidenza del funzionamento e delle attività svolte dai vari programmi e dagli utenti. La registrazione degli eventi applicativi integra la registrazione degli eventi di sistema e di rete, sino ad avere una raccolta di dati globale che permette a posteriori di verificare le attività svolte e la loro correttezza.
Con la diffusione delle tecniche di Firma Digitale la corretta registrazione temporale del momento della firma di un documento è fondamentale per completare il processo di firma. Quando firmiamo un documento in modo olografo indichiamo sempre un riferimento temporale, sotto forma di data. Con la Firma Digitale il riferimento temporale viene apposto al documento firmato sotto forma di una Marca Temporale rilasciata da una entità che garantisce una data e ora certe (TSA - Time Stamp Authority), secondo lo standard internazionale RFC-3161.
Il processo è abbastanza semplice: l'apposizione di una Firma Digitale a un documento viene effettuata creando un file di tipo '.p7m' in un formato definito dallo standard internazionale PKCS7. Successivamente viene calcolata l'impronta del file firmato ('.p7m' - PKCS7) con un metodo di randomizzazione 'sha1' o 'md5'. Questa impronta (una stringa di 20 caratteri binari) viene inviata a una TSA in un messaggio definito dall'RFC-3161 (Time Stamp Request). La TSA provvede a completare la richiesta con l'ora esatta di marcatura, e a firmarla digitalmente con un proprio certificato, generando un messaggio di risposta definito dall'RFC-3161 (Time Stamp Response, ovvero la Marca Temporale), che di fatto è un file PKCS7. La marca temporale viene aggiunta al file firmato originale, generando un file di tipo '.m7m' in formato S/MIME.
Il pacchetto di Firma Digitale Simple Signing System (S3) comprende un server TSA sincronizzato con la rete NTP, utilizzabile all'interno di una azienda per erogare marche temporali interne. Tale server è realizzato con il supporto della estensione OpenTSA al pacchetto di crittografia e firma digitale OpenSSL. Per provare come funziona la marcatura temporale, è possibile accedere in rete a un server TSA di test, che opera secondo le specifiche RFC-3161, raggiungibile:
| via HTTP/HTTPS all'indirizzo | https://tsp.iaik.at/tsp/TspRequest |
| con Policy | 1.3.6.1.4.1.2706.2.2.5.2.1.1.1 |
Se volete mantenere il clock del vostro computer allineato a un server NTP in ambiente MS-Windows potete scaricare un gadget, Dimension4.
ATTENZIONE: se il vostro computer mantiene già l'allineamento NTP allora Dimension4 può non essere necessario. Ma MS-Windows allinea il tempo solo con cadenze molto lunghe: Dimension4 vi permette di stabilire esattamente la frequenza di sincronizzazione con il server NTP di vostra scelta.
Simple Signing System è un prodotto software di
Clizio Merli Consulente