Pianificare le impostazioni della firma digitale per Office 2013

  • Articolo

 

Si applica a: Office 2013

Ultima modifica dell'argomento: 2016-12-16

Riepilogo: in questo articolo viene illustrato come supportare le firme digitali XAdES nei documenti di Excel 2013, PowerPoint 2013 e Word 2013.

Destinatari: professionisti IT

Gli utenti possono firmare digitalmente un documento di Office 2013Excel, PowerPoint o Word più o meno per gli stessi motivi per cui si appone una firma a mano su un documento cartaceo. Una firma digitale contribuisce infatti ad attestare l'identità del creatore di informazioni digitali, quali documenti, messaggi di posta elettronica e macro, mediante l'utilizzo di algoritmi di crittografia.

Le firme digitali si basano su certificati digitali, che sono strumenti di verifica dell'identità emessi da una terza parte attendibile, nota come Autorità di certificazione (CA). Tale meccanismo è analogo all'utilizzo di documenti d'identità stampati. Ad esempio, una terza parte attendibile, quale un ente pubblico o un datore di lavoro, rilascia documenti d'identità come patenti di guida, passaporti e libretti del lavoro che possono essere utilizzati per verificare che un individuo sia effettivamente la persona che dichiara di essere.

In questo articolo sono incluse le chiavi del Registro di sistema per le firme digitali introdotte per la prima volta in Office 2013.

Freccia della roadmap per la guida di orientamento alla sicurezza di Office.

Questo articolo fa parte della Guida alla sicurezza di Office 2013. Utilizzare tale guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare la sicurezza in Office 2013.

Per ottenere assistenza in relazione alle impostazioni delle firme digitali di Office 2013 sul desktop, vedere uno degli articoli seguenti, che aiutano a definire la sicurezza di Office 2013 sul desktop.

Contenuto dell'articolo:

  • Introduzione alle firme digitali e alle modalità di utilizzo in Office 2013

  • Scelta dei tipi di certificati digitali per Office 2013

  • Pianificazione dei livelli di firma digitale nei documenti di Office 2013

Introduzione alle firme digitali e alle modalità di utilizzo in Office 2013

Le firme digitali sono utili per applicare le misure di autenticazione seguenti:

  • Autenticità   La firma digitale e il relativo certificato digitale sottostante assicurano che il firmatario sia la persona che sostiene di essere. In questo modo si impedisce che altri fingano di essere i creatori di un determinato documento (l'equivalente di un falso per un documento stampato).

  • Integrità   La firma digitale garantisce che il contenuto non sia stato modificato o manomesso dopo che è stato firmato digitalmente. In questo modo si impedisce che i documenti vengano intercettati e modificati all'insaputa del creatore.

  • Non ripudio   La firma digitale contribuisce a provare a tutte le parti interessate l'origine del contenuto firmato. Per "ripudio" si intende l'atto attraverso il quale un firmatario nega di avere una qualsivoglia associazione con il contenuto firmato. La firma digitale dimostra che il creatore del documento è il vero creatore e non qualcun altro, indipendentemente dalle rivendicazioni del firmatario. Quest'ultimo infatti non può ripudiare la firma apposta su un documento senza ripudiare la propria chiave digitale e, di conseguenza, gli altri documenti firmati con tale chiave.

Requisiti per le firme digitali

Per poter stabilire queste condizioni, il creatore deve firmare digitalmente il contenuto preparando una firma che soddisfi i criteri seguenti:

  • La firma digitale deve essere valida. Un'Autorità di certificazione considerata attendibile dal sistema operativo deve firmare il certificato digitale su cui si basa la firma digitale.

  • Il certificato associato alla firma digitale non deve essere scaduto o deve contenere un indicatore data e ora che attesti che il certificato era valido al momento dell'inserimento della firma.

  • Il certificato associato alla firma digitale non deve essere stato revocato.

  • La persona o l'organizzazione firmataria, nota come autore, deve essere considerata attendibile dal destinatario.

Word 2013, Excel 2013 e PowerPoint 2013 sono in grado di rilevare automaticamente tali criteri e di segnalare all'utente l'eventuale presenza di un problema relativo alla firma digitale. È possibile visualizzare facilmente le informazioni sui certificati che presentano problemi in un apposito riquadro attività che viene visualizzato nell'applicazione di Office 2013. Le applicazioni di Office 2013 consentono di aggiungere più firme digitali allo stesso documento.

