Utilizzare firme digitali con Office 2016
Riepilogo: Viene illustrato come supportare le firme elettroniche avanzate XML (XAdES) nei documenti di Excel, PowerPoint e Word. Determinare inoltre come selezionare i certificati appropriati per la distribuzione.
Gli utenti firmano digitalmente un documento di Excel, PowerPoint o Word per molti degli stessi motivi per cui potrebbero inserire una firma scritta a mano in un documento cartaceo. Una firma digitale consente di autenticare l'identità di un autore. Verifica l'autore di informazioni digitali, inclusi documenti, messaggi di posta elettronica e macro. Questo processo usa algoritmi di crittografia.
L'autorità di certificazione rilascia certificati digitali, che fungono da verificatori di identità. Questi certificati costituiscono la base delle firme digitali. Funziona in modo analogo all'uso di documenti di identità stampati. Ad esempio, un'entità governativa o un datore di lavoro rilascia documenti di identità come patente di guida, passaporti e carte d'identità dei dipendenti. Altre persone si affidano a tali documenti per verificare che una persona sia chi dichiara di essere.
Questo articolo include le chiavi del Registro di sistema delle firme digitali nuove di Office 2016.
Consiglio
Si sta cercando assistenza per le impostazioni della firma digitale in Office 2016 sul desktop? È possibile che si cerchi uno di questi articoli, che consente di proteggere Office 2016 sul desktop: firme e certificati digitali, Aggiungere o rimuovere una firma digitale nei file di Office e Ottenere un ID digitale.
Introduzione alle firme digitali e al modo in cui vengono usate in Office
Le firme digitali consentono di stabilire le misure di autenticazione seguenti:
Autenticità La firma digitale e il relativo certificato digitale sottostante consentono di assicurarsi che il firmatario sia la persona che dichiara di essere. In questo modo si impedisce che altri fingano di essere i creatori di un determinato documento (l'equivalente di un falso per un documento stampato).
Integrità La firma digitale garantisce che il contenuto non venga modificato o manomesso dopo la firma digitale. Questa firma digitale impedisce l'intercettazione e l'alterazione dei documenti senza la conoscenza dell'autore del documento.
Non ripudio La firma digitale consente di dimostrare a tutte le parti l'origine del contenuto firmato. Per "ripudio" si intende l'atto attraverso il quale un firmatario nega di avere una qualsivoglia associazione con il contenuto firmato. La firma digitale dimostra che il creatore del documento è il vero creatore e non qualcun altro, indipendentemente dalle rivendicazioni del firmatario. Un firmatario non può ripudiare la firma su tale documento senza ripudiare anche la chiave digitale, che influisce sugli altri documenti firmati con tale chiave.
Requisiti per le firme digitali in Office 2016
Per poter stabilire queste condizioni, il creatore deve firmare digitalmente il contenuto preparando una firma che soddisfi i criteri seguenti:
La firma digitale deve essere valida. Il sistema operativo deve considerare attendibile l'autorità di certificazione (CA) che firma il certificato digitale alla base della firma digitale.
Il certificato associato alla firma digitale non è scaduto o contiene un timestamp che indica che il certificato era valido al momento della firma.
Il certificato associato alla firma digitale non viene revocato.
Il destinatario considera attendibile la persona o l'organizzazione che firma (nota come editore).
Word 2016, Excel 2016 e PowerPoint 2016 rilevare questi criteri e avvisare l'utente in caso di problemi con la firma digitale. Le informazioni sui certificati problematici possono essere facilmente visualizzate in un riquadro attività certificato visualizzato nell'applicazione office 2016. Le applicazioni di Office 2016 consentono di aggiungere più firme digitali allo stesso documento.
Firme digitali nell'ambiente aziendale di Office 2016
Nello scenario seguente viene illustrato come è possibile utilizzare le firme digitali nei documenti in un ambiente aziendale:
Un dipendente usa Excel 2016 per creare una nota spese. Il dipendente crea quindi tre righe di firma: una per se stessa, una per il responsabile e una per il reparto contabilità. Le firme servono a:
Identificare il dipendente come il creatore del documento
indica che non si verificano modifiche nel documento mentre passa al responsabile e al reparto contabilità
dimostrare che c'è la prova che sia il responsabile che il reparto contabilità hanno ricevuto e esaminato il documento
Il responsabile riceve il documento e aggiunge la firma digitale al documento, confermando che l'ha esaminato e approvato. Viene quindi inoltrato al reparto contabilità per il pagamento.
