Verifica Firma Software

In questa pagina sono descritte le modalità di verifica del software scaricato dal sito dell’Agenzia delle Entrate.

La verifica può essere fatta in due modalità, a seconda del sistema operativo utilizzato.

  • Per i pacchetti software Windows, sarà possibile verificare la firma digitale del pacchetto stesso.
  • Per i pacchetti software Linux e Mac sarà possibile verificare l’hash del file scaricato.

Al momento dell'esecuzione del pacchetto software firmato, dopo aver installato il certificato dell'Agenzia delle Entrate, si apre un finestra nella quale compare la voce "Autore: Agenzia delle Entrate - software".
In alternativa può comparire la voce "Autore: Sogei – Societa' Generale d’Informatica S.p.A.".
La schermata seguente riporta, a titolo esemplificativo, la finestra che si apre utilizzando Internet Explorer 6 e sistema operativo Windows XP.

Immagine avviso di protezione

Cliccando sul collegamento "Agenzia delle Entrate - software" si può esaminare il dettaglio del certificato di firma associato al programma. Tale certificato deve riportare le voci:

  • "Rilasciato a: Agenzia delle Entrate - software"
  • "Rilasciato da: CA Agenzia delle Entrate" come indicato a titolo di esempio nella figura seguente.

Immagine informazioni sul certificato CA

Queste due voci indicano che il programma è stato rilasciato dall'Agenzia delle Entrate e danno, quindi, garanzia circa l'autore del pacchetto applicativo.
Se si volessero ottenere ulteriori informazioni di sicurezza relative ai dettagli del certificato e al percorso di certificazione si può cliccare sulle linguette relative.
La schermata seguente riporta, a titolo esemplificativo, la finestra che si apre cliccando sul file eseguibile con sistema operativo Windows 7.

Immagine controllo account utente

Cliccando con il tasto destro del mouse sul file eseguibile e selezionando la voce "Proprietà", nella linguetta "Firme digitali" sarà possibile verificare il certificato di firma di Sogei. Cliccando sul tasto "Dettagli" e su "Visualizza Certificato" comparirà la seguente schermata.

Immagine informazioni sul certificato server

Questi dettagli indicano che il programma è stato rilasciato da Sogei e danno, quindi, garanzia circa l'autore del pacchetto applicativo.

L’importazione del certificato deve essere effettuata nell’archivio “Autorità di certificazione radice attendibili”, selezionabile dall’apposita schermata durante l’importazione guidata.

Salvare il certificato in una cartella (ad esempio desktop), per salvare in automatico il certificato basta cliccare sul link tenendo premuto il tasto alt della tastiera, eseguire doppio clic sul file, in automatico il sistema dovrebbe chiedere di aggiungere il file al portachiavi, come tipo portachiavi occorre scegliere "login" o, nel caso di Mac OSX 10.2, il nome utente, con cui si accede sul Mac.

Qualora il sistema non riconoscesse in automatico il certificato occorre seguire la seguente procedura: Aprire una finestra del terminale, posizionarsi nella cartella dove è stato salvato il certificato, digitare la seguente riga di comando:

nel caso di Mac OSX 10.2:
certtool i ca.cer k=nomeutente d=der
dove "nomeutente" è quello con cui si accede sul Mac.

Nel caso di Mac OSX 10.3 o successivi:
certtool i ca.cer k=login d=der

Di fianco ad ogni link per scaricare un pacchetto software dell’Agenzia delle Entrate è pubblicato il codice hash del pacchetto stesso che l’utente può controllare per avere garanzia dell’integrità del file scaricato.

Il codice hash è in formato SHA-256 e calcolato al momento della pubblicazione del file sul sito.

Su sistema operativo Linux è possibile utilizzare il comando sha1sum per verificare l’hash, in questo modo

$ sha256sum nomefile

Su sistema operativo Mac è possibile utilizzare il comando shasum per verificare l’hash, in questo modo

$ shasum -a 256 nomefile