Firme digitali in ambiente aziendale Office 2013

Nello scenario seguente viene illustrato come è possibile utilizzare le firme digitali nei documenti in un ambiente aziendale:

  1. Un dipendente utilizza Excel 2013 per creare una nota spese. Crea quindi tre righe per le firme: una per sé, una per il proprio responsabile e una per il reparto contabilità. Le firme servono a:

    • Identificare il dipendente come il creatore del documento

    • Indicare che non verranno apportate modifiche al documento nel passaggio al responsabile e al reparto contabilità

    • Dimostrare concretamente che sia il responsabile che il reparto contabilità hanno ricevuto e rivisto il documento

  2. Il responsabile riceve il documento e vi aggiunge la sua firma digitale, per confermare che ne ha preso visione e lo ha approvato. Inoltra quindi il documento al reparto contabilità perché venga messo in pagamento.

  3. Un addetto del reparto contabilità riceve il documento e lo firma per confermarne la ricezione.

Questo esempio è una dimostrazione della possibilità di aggiungere più firme allo stesso documento di Office 2013. Oltre alla firma digitale, il firmatario del documento può aggiungere un'immagine grafica corrispondente alla sua firma oppure utilizzare un Tablet PC per scrivere effettivamente una firma nell'apposita riga del documento.

Problemi di compatibilità con i documenti di Office di versioni precedenti a Office 2013

Office 2013, esattamente come Office 2010 e Office 2007, utilizza il formato XML-DSig per le firme digitali. In Office 2013 è stato inoltre aggiunto il supporto per XAdES (XML Advanced Electronic Signatures). XAdES è un insieme di estensioni dello standard XML-DSig a più livelli che si basano ognuno sul livello precedente in modo da fornire firme digitali più attendibili. Per ulteriori informazioni sui livelli di XAdES supportati in Office 2013, vedere Pianificazione dei livelli di firma digitale nei documenti di Office 2013 più avanti in questo articolo. Per ulteriori informazioni sui dettagli di XAdES, vedere la specifica relativa a XML Advanced Electronic Signatures (XAdES).

È importante tenere presente che le firme digitali create in Office 2013 non sono compatibili con le versioni di Office precedenti a Office system 2007. Se ad esempio un documento viene firmato utilizzando un'applicazione di Office 2013, Office 2010 o Office 2007 e successivamente viene aperto utilizzando un'applicazione di Office 2003 per cui è stato installato l'Office Compatibility Pack, l'utente verrà informato che il documento è stato firmato con una versione più recente di Office e che la firma digitale è andata perduta.

Nella figura seguente è riportato l'avviso che viene visualizzato dall'utente dopo l'apertura di un documento in una versione di Office precedente a Office 2007.

Avviso relativo alla firma digitale di documenti originariamente firmati in Office 2003 o versioni precedenti.

Figura 1 Problemi di compatibilità

Se inoltre si utilizza XAdES per una firma digitale in Office 2013, questa non sarà compatibile con Office 2010 o Office system 2007 a meno che non si abiliti l'impostazione di Criteri di gruppo Non includere l'oggetto riferimento XAdES nel manifesto. Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per la firma digitale, vedere Pianificare le impostazioni della firma per Office 2013 più avanti in questo articolo.

Se si desidera che le firme digitali create in Office 2013 siano compatibili con Office 2003 e versioni precedenti, è possibile attivare l'impostazione di Criteri di gruppo Firme in formati legacy. Questa impostazione si trova in Configurazione utente\Modelli amministrativi\Microsoft Office 2013\Firma. Dopo avere attivato questaUser Configuration\Administrative Templates\Microsoft Office 2013\Signing impostazione, le applicazioni di Office 2013 utilizzeranno il formato binario di Office 2003 per applicare le firme digitali ai documenti in formato binario di Office 97-2003 creati in Office 2013. Per ulteriori informazioni, vedere File del modello amministrativo di Office 2013 (ADMX/ADML) e Strumento di personalizzazione di Office

Scelta dei tipi di certificati digitali per Office 2013

I certificati digitali possono essere autofirmati o emessi da Autorità di certificazione di un'organizzazione, ad esempio un computer Windows Server 2012 o Windows Server 2008 che esegue Servizi certificati Active Directory, oppure da un'Autorità di certificazione pubblica quale VeriSign o Thawte. I certificati autofirmati in genere vengono utilizzati da privati e piccole aziende che non desiderano configurare un'infrastruttura a chiave pubblica (PKI) per le proprie organizzazioni e non intendono acquistare un certificato commerciale.

Il principale inconveniente derivante dall'utilizzo di certificati autofirmati è rappresentato dal fatto che sono utili esclusivamente se i documenti vengono scambiati tra persone che si conoscono personalmente e che credono reciprocamente che il proprio interlocutore sia l'effettivo creatore del documento. Con i certificati autofirmati, non esistono terze parti che convalidino l'autenticità del certificato. Chiunque riceva il documento firmato dovrà perciò decidere manualmente se considerare attendibile il certificato del mittente.