Un rappresentante del reparto contabilità riceve il documento e lo firma, confermando la ricezione del documento stesso.
Questo esempio illustra la possibilità di aggiungere più firme a un singolo documento di Office 2016. Oltre alla firma digitale, il firmatario del documento può aggiungere un elemento grafico della firma effettiva o usare un Tablet PC per scrivere effettivamente una firma nella riga della firma nel documento.
Problemi di compatibilità con i documenti di Office precedenti a Office 2016
Office 2016, proprio come Office 2013, Office 2010 e Office 2007, usa il formato XML-DSig per le firme digitali. Inoltre, Office 2016 supporta XAdES (XML Advanced Electronic Signatures). XAdES è un insieme di estensioni dello standard XML-DSig a più livelli che si basano ognuno sul livello precedente in modo da fornire firme digitali più attendibili. Per altre informazioni sui livelli di XAdES supportati in Office 2016, vedere Pianificazione dei livelli di firma digitale nei documenti di Office 2016 più avanti in questo articolo. Per altre informazioni sui dettagli di XAdES, vedere la specifica per XAdES (XML Advanced Electronic Signatures).
Le firme digitali create in Office 2016 non sono compatibili con le versioni di Office precedenti a Office System 2007. Si consideri ad esempio un documento firmato con un'applicazione in Office 2016, Office 2013, Office 2010 o Office 2007. Quando un utente apre questo documento in Office 2003 con Office Compatibility Pack, il sistema li notifica. Informa che il documento è stato firmato in una versione più recente di Office. Di conseguenza, la firma digitale viene persa.
Nella figura seguente è riportato l'avviso che viene visualizzato dall'utente dopo l'apertura di un documento in una versione di Office precedente a Office 2007.
Avviso relativo alla firma digitale di documenti originariamente firmati in Office 2003 o versioni precedenti.
Se si usa XAdES per una firma digitale in Office 2016, la firma digitale non è compatibile con Office 2010 o Office System 2007 a meno che non si configuri l'impostazione di Criteri di gruppo, non includere l'oggetto di riferimento XAdES nel manifesto e impostarlo su Abilitato. Per altre informazioni sulle impostazioni di Criteri di gruppo della firma digitale, vedere Pianificare le impostazioni della firma per Office 2016 più avanti in questo articolo.
Se si vuole che le firme digitali create in Office 2016 siano compatibili con Office 2003 e versioni precedenti, è possibile configurare l'impostazione Criteri di gruppo, le firme in formato legacy e impostarla su Abilitato. Questa impostazione Criteri di gruppo si trova in Configurazione utente\Criteri\Modelli amministrativi\Microsoft Office 2016\Firma. Dopo aver modificato questa impostazione in Abilitato, le applicazioni di Office 2016 usano il formato binario di Office 2003 per applicare firme digitali ai documenti binari di Office 97-2003 creati in Office 2016.
Scelta dei tipi di certificato digitale per Office 2016
Le autorità di certificazione (CA) possono emettere certificati digitali oppure possono essere autofirmati. All'interno di un'organizzazione, il processo potrebbe coinvolgere un computer Windows Server 2012 che esegue Servizi certificati Active Directory. In alternativa, un'autorità di certificazione pubblica, ad esempio VeriSign o Thawte, può emetterli. I certificati autofirmati vengono comunemente usati da utenti privati e piccole imprese. Scelgono questa opzione quando non vogliono stabilire un'infrastruttura a chiave pubblica (PKI) per le loro organizzazioni o acquistare un certificato commerciale.
Lo svantaggio principale dei certificati autofirmati risiede nella loro utilità limitata. Sono efficaci solo quando si scambiano documenti con persone che ti conoscono personalmente. Gli utenti devono anche essere certi di essere l'autore effettivo del documento. Quando si usano certificati autofirmati, non esiste alcuna autenticazione di convalida esterna del certificato. Ogni persona che riceve il documento firmato deve decidere manualmente se considerare attendibile il certificato.
