Pianificare le impostazioni della firma digitale per Office 2010
Si applica a: Office 2010
Ultima modifica dell'argomento: 2015-03-09
È possibile firmare digitalmente i documenti utilizzando Microsoft Excel 2010, Microsoft PowerPoint 2010 e Microsoft Word 2010. È inoltre possibile aggiungere una riga della firma o un indicatore di firma utilizzando Excel 2010, Microsoft InfoPath 2010 e Word 2010. In Microsoft Office 2010 è incluso il supporto di XAdES (XML Advanced Electronic Signatures), che è un insieme di estensioni dello standard XML-DSig, supportato per la prima volta in Microsoft Office System 2007.
Contenuto dell'articolo:
Che cos'è una firma digitale?
Certificato digitale autofirmato o emesso da Autorità di certificazione
Utilizzo delle firme digitali
Che cos'è una firma digitale?
È possibile firmare digitalmente un documento più o meno per gli stessi motivi per cui si appone una firma a mano su un documento cartaceo. Una firma digitale contribuisce infatti ad attestare l'identità del creatore di informazioni digitali, quali documenti, messaggi di posta elettronica e macro, mediante l'utilizzo di algoritmi di crittografia.
Le firme digitali si basano su certificati digitali, i quali sono strumenti di verifica dell'identità emessi da una terza parte attendibile, nota come Autorità di certificazione (CA). Tale meccanismo è perciò analogo all'utilizzo di documenti d'identità stampati. Ad esempio, una terza parte attendibile, quale un ente pubblico o un datore di lavoro, rilascia documenti d'identità come patenti di guida, passaporti e libretti del lavoro che possono essere utilizzati per verificare che un individuo sia effettivamente la persona che dichiara di essere.
Funzione delle firme digitali
Le firme digitali sono utili per applicare le misure di autenticazione seguenti:
Autenticità La firma digitale e il relativo certificato digitale sottostante assicurano che il firmatario abbia l'identità che sostiene di avere. In questo modo si impedisce che altri fingano di essere i creatori di un determinato documento (l'equivalente di un falso per un documento stampato).
Integrità La firma digitale garantisce che il contenuto non sia stato modificato o manomesso dopo che è stato firmato digitalmente. In questo modo si impedisce che i documenti vengano intercettati e modificati senza che il creatore ne sia a conoscenza.
Non ripudio La firma digitale contribuisce a provare a tutte le parti interessate l'origine del contenuto firmato. Per "ripudio" si intende l'atto attraverso il quale un firmatario nega di avere una qualsivoglia associazione con il contenuto firmato. In questo modo si dimostra che il creatore del documento è il vero creatore e non qualcun altro, indipendentemente dalle attestazioni del firmatario. Quest'ultimo infatti non può ripudiare la firma apposta su un documento senza ripudiare la propria chiave digitale e, di conseguenza, gli altri documenti firmati con tale chiave.
Requisiti per le firme digitali
Per poter stabilire queste condizioni, il creatore deve firmare digitalmente il contenuto preparando una firma che soddisfi i criteri seguenti:
La firma digitale deve essere valida. Un'Autorità di certificazione considerata attendibile dal sistema operativo deve firmare il certificato digitale su cui si basa la firma digitale.
Il certificato associato alla firma digitale non deve essere scaduto o deve contenere un indicatore di data e ora che attesti che il certificato era valido al momento dell'inserimento della firma.
Il certificato associato alla firma digitale non deve essere stato revocato.
La persona o l'organizzazione firmataria, nota come autore, deve essere considerata attendibile dal destinatario.
Word 2010, Excel 2010 e PowerPoint 2010 sono in grado di rilevare automaticamente tali criteri e di segnalare l'eventuale presenza di un problema relativo alla firma digitale. È possibile prendere facilmente visione delle informazioni sui certificati che presentano problemi in un apposito riquadro attività che viene visualizzato nell'applicazione di Office 2010. Le applicazioni di Office 2010 consentono di aggiungere più firme digitali allo stesso documento.
Firme digitali in ambiente aziendale
Nello scenario seguente viene illustrato come è possibile utilizzare le firme digitali per i documenti in un ambiente aziendale:
Una dipendente utilizza Excel 2010 per creare una nota spese, quindi crea tre righe della firma: una per se stessa, una per il suo superiore e una per il reparto contabile. Queste righe vengono utilizzate per identificare la dipendente come creatrice del documento, per accertare che nel documento non vengano apportate modifiche durante l'invio al superiore e al reparto contabile e per dimostrare che il superiore e il reparto contabile hanno entrambi ricevuto ed esaminato il documento.
Il superiore riceve il documento e vi aggiunge la sua firma digitale, a conferma del fatto che ne abbia presa visione e lo abbia approvato. Inoltra quindi il documento al reparto contabile perché venga messo in pagamento.