Nel caso di organizzazioni più grandi, sono disponibili principalmente due metodi per ottenere i certificati digitali, ovvero la creazione di certificati mediante un'infrastruttura a chiave pubblica aziendale e l'acquisto di certificati commerciali. Le organizzazioni che desiderano condividere i documenti firmati solo fra gli altri dipendenti potrebbero preferire un'infrastruttura a chiave pubblica aziendale per ridurre i costi. Le organizzazioni che desiderano condividere i documenti firmati con persone esterne potrebbero invece preferire l'utilizzo di certificati commerciali.

Certificati creati mediante l'utilizzo di un'infrastruttura a chiave pubblica aziendale

Le organizzazioni hanno la possibilità di creare una propria infrastruttura a chiave pubblica (PKI). In questo scenario la società configura una o più Autorità di certificazione (CA) che possono creare certificati digitali per i computer e gli utenti all'interno della società stessa. Utilizzando anche il servizio directory Active Directory, è possibile creare una soluzione PKI completa, in modo che la catena CA aziendale sia installata in tutti i computer gestiti a livello della società e che agli utenti e ai computer vengano assegnati automaticamente certificati digitali per la firma e la crittografia dei documenti. In questo modo tutti i dipendenti di una società possono considerare automaticamente attendibili i certificati digitali, e quindi valide le firme digitali, di altri dipendenti della stessa società.

Per ulteriori informazioni, vedere Servizi certificati Active Directory.

Certificati commerciali

È possibile acquistare i certificati commerciali presso una società che vende certificati digitali. Il principale vantaggio derivante dall'utilizzo di certificati commerciali è rappresentato dal fatto che il certificato CA radice del fornitore di tali certificati viene installato automaticamente nei sistemi operativi Windows dell'organizzazione, pertanto questi computer possono considerare automaticamente attendibili tali CA. A differenza della soluzione con infrastruttura a chiave pubblica aziendale, i certificati commerciali consentono di condividere i documenti firmati con utenti che non appartengono alla propria organizzazione.

I certificati commerciali possono essere di tre tipi:

  • Classe 1   I certificati di Classe 1 vengono rilasciati a persone con indirizzi di posta elettronica validi. Tali certificati sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso elettronico per le transazioni non commerciali che non richiedono la verifica dell'identità.

  • Classe 2   I certificati di Classe 2 vengono rilasciati a persone e dispositivi. I certificati per le persone sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso elettronico per le transazioni in cui è sufficiente la verifica dell'identità in base alle informazioni incluse nel database di convalida. I certificati per i dispositivi sono appropriati per l'autenticazione dei dispositivi stessi, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.

  • Classe 3   I certificati di Classe 3 vengono rilasciati a persone, organizzazioni, server, dispositivi e amministratori di Autorità di certificazione (CA) e autorità radice (RA). I certificati per le persone sono appropriati per le firme digitali, la crittografia e il controllo dell'accesso per le transazioni in cui è necessario assicurare la verifica dell'identità. I certificati per i server sono appropriati per l'autenticazione del server, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.

Per ulteriori informazioni sui certificati commerciali, vedere ID digitale.

Pianificazione dei livelli di firma digitale nei documenti di Office 2013

Gli utenti possono firmare digitalmente i documenti utilizzando Excel 2013, PowerPoint 2013 e Word 2013. Possono inoltre utilizzare Excel 2013, InfoPath 2013 o Word 2013 per aggiungere una riga della firma o un indicatore di firma. L'aggiunta di una firma digitale a un documento provvisto di un certificato digitale ma che non dispone di una riga della firma o di un indicatore di firma viene definita creazione di una firma digitale invisibile. Le firme digitali visibili e invisibili utilizzano entrambe un certificato digitale per firmare il documento. La differenza è rappresentata dal fatto che all'interno del documento viene visualizzata una rappresentazione grafica quando si utilizza una riga della firma digitale visibile. Per ulteriori informazioni su come aggiungere una firma digitale, vedere Aggiunta o rimozione di una firma digitale nei file di Office.

Per impostazione predefinita, Office 2013 crea firme digitali XAdES-EPES quando per la creazione viene utilizzato un certificato autofirmato o un certificato firmato da un'Autorità di certificazione.

