[09-02-2016] Come devono essere trasferiti in archivio i documenti firmati elettronicamente?
Il problema di fondo è che la validità di una firma elettronica scade dopo 3 o 5 anni. Il motivo principale è che la Chain of Trust tra l'autorità di certificazione e il documento non può essere mantenuta indefinitamente. Ne consegue che una nuova firma diventa necessaria dopo 3 o 5 anni. Questo non è possibile nell'archivio per motivi organizzativi e di costo.
Come best practice informale, CECO raccomanda di controllare la firma quando viene trasferita all'archivio (ingest) e di registrare il risultato nei metadati. La garanzia di autenticità del documento si basa quindi sullo stato dell'archivio come Trusted Repository; le firme sui singoli documenti non vengono più aggiornate nell'archivio. A tal fine, sarebbe auspicabile inserire nell'AIP i metadati "è firmato" e "firma valida alla data della chiave", nonché le Credentials del firmatario (nome, chiave, data di validità, ecc.) come informazioni aggiuntive facoltative.
Ci sono vari modi per implementarlo:
Nei casi 3 e 4, sarebbe anche possibile adottare le Credentials del firmatario, nel qual caso sarebbe ancora possibile verificare l'autenticità del documento con il valore hash della firma in un secondo momento e anche dopo la scadenza della firma. Sarebbe anche più facile determinare l'identità del firmatario in un secondo momento.