Un addetto del reparto contabile riceve il documento e lo firma per confermarne la ricezione.
Questo esempio è una dimostrazione della possibilità di aggiungere più firme diverse a un singolo documento di Office 2010. Oltre alla firma digitale, il firmatario del documento può aggiungere un file grafico corrispondente alla sua firma oppure utilizzare un Tablet PC per scrivere effettivamente una firma nell'apposita riga del documento. È inoltre disponibile una funzionalità "timbro" che può essere utilizzata dai reparti e che indica che un membro di un determinato reparto ha ricevuto il documento.
Problemi di compatibilità
Office 2010, esattamente come Office System 2007, utilizza il formato XML-DSig per le firme digitali. In Office 2010 è stato inoltre aggiunto il supporto per XAdES (XML Advanced Electronic Signatures). XAdES è un insieme di estensioni dello standard XML-DSig a più livelli che si basano ognuno sul precedente in modo da fornire firme digitali più attendibili. Per ulteriori informazioni sui livelli di XAdES supportati in Office 2010, vedere Utilizzo delle firme digitali più avanti in questo articolo. Per ulteriori informazioni sui dettagli di XAdES, vedere la specifica relativa a XML Advanced Electronic Signatures (XAdES) (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
È importante tenere presente che le firme digitali create in Office 2010 non sono compatibili con le versioni di Microsoft Office precedenti a Office System 2007. Se ad esempio un documento viene firmato utilizzando un'applicazione di Office 2010 o Office System 2007 e successivamente viene aperto utilizzando un'applicazione di Microsoft Office 2003 per cui è stato installato il pacchetto di compatibilità, all'utente verrà notificato che il documento è stato firmato con una versione più recente di Microsoft Office e che la firma digitale andrà perduta.
Nella figura seguente è illustrato un avviso indicante che la firma digitale viene rimossa in caso di apertura del documento in una versione precedente di Office.
Se inoltre viene utilizzato XAdES per la firma digitale in Office 2010, tale firma non sarà compatibile con Office System 2007, a meno che non si configuri l'impostazione di Criteri di gruppo Non includere l'oggetto riferimento XAdES nel manifesto selezionando Disattivata. Per ulteriori informazioni sulle impostazioni di Criteri di gruppo relative alle firme digitali, vedere Configurare le firme digitali più avanti in questo articolo.
Se è necessario che le firme digitali create in Office 2010 siano compatibili con Office 2003 e versioni precedenti, sarà possibile configurare l'impostazione di Criteri di gruppo Firme in formati legacy selezionando Attivata. Tale impostazione di Criteri di gruppo è disponibile in Configurazione utente\Modelli amministrativi\(ADM\ADMX)\Microsoft Office 2010\Firma. Dopo che tale impostazione viene configurata su Attivata, le applicazioni di Office 2010 utilizzeranno il formato binario di Office 2003 per applicare le firme digitali ai documenti binari di Office 97-2003 creati in Office 2010.
Certificato digitale autofirmato o emesso da Autorità di certificazione
I certificati digitali possono essere autofirmati o emessi da Autorità di certificazione di un'organizzazione, ad esempio un computer Windows Server 2008 che esegue Servizi certificati Active Directory, oppure da un'Autorità di certificazione pubblica quale VeriSign o Thawte. I certificati autofirmati in genere vengono utilizzati da privati e piccole aziende che non desiderano configurare un'infrastruttura a chiave pubblica (PKI) per le proprie organizzazioni e non intendono acquistare un certificato commerciale.
Il principale inconveniente derivante dall'utilizzo di certificati autofirmati è rappresentato dal fatto che sono utili esclusivamente se i documenti vengono scambiati tra persone che si conoscono personalmente e che credono reciprocamente che il proprio interlocutore sia l'effettivo creatore del documento. Utilizzando certificati autofirmati, non esistono terze parti che convalidino l'autenticità del certificato. Chiunque riceva il documento firmato dovrà perciò decidere manualmente se considerare attendibile il certificato del mittente.
Nel caso di organizzazioni più grandi, sono disponibili principalmente due metodi per ottenere i certificati digitali, ovvero la creazione di certificati mediante un'infrastruttura a chiave pubblica aziendale e l'acquisto di certificati commerciali. Le organizzazioni che desiderano condividere i documenti firmati solo fra gli altri dipendenti potrebbero preferire un'infrastruttura a chiave pubblica aziendale per ridurre i costi. Le organizzazioni che desiderano condividere i documenti firmati con persone esterne potrebbero invece preferire l'utilizzo di certificati commerciali.