Nella tabella seguente sono elencati i livelli di firma digitale XAdES, basati sullo standard per firme digitali XML-DSig e disponibili in Office 2013. Ogni livello si basa sul livello precedente e contiene tutte le funzionalità dei livelli precedenti. XAdES-X ad esempio, oltre alla nuova funzionalità introdotta con esso, include anche tutte le funzionalità di XAdES-EPES, XAdES-T e XAdES-C.

Livelli di firma digitale XAdES in Office 2013

Livello firma Descrizione

XAdES-EPES (base)

Aggiunge informazioni sul certificato di firma alla firma XML-DSig. Questo è il valore predefinito per le firme di Office 2013.

XAdES-T (timestamp)

Aggiunge un indicatore data e ora alle sezioni XML-DSig e XAdES-EPES della firma, garantendo la protezione dalla scadenza del certificato.

XAdES-C (completo)

Aggiunge riferimenti alle informazioni sulla catena di certificazione e lo stato di revoca.

XAdES-X (esteso)

Aggiunge un indicatore data e ora all'elemento SignatureValue XML-DSig e alle sezioni –T e –C della firma. L'ulteriore indicatore data e ora protegge i dati aggiuntivi dal ripudio.

XAdES-X-L (esteso a lungo termine)

Memorizza le informazioni relative al certificato effettivo e alla revoca dello stesso insieme alla firma. In questo modo è possibile eseguire la convalida del certificato anche se i server certificati non sono più disponibili.

Pianificazione di firme digitali con indicatore data e ora in Office 2013

Quando gli utenti aggiungono un indicatore data e ora a una firma digitale, estendono la durata di tale firma. Se ad esempio un certificato revocato è stato utilizzato in precedenza per creare una firma digitale che contiene un indicatore data e ora relativo a un server timestamp attendibile e precedente alla revoca del certificato, la firma digitale potrà ancora essere considerata valida. Per poter utilizzare la funzionalità relativa all'indicatore data e ora con le firme digitali, è necessario eseguire le operazioni seguenti:

  • Configurare un server timestamp conforme alla specifica RFC 3161.

  • Utilizzare l'impostazione di Criteri di gruppo Specifica nome server timestamp per indicare il percorso del server timestamp sulla rete.

È inoltre possibile configurare ulteriori parametri per l'indicatore data e ora configurando una o più delle impostazioni di Criteri di gruppo seguenti:

  • Configura algoritmo hash per timestamp

  • Imposta timeout server timestamp

Se non si configura e attiva Configura algoritmo hash per timestamp, verrà utilizzato il valore predefinito SHA1. Se non si configura e attiva Imposta timeout server timestamp, Office 2013 attenderà per 5 secondi che il server timestamp risponda a una richiesta.

Pianificare le impostazioni della firma per Office 2013

Oltre alle impostazioni di Criteri di gruppo per la configurazione dei parametri relativi all'indicatore data e ora, sono disponibili altre impostazioni di Criteri di gruppo che consentono di definire le modalità di configurazione e controllo delle firme digitali in un'organizzazione. Nella tabella seguente sono riportati i nomi e le descrizioni di tali impostazioni, disponibili in software\policies\microsoft\office\15.0\common\signatures!

Impostazioni di configurazione di Criteri di gruppo per le firme digitali

Impostazione di Criteri di gruppo Descrizione

Richiedi OCSP alla generazione della firma

Questa impostazione consente di stabilire se Office 2013 richiede i dati di revoca OCSP (Online Certificate Status Protocol) per tutti i certificati digitali di una catena al momento della generazione delle firme digitali.

Specifica livello XAdES minimo per la generazione di firme digitali

Questa impostazione consente di specificare un livello XAdES minimo che le applicazioni di Office 2013 devono raggiungere per poter creare una firma digitale XAdES. Se le applicazioni di Office 2013 non riescono a raggiungere il livello XAdES minimo, l'applicazione di Office non creerà la firma.

Controlla le parti XAdES della firma digitale

Questa impostazione consente di specificare se Office 2013 verifica le parti XAdES di una firma digitale durante la convalida della firma digitale di un documento.

Non consentire certificati scaduti per la convalida delle firme

Questa impostazione consente di specificare se le applicazioni di Office 2013 accettano i certificati digitali scaduti durante la verifica delle firme digitali.

Non includere l'oggetto riferimento XAdES nel manifesto

Questa impostazione consente di stabilire se un oggetto riferimento XAdES deve essere incluso nel manifesto. È necessario configurare tale impostazione su Attivata se si desidera che Office system 2007 possa leggere le firme di Office 2013 con contenuto XAdES. In caso contrario, Office system 2007 considererà tali firme non valide.

