Verifica anche fuori dalla piattaforma.

Materiali di verifica

I materiali necessari alla verifica indipendente di un'evidenza CertiSigma includono:

• Public signing key in formato JWK (JSON Web Key, RFC 7517).

• Fingerprint della chiave (SHA-256 della JWK canonicalizzata).

• Algoritmo di firma (cut 1: ECDSA su NIST P-256, messaggio SHA-256, conforme FIPS 186-4).

• Formato del payload canonico (campi, ordine, encoding).

• Regole di canonicalizzazione (JSON canonicalization scheme documentato).

• Policy di rotazione chiavi e periodi di validità.

• Test vector (input → output di esempio per verificare l'implementazione locale).

• Istruzioni di verifica offline (CLI, snippet di codice, libreria di riferimento).

• Sample evidence bundle (esempio reale di output T0/T1/T2 ri-verificabile end-to-end).

• Stato delle chiavi e informazioni di revoca, dove applicabili.

Fiducia ricostruibile

La fiducia non deve dipendere solo dalla piattaforma. Deve poter essere ricostruita attraverso materiali verificabili.

Un auditor, un tecnico, una controparte o un revisore deve poter comprendere quale chiave ha firmato, quale payload è stato firmato, quale algoritmo è stato usato e come ripetere la verifica — senza richiedere accesso autenticato al sistema CertiSigma.

Minimum Durable Evidence Set

Per una prova durevole non basta memorizzare un link o uno screenshot. Il set minimo di evidenza comprende:

• attestation ID;

• digest SHA-256 del file attestato;

• timestamp UTC di attestazione T0;

• firma ECDSA T0;

• livello di evidenza (T0 / T1 / T2);

• payload canonico completo;

• identificativo della chiave pubblica e fingerprint;

• dove disponibili: TSA TimeStampToken T1, Merkle proof verso la root T1/T2, OTS proof T2 con riferimento block Bitcoin;

• istruzioni di verifica.

Questo set permette a una terza parte di ricostruire la verifica anche se l'interfaccia applicativa non è disponibile o se l'evidenza deve essere trasferita in un contesto di audit, contenzioso, due diligence o investigazione.

Manifest locale

Per i workflow più sensibili è consigliabile conservare un manifest locale collegato al file o al dossier attestato. Il manifest può documentare percorso interno, origine del workflow, data di raccolta, operatore, sistema coinvolto, note di catena di custodia e riferimenti agli evidence bundle.

Queste informazioni non devono necessariamente diventare pubbliche: servono a rendere ricostruibile il processo internamente, e a essere prodotte in caso di audit o contenzioso.

Verifica offline — pattern operativo

Pattern raccomandato per ri-verificare un'evidenza CertiSigma senza dipendere dal servizio:

1. Esportare l'evidence bundle dalla piattaforma (operazione autenticata).

2. Conservare il bundle insieme al file originale e al manifest locale.

3. Per ri-verificare T0: ricalcolare SHA-256 del file, confrontare con il digest nel bundle, verificare la firma ECDSA con la public key pubblicata.

4. Per ri-verificare T1: validare il TimeStampToken RFC 3161 con la public key TSA Sectigo, ricostruire il percorso Merkle dal digest fino alla root marcata.

5. Per ri-verificare T2: usare strumenti OpenTimestamps open source per validare il proof OTS contro un nodo Bitcoin o un explorer pubblico.

Nessuno di questi passi richiede l'API CertiSigma. Tutti possono essere eseguiti offline o con strumenti pubblici di terze parti.