Certificati creati mediante l'utilizzo di un'infrastruttura a chiave pubblica aziendale
Le organizzazioni hanno la possibilità di creare una propria infrastruttura a chiave pubblica (PKI). In questo scenario la società configura una o più Autorità di certificazione (CA) che possono creare certificati digitali per i computer e gli utenti all'interno della società stessa. Utilizzando anche il servizio directory Active Directory, è possibile creare una soluzione PKI completa, in modo che la catena CA aziendale sia installata in tutti i computer gestiti a livello della società e che agli utenti e ai computer vengano assegnati automaticamente certificati digitali per la firma e la crittografia dei documenti. In questo modo tutti i dipendenti di una società possono considerare automaticamente attendibili i certificati digitali, e quindi valide le firme digitali, di altri dipendenti della stessa società.
Per ulteriori informazioni, vedere Servizi certificati Active Directory (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Certificati commerciali
I certificati commerciali vengono acquistati presso una società che ha come line-of-business la vendita di certificati digitali. Il principale vantaggio derivante dall'utilizzo di certificati commerciali è rappresentato dal fatto che il certificato CA radice del fornitore di tali certificati viene installato automaticamente nei sistemi operativi Windows, pertanto questi computer possono considerare automaticamente attendibili tali CA. A differenza della soluzione con infrastruttura a chiave pubblica aziendale, i certificati commerciali consentono di condividere i documenti firmati con utenti che non appartengono alla propria organizzazione.
I certificati commerciali possono essere di tre tipi:
Classe 1 I certificati di Classe 1 vengono rilasciati a persone con indirizzi di posta elettronica validi. Tali certificati sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso elettronico per le transazioni non commerciali che non richiedono la verifica dell'identità.
Classe 2 I certificati di Classe 2 vengono rilasciati a persone e dispositivi. Tali certificati per le persone sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso elettronico per le transazioni in cui è sufficiente la verifica dell'identità in base alle informazioni incluse nel database di convalida. I certificati per i dispositivi sono appropriati per l'autenticazione dei dispositivi stessi, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.
Classe 3 I certificati di Classe 3 vengono rilasciati a persone, organizzazioni, server, dispositivi e amministratori di Autorità di certificazione (CA) e autorità radice (RA). Tali certificati per le persone sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso per le transazioni in cui è necessario assicurare la verifica dell'identità. I certificati per i server sono appropriati per l'autenticazione server, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.
Per ulteriori informazioni sui certificati commerciali, vedere Firma digitale - Office Marketplace (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x410).
Utilizzo delle firme digitali
È possibile firmare digitalmente i documenti utilizzando Microsoft Excel 2010, Microsoft PowerPoint 2010 e Microsoft Word 2010. È inoltre possibile aggiungere una riga della firma o un indicatore di firma utilizzando Excel 2010, Microsoft InfoPath 2010 e Word 2010. L'aggiunta di una firma digitale a un documento provvisto di un certificato digitale ma che non dispone di una riga della firma o di un indicatore di firma viene definita creazione di una firma digitale invisibile. Entrambi i metodi, ovvero firme digitali visibili e invisibili, si basano su un certificato digitale per firmare il documento. La differenza è rappresentata dal fatto che all'interno del documento viene visualizzata una rappresentazione grafica quando si utilizza una riga della firma digitale visibile. Per ulteriori informazioni su come aggiungere una firma digitale, vedere Aggiunta o rimozione di una firma digitale nei file di Office (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x410).
Per impostazione predefinita, Office 2010 crea firme digitali XAdES-EPES, indipendentemente dal fatto che durante la creazione venga utilizzato un certificato autofirmato o un certificato firmato da un'Autorità di certificazione.
I livelli di firma digitale XAdES, basati sullo standard per firme digitali XML-DSig, disponibili in Office 2010 sono riportati nella tabella seguente. Ogni livello si basa sul livello precedente e contiene tutte le funzionalità dei livelli precedenti. XAdES-X ad esempio, oltre alla nuova funzionalità introdotta con esso, include anche tutte le funzionalità di XAdES-EPES, XAdES-T e XAdES-C.