Seleziona algoritmo hash per le firme digitali

Questa impostazione consente di configurare l'algoritmo hash utilizzato dalle applicazioni di Office 2013 per confermare le firme digitali.

Imposta livello verifica firma

Questa impostazione consente di specificare il livello di verifica utilizzato dalle applicazioni di Office 2013 durante la convalida di una firma digitale.

Livello XAdES richiesto per generazione firme

Questa impostazione consente di specificare il livello XAdES necessario o desiderato durante la creazione di una firma digitale.

Le impostazioni di Criteri di gruppo aggiuntive elencate di seguito sono relative alle firme digitali e sono anch'esse disponibili in \software\policies\microsoft\office\15.0\common\signatures!:

  • Impostazione directory predefinita per le immagini

  • Filtro utilizzo chiavi avanzato

  • Firme in formati legacy

  • Eliminazione provider di firma di Office

  • Eliminazione voce di menu relativa ai servizi di firma esterni

Per ulteriori informazioni su ognuna di queste impostazioni di Criteri di gruppo, vedere i file della Guida forniti con i file dei Modelli amministrativi per Office 2013.

Nota

Per le informazioni più recenti sulle impostazioni dei criteri, fare riferimento alla cartella di lavoro di Excel Office2013GroupPolicyAndOCTSettings_Reference.xls, disponibile nella sezione relativa ai file contenuti nella pagina di download dei file del modello amministrativo di Office 2013 (ADMX/ADML) e dello Strumento di personalizzazione di Office.

Impostazioni del Registro di sistema relative alle firme digitali

Nella tabella seguente sono elencate le impostazioni del Registro di sistema specifiche delle firme digitali e i certificati utilizzati per crittografarle. Queste impostazioni sono disponibili in HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures. Non esistono Criteri di gruppo corrispondenti.

Impostazioni del Registro di sistema per le firme digitali

Voce del Registro di sistema Tipo Valore Descrizione

FilterIssuer

WZ

Vuoto

Riduce l'insieme dei certificati disponibili a quelli il cui nome contiene il valore FilterIssuer.

MinSigningDSABits

DWORD

Vuoto

Consente di specificare il numero di bit consentiti per la creazione di una firma digitale DSA in Office.

InvalidDSABits

DWORD

Vuoto

Consente di specificare il numero massimo di bit che verranno letti in una firma digitale DSA. I bit oltre il valore di InvalidDSABits verranno ignorati.

InvalidHashAlg

WZ

Vuoto

Consente di specificare gli algoritmi hash utilizzati in precedenza dall'organizzazione per creare firme digitali in versioni precedenti di Office (ad esempio Office 2007, Office 2010) che si desidera ora rendere non validi. Se si specifica un hash in questa impostazione, la convalida non riuscirà per i documenti o i messaggi di posta elettronica che utilizzano tale hash per convalidare una firma digitale.

InvalidRSABits

DWORD

Vuoto

Consente di specificare il numero massimo di bit che verranno letti in una firma digitale RSA. I bit oltre il valore di InvalidRSABits verranno ignorati.

LegacyDSABits

DWORD

Vuoto

Consente di specificare il numero minimo di bit che verranno elaborati in una firma digitale DSA legacy, dove il termine legacy si riferisce a una firma digitale creata per un documento o un messaggio di posta elettronica mediante Office 2007 o Office 2010 e dove l'algoritmo hash è stato specificato nell'impostazione della chiave del Registro di sistema LegacyHashAlg.

LegacyHashAlg

WZ

MD5

Consente di specificare gli algoritmi hash utilizzati dall'organizzazione per creare firme digitali in versioni precedenti di Office (ad esempioOffice 2007, Office 2010) che si desidera rendere disponibili per convalidare documenti e messaggi di posta elettronica legacy firmati digitalmente.

LegacyRSABits

DWORD

Vuoto

Consente di specificare il numero minimo di bit che verranno elaborati in una firma digitale RSA legacy. Il termine legacy si riferisce a una firma digitale creata per un documento o un messaggio di posta elettronica mediante Office 2007 o Office 2010 e dove l'algoritmo hash è stato specificato nell'impostazione della chiave del Registro di sistema LegacyHashAlg.

MinSigningRSABits

DWORD

Vuoto

Consente di specificare il numero minimo di bit che verranno utilizzati per creare una firma digitale in Office 2013.

Vedere anche

Guida alla sicurezza di Office 2013

XML Advanced Electronic Signatures (XAdES)
File del modello amministrativo di Office 2013 (ADMX/ADML) e Strumento di personalizzazione di Office
Servizi certificati Active Directory
ID digitale
Aggiunta o rimozione di una firma digitale nei file di Office