CertiExchMANUALI OPERATIVI
Home
Manuale attestazione e blockchain

Verifica indipendente ed evidence bundle

Verifica indipendente ed evidence bundle#

Una prova è utile soltanto se può essere verificata senza fidarsi ciecamente dell’interfaccia che la mostra. CertiSigma espone endpoint pubblici per verifica, status, chiavi ed evidence bundle. CertiExch conserva il pacchetto di prova e collega ogni evidenza all’oggetto di dominio che l’ha generata.

Contenuto minimo del bundle#

Un bundle completo dovrebbe contenere:

  • hash attestato e algoritmo;
  • attestation ID;
  • versione del formato;
  • firma T0 e identificativo della chiave;
  • chiave pubblica o riferimento verificabile;
  • timestamp e token TSA T1;
  • prova Merkle;
  • dati OTS e riferimento Bitcoin T2;
  • stato di ciascun livello;
  • riferimenti di correlazione CertiExch;
  • istruzioni o risultati di verifica.

I metadati organizzativi privati non devono essere inclusi automaticamente nel pacchetto pubblico. L’eventuale condivisione con auditor o consulenti avviene attraverso autorizzazioni e pacchetti dedicati.

Procedura di verifica forense#

Risultati possibili#

La verifica non è soltanto vero/falso. Può produrre:

  • hash non corrispondente;
  • T0 valido, T1 ancora pending;
  • T1 valido, T2 non ancora consolidato;
  • prova Merkle incompleta;
  • chiave sconosciuta o revocata;
  • token TSA non verificabile;
  • prova OTS non aggiornata;
  • prova crittografica valida ma correlazione applicativa assente.

L’ultimo caso è particolarmente importante: una attestazione valida può non appartenere al workflow dichiarato. Il verificatore deve controllare anche il riferimento nel registro e l’audit dell’attore.

Verifica pubblica e privacy#

La verifica pubblica restituisce il livello crittografico. La claim organizzativa resta privata. Questo consente a un investitore di verificare una prova senza vedere dati personali, note interne o informazioni appartenenti ad altri tenant.

Conservazione#

L’evidence store deve essere sottoposto a backup, controllo di integrità e retention. La presenza di una prova pubblica non elimina la necessità di conservare il documento originale, il Master Record e i dati necessari a interpretarlo. Hash senza contenuto e contenuto senza prova sono entrambi insufficienti per una ricostruzione completa.