Livello firma | Descrizione |
---|---|
XAdES-EPES (base) |
Aggiunge informazioni sul certificato di firma alla firma XML-DSig. Questo è il valore predefinito per le firme di Office 2010. |
XAdES-T (timestamp) |
Aggiunge un indicatore di data e ora alle sezioni XML-DSig e XAdES-EPES della firma, garantendo la protezione dalla scadenza del certificato. |
XAdES-C (completo) |
Aggiunge riferimenti alle informazioni sulla catena di certificazione e lo stato di revoca. |
XAdES-X (esteso) |
Aggiunge un indicatore di data e ora all'elemento SignatureValue XML-DSig e alle sezioni –T e –C della firma. L'ulteriore indicatore di data e ora protegge i dati aggiuntivi dal ripudio. |
XAdES-X-L (esteso a lungo termine) |
Memorizza le informazioni relative al certificato effettivo e alla revoca dello stesso insieme alla firma. In questo modo è possibile eseguire la convalida del certificato anche se i server certificati non sono più disponibili. |
Firme digitali con indicatore di data e ora
Office 2010 offre la possibilità di aggiungere un indicatore di data e ora a una firma digitale, consentendo così di estendere la durata di tale firma. Se ad esempio un certificato revocato è stato utilizzato in precedenza per creare la firma digitale con un indicatore di data e ora relativo a un server timestamp attendibile, la firma digitale potrà ancora essere considerata valida se l'indicatore di data e ora è precedente alla revoca del certificato. Per poter utilizzare la funzionalità relativa all'indicatore di data e ora con le firme digitali, è necessario eseguire le operazioni seguenti:
Configurare un server timestamp conforme alla specifica RFC 3161.
Utilizzare l'impostazione di Criteri di gruppo Specifica nome server timestamp per indicare il percorso del server timestamp sulla rete.
È inoltre possibile configurare ulteriori parametri per l'indicatore di data e ora configurando una o più delle impostazioni di Criteri di gruppo seguenti:
Configura algoritmo hash per timestamp
Imposta timeout server timestamp
Se non si configura e attiva Configura algoritmo hash per timestamp, verrà utilizzato il valore predefinito SHA1. Se non si configura e attiva Imposta timeout server timestamp, Office 2010 attenderà che il server timestamp risponda a una richiesta per un intervallo di tempo predefinito pari a 5 secondi.
Configurare le firme digitali
Oltre alle impostazioni di Criteri di gruppo per la configurazione dei parametri relativi all'indicatore di data e ora, sono disponibili altre impostazioni di Criteri di gruppo che consentono di definire le modalità di configurazione e controllo delle firme digitali in un'organizzazione. Nella tabella seguente sono riportati i nomi e le descrizioni di tali impostazioni.
Impostazione | Descrizione |
---|---|
Richiedi OCSP alla generazione della firma |
Questa impostazione consente di stabilire se Office 2010 richiede i dati di revoca OCSP (Online Certificate Status Protocol) per tutti i certificati digitali di una catena al momento della generazione delle firme digitali. |
Specifica livello XAdES minimo per la generazione di firme digitali |
Questa impostazione consente di specificare un livello XAdES minimo che le applicazioni di Office 2010 devono raggiungere per poter creare una firma digitale XAdES. Se non riesce a raggiungere il livello XAdES minimo, l'applicazione di Office non creerà la firma. |
Controlla le parti XAdES della firma digitale |
Questa impostazione consente di specificare se Office 2010 verifica le eventuali parti XAdES di una firma digitale durante la convalida della firma digitale per un documento. |
Non consentire certificati scaduti per la convalida delle firme |
Questa impostazione consente di specificare se le applicazioni di Office 2010 accettano i certificati digitali scaduti durante la verifica delle firme digitali. |
Non includere l'oggetto riferimento XAdES nel manifesto |
Questa impostazione consente di stabilire se un oggetto riferimento XAdES deve essere incluso nel manifesto. Sarà necessario configurare tale impostazione su Disattivata se si desidera che Office System 2007 possa leggere le firme di Office 2010 con contenuto XAdES, altrimenti Office System 2007 considererà tali firme non valide. |
Seleziona algoritmo hash per le firme digitali |
Questa impostazione consente di configurare l'algoritmo hash utilizzato dalle applicazioni di Office 2010 per confermare le firme digitali. |
Imposta livello verifica firma |
Questa impostazione consente di specificare il livello di verifica utilizzato dalle applicazioni di Office 2010 durante la convalida di una firma digitale. |
Livello XAdES richiesto per generazione firme |
Questa impostazione consente di specificare un livello XAdES richiesto o desiderato durante la creazione di una firma digitale. |
Di seguito sono riportate ulteriori impostazioni di Criteri di gruppo relative alle firme digitali:
Filtro in base al campo Utilizzo chiave
Impostazione directory predefinita per le immagini
Filtro utilizzo chiavi avanzato
Firme in formati legacy
Eliminazione provider di firma di Office
Eliminazione voce di menu relativa ai servizi di firma esterni
Per ulteriori informazioni su ognuna di queste impostazioni di Criteri di gruppo, vedere i file della Guida forniti con i file dei Modelli amministrativi per Office 2010. Per ulteriori informazioni sui file dei Modelli amministrativi, vedere Panoramica di Criteri di gruppo per Office 2010.
Nota
Per informazioni aggiornate sulle impostazioni dei criteri, fare riferimento alla cartella di lavoro di Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, disponibile nella sezione Files in this Download della pagina di download File di modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).