Nel caso di organizzazioni più grandi, sono disponibili principalmente due metodi per ottenere i certificati digitali, ovvero la creazione di certificati mediante un'infrastruttura a chiave pubblica aziendale e l'acquisto di certificati commerciali. Le organizzazioni che desiderano condividere i documenti firmati solo fra gli altri dipendenti potrebbero preferire un'infrastruttura a chiave pubblica aziendale per ridurre i costi. Le organizzazioni che desiderano condividere i documenti firmati con persone esterne potrebbero invece preferire l'utilizzo di certificati commerciali.
Certificati creati mediante l'utilizzo di un'infrastruttura a chiave pubblica aziendale
Le organizzazioni possono creare un'infrastruttura PKI personalizzata. In questo scenario la società configura una o più Autorità di certificazione (CA) che possono creare certificati digitali per i computer e gli utenti all'interno della società stessa. Quando un'azienda combina Active Directory Services (AD DS) con i propri sistemi, può stabilire una soluzione PKI completa. Questa integrazione garantisce che in tutti i computer gestiti dall'organizzazione o dall'azienda sia installata la catena di ca necessaria. Inoltre, il sistema consente l'assegnazione automatica dei certificati digitali sia agli utenti che ai computer. Questi certificati sono fondamentali per la firma e la crittografia dei documenti. Questo processo consente a tutti i dipendenti di un'azienda di considerare automaticamente attendibili i certificati digitali (e, quindi, le firme digitali valide) di altri dipendenti della stessa azienda.
Certificati commerciali
È possibile acquistare certificati commerciali da una società la cui linea di business è vendere certificati digitali. Il vantaggio principale dell'uso dei certificati commerciali è che il certificato CA radice del fornitore del certificato commerciale viene installato automaticamente nei sistemi operativi Windows dell'organizzazione. Ciò consente a questi computer di considerare automaticamente attendibili le CA. A differenza della soluzione PKI aziendale o dell'organizzazione, i certificati commerciali consentono di condividere i documenti firmati con gli utenti che non appartengono all'organizzazione.
I certificati commerciali possono essere di tre tipi:
Classe 1 I certificati di classe 1 vengono rilasciati agli utenti con indirizzi di posta elettronica validi. I certificati di classe 1 sono appropriati per le firme digitali, la crittografia e il controllo di accesso elettronico per le transazioni non commerciali in cui non è richiesta la prova dell'identità.
Classe 2 I certificati di classe 2 vengono rilasciati a persone e dispositivi. I singoli certificati di classe 2 sono appropriati per le firme digitali, la crittografia e il controllo di accesso elettronico nelle transazioni in cui è sufficiente la prova dell'identità basata sulle informazioni nel database di convalida. I certificati per i dispositivi sono appropriati per l'autenticazione dei dispositivi stessi, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.
Classe 3 I certificati di classe 3 vengono rilasciati a persone, organizzazioni, server, dispositivi e amministratori per autorità di certificazione e autorità radice. I singoli certificati di classe 3 sono appropriati per le firme digitali, la crittografia e il controllo di accesso nelle transazioni in cui deve essere garantita la prova dell'identità. I certificati per i server sono appropriati per l'autenticazione del server, per l'integrità dei messaggi, del software e del contenuto e per la crittografia delle informazioni riservate.
Per altre informazioni sui certificati commerciali, vedere Trovare l'ID digitale o i servizi di firma digitale.
Pianificazione dei livelli di firma digitale nei documenti di Office 2016
Gli utenti possono firmare digitalmente i documenti usando Excel 2016, PowerPoint 2016 e Word 2016. Possono anche usare Excel 2016, InfoPath 2016 o Word 2016 per aggiungere una riga di firma o un timbro di firma. La firma digitale di un documento con un certificato digitale ma senza una riga di firma o un timbro è nota come creazione di una firma digitale invisibile. Le firme digitali visibili e invisibili utilizzano entrambe un certificato digitale per firmare il documento. La differenza è rappresentata dal fatto che all'interno del documento viene visualizzata una rappresentazione grafica quando si utilizza una riga della firma digitale visibile. Per altre informazioni su come aggiungere una firma digitale, vedere Aggiungere o rimuovere una firma digitale nei file di Office.
Per impostazione predefinita, Office 2016 crea firme digitali XAdES-EPES quando durante la creazione della firma digitale viene usato un certificato autofirma o un certificato firmato da una CA.
I livelli di firma digitale XAdES, basati sullo standard di firma digitale XML-DSig e disponibili in Office 2016, sono elencati nella tabella seguente. Ogni livello si basa sul livello precedente e contiene tutte le funzionalità dei livelli precedenti. XAdES-X ad esempio, oltre alla nuova funzionalità introdotta con esso, include anche tutte le funzionalità di XAdES-EPES, XAdES-T e XAdES-C.
Livelli di firma digitale XAdES in Office 2016
| Livello firma | Descrizione |
|---|---|
| XAdES-EPES (base) |
Aggiunge informazioni sul certificato di firma alla firma XML-DSig. Questa impostazione è l'impostazione predefinita per le firme di Office 2016. |
| XAdES-T (timestamp) |
Aggiunge un indicatore data e ora alle sezioni XML-DSig e XAdES-EPES della firma, garantendo la protezione dalla scadenza del certificato. |
| XAdES-C (completo) |
Aggiunge riferimenti alle informazioni sulla catena di certificazione e lo stato di revoca. |
| XAdES-X (esteso) |
Aggiunge un timestamp all'elemento XML-DSig SignatureValue e alle sezioni -T e -C della firma. Il timestamp aggiuntivo protegge i dati dal ripudio. |
| XAdES-X-L (esteso a lungo termine) |
Memorizza le informazioni relative al certificato effettivo e alla revoca dello stesso insieme alla firma. Questo approccio consente la convalida del certificato anche se i server certificati non sono più disponibili. |
Pianificazione delle firme digitali con timestamp in Office 2016
Quando gli utenti aggiungono un indicatore data e ora a una firma digitale, estendono la durata di tale firma. Si consideri, ad esempio, uno scenario con un certificato revocato usato per creare una firma digitale. L'inclusione di un timestamp da un server di timestamp attendibile diventa fondamentale in questo caso. Il fattore chiave è la tempistica del timestamp: se è stato applicato prima della revoca del certificato, la firma digitale può comunque essere considerata valida. Per poter utilizzare la funzionalità relativa all'indicatore data e ora con le firme digitali, è necessario eseguire le operazioni seguenti:
Configurare un server timestamp conforme a RFC 3161.
Utilizzare l'impostazione di Criteri di gruppo Specifica nome server timestamp per indicare il percorso del server timestamp sulla rete.
È anche possibile configurare altri parametri di timestamp configurando una o più delle impostazioni di Criteri di gruppo seguenti:
Configura algoritmo hash per timestamp
Imposta timeout server timestamp
Se non si configura e si abilita l'algoritmo Di configurazione dell'hash di timestamp, viene usato il valore predefinito SHA1. Se non si configura e si abilita Imposta timeout del server timestamp, Office 2016 attende 5 secondi affinché il server timestamp risponda a una richiesta.
Pianificare le impostazioni di firma per Office 2016
Criteri di gruppo fornisce le impostazioni per la configurazione delle impostazioni correlate al timestamp. Inoltre, offre impostazioni per gestire e controllare le firme digitali all'interno di un'organizzazione. I nomi e le descrizioni delle impostazioni sono elencati nella tabella seguente.
Impostazioni di configurazione di Criteri di gruppo per le firme digitali
| impostazione Criteri di gruppo | Descrizione |
|---|---|
| Richiedi OCSP alla generazione della firma |
È possibile impostare un criterio in Office 2016 per assicurarsi che controlli i dati di revoca OCSP (Online Certificate Status Protocol). Questo controllo è necessario per tutti i certificati digitali in una catena durante la generazione di firme digitali. |
| Specifica livello XAdES minimo per la generazione di firme digitali |
Questa impostazione di criterio consente di specificare un livello XAdES minimo che le applicazioni di Office 2016 devono raggiungere per creare una firma digitale XAdES. Se le applicazioni di Office 2016 non riescono a raggiungere il livello XAdES minimo, l'applicazione di Office non crea la firma. |
| Controlla le parti XAdES della firma digitale |
Questa impostazione di criterio consente di specificare se Office 2016 controlla le parti XAdES di una firma digitale durante la convalida di una firma digitale per un documento. |
| Non consentire certificati scaduti per la convalida delle firme |
Questa impostazione di criterio consente di configurare se le applicazioni di Office 2016 accettano certificati digitali scaduti durante la verifica delle firme digitali. |
| Non includere l'oggetto riferimento XAdES nel manifesto |
Questa impostazione di criterio consente di determinare se un oggetto riferimento XAdES viene visualizzato nel manifesto. È necessario configurare questa impostazione su Abilitato se si vuole che Office System 2007 sia in grado di leggere le firme di Office 2016 che contengono contenuto XAdES. In caso contrario, Office System 2007 considera non valide le firme che contengono contenuto XAdES. |
| Seleziona algoritmo hash per le firme digitali |
Questa impostazione di criterio consente di configurare l'algoritmo hash usato dalle applicazioni di Office 2016 per confermare le firme digitali. |
| Imposta livello verifica firma |
Questa impostazione di criterio consente di impostare il livello di verifica usato dalle applicazioni di Office 2016 durante la convalida di una firma digitale. |
| Livello XAdES richiesto per generazione firme |
Questa impostazione consente di specificare il livello XAdES necessario o desiderato durante la creazione di una firma digitale. |
Le impostazioni di Criteri di gruppo seguenti sono correlate alle firme digitali:
Impostazione directory predefinita per le immagini
Filtro utilizzo chiavi avanzato
Firme in formati legacy
Eliminazione provider di firma di Office
Eliminazione voce di menu relativa ai servizi di firma esterni
Impostazioni del Registro di sistema relative alle firme digitali
Nella tabella seguente sono elencate le impostazioni del Registro di sistema specifiche delle firme digitali e i certificati utilizzati per crittografarle. Queste impostazioni del Registro di sistema si trovano in HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures. Non sono presenti Criteri di gruppo corrispondenti.
Impostazioni del Registro di sistema per le firme digitali
| Voce del Registro di sistema | Tipo | Valore | Descrizione |
|---|---|---|---|
| FilterIssuer |
WZ |
Vuoto |
Riduce l'insieme dei certificati disponibili a quelli il cui nome contiene il valore FilterIssuer. |
| MinSigningDSABits |
DWORD |
Vuoto |
Consente di specificare il numero di bit consentiti per la creazione di una firma digitale DSA in Office. |
| InvalidDSABits |
DWORD |
Vuoto |
Specifica il numero massimo di bit letti in una firma digitale DSA. I bit oltre il valore di InvalidDSABits verranno ignorati. |
| InvalidHashAlg |
WZ |
Vuoto |
Specifica gli algoritmi hash usati in precedenza dall'organizzazione per creare firme digitali nelle versioni precedenti di Office (Office 2007, Office 2010, ad esempio) che si desidera rendere non valide ora. Se qui viene specificato un hash, la convalida non riesce per tutti i documenti o i messaggi di posta elettronica che usano tale hash per convalidare una firma digitale. |
| InvalidRSABits |
DWORD |
Vuoto |
Specifica il numero massimo di bit letti in una firma digitale RSA. I bit oltre il valore di InvalidRSABits verranno ignorati. |
| LegacyDSABits |
DWORD |
Vuoto |
Specifica il numero minimo di bit elaborati in una firma digitale DSA legacy, dove legacy fa riferimento a una firma digitale creata per un documento o un messaggio di posta elettronica usando Office 2007 o Office 2010 e dove l'algoritmo hash è stato specificato nell'impostazione della chiave del Registro di sistema LegacyHashAlg. |
| LegacyHashAlg |
WZ |
MD5 |
Definire gli algoritmi hash usati dall'organizzazione per la creazione di firme digitali nelle versioni precedenti di Office, ad esempio Office 2007 e Office 2010. Questo passaggio garantisce la convalida dei documenti legacy e dei messaggi di posta elettronica firmati digitalmente. |
| LegacyRSABits |
DWORD |
Vuoto |
Specifica il numero minimo di bit elaborati in una firma digitale RSA legacy. Una firma digitale creata con Office 2007 o Office 2010 per un documento o un messaggio di posta elettronica viene definita "legacy". In questo contesto, l'algoritmo hash viene specificato tramite l'impostazione della chiave del Registro di sistema LegacyHashAlg. |
| MinSigningRSABits |
DWORD |
Vuoto |
Specifica il numero minimo di bit usati per creare una firma digitale in Office 2016. |
Articoli correlati
Firme elettroniche avanzate XML (XAdES)
Criteri di gruppo file di modelli amministrativi (ADMX/ADML) per Office
Trovare i servizi di firma digitale o ID digitale
Aggiungere o rimuovere una firma digitale nei file di Office
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per