Certificazione e Raccolta Tracce Online · servizio attivo
WACZ · ISO 28500/ Marca temporale eIDAS/ Area riservata
C.E.R.T.O.
Accedi Registrati gratis
IT EN
C.E.R.T.O. / Moduli / File digitali
02 · FILE

File digitali

Scarica e repertizza un file pubblicato online documentandone l'origine, il percorso di rete e l'integrità bit per bit.

Registrati gratis Tutti i moduli
Schermata «Acquisizione File» di C.E.R.T.O. Desktop: si incolla l'URL del file da scaricare, si sceglie la marca temporale (RFC 3161 gratuita o InfoCert qualificata eIDAS) e si avvia. Tre modalità: file singolo, estrazione risorse da una pagina, lista di URL.

Il modulo File di C.E.R.T.O. esegue il download forense di file da remoto: scarica il byte-stream esatto consegnato dal server — un PDF, un'immagine, un documento Office, un audio, un video, un archivio — e lo sigilla come prova digitale con hash crittografici, header HTTP, certificati TLS e doppia marca temporale RFC 3161. È pensato per CTU, CTP, periti, avvocati e forze dell'ordine che devono cristallizzare un file pubblicato online — una foto, un listino, un contratto, un documento — con piena catena di custodia e integrità verificabile.

Caratteristiche principali

Cosa fa questo modulo.

  • Procedura automatizzata multi-step con doppio download di verifica.
  • Analisi DNS, WHOIS, certificato SSL e traceroute verso l'origine.
  • Fallback browser anti-CDN/anti-bot (Cloudflare, Akamai…) con bypass documentato.
  • Confronto degli hash tra i due download per garantire l'integrità.
  • Fascicolo BagIt 1.0 firmato Ed25519, doppia marca RFC 3161 e CASE/UCO.
Report forense finale: il cruscotto interattivo del fascicolo file — riepilogo, file scaricato con anteprima, inventario hash, rete, header HTTP, metadati, marca temporale e verifica integrità.
Pipeline forense

Come opera il modulo.

Una procedura ripetibile e documentata: dal tempo sincronizzato al sigillo crittografico, ogni passaggio sul file scaricato lascia una traccia verificabile dentro il fascicolo.

01 · NTP

Tempo sincronizzato

Sincronizzazione NTP multi-sorgente (Google/Cloudflare/pool) con offset e roundtrip documentati: il momento del download è ancorato.

02 · RESOLVE

Origine e rete

Risoluzione DNS dell'host, interrogazione WHOIS, IP del server e cattura della catena di certificati TLS: l'origine del file è documentata.

03 · DOWNLOAD

Byte-stream esatto

Download del file così come consegnato dal server, senza alterazioni. In presenza di CDN/anti-bot (Cloudflare, Akamai…) C.E.R.T.O. risolve la challenge e lo dichiara nel report.

04 · HEADERS

Header HTTP

Registrazione degli header HTTP di richiesta e risposta (Content-Type, Content-Length, ETag, Last-Modified, server): il contesto del trasferimento è conservato.

05 · HASH

Impronte

Calcolo in streaming a una passata di MD5 + SHA-1 + SHA-256 + SHA-512 (FIPS 180-4): quattro impronte che identificano il file in modo univoco.

06 · METADATA

Metadati

Estrazione dei metadati incorporati: EXIF/XMP/IPTC per le immagini, proprietà ed eventuali firme per i documenti, con GPS e date di creazione/modifica.

07 · REPORT

Report e marca

Generazione del report forense (PDF + TXT) e marca temporale RFC 3161 sul report — cascata gratuita Sectigo→DigiCert→GlobalSign, InfoCert qualificata eIDAS opzionale.

08 · SIGN

Firma e doppia marca

manifest.json firmato Ed25519 (RFC 8032) legato al dispositivo + doppia marca RFC 3161 (ancora interna sul manifest, sigillo esterno sul tag-manifest).

09 · SEAL

Fascicolo sigillato

Tutto è confezionato in un fascicolo BagIt 1.0 (RFC 8493) con descrizione CASE/UCO e verificatori verify.sh / verify.bat.

Contenuto del fascicolo

Tutto ciò che viene generato.

Ogni acquisizione di file produce un insieme coordinato di artefatti, ciascuno con un ruolo forense preciso, organizzati in cartelle dai nomi parlanti dentro data/.

File scaricato

Il byte-stream esatto consegnato dal server, conservato col nome originale — è il media sigillato del fascicolo, autoritativo e non rielaborato.

evidence/<file>

Inventario hash

La quaterna di hash crittografici MD5/SHA-1/SHA-256/SHA-512 del file e di ogni artefatto: la base della verifica di integrità ripetibile da chiunque.

hashes/file-hashes.json

Header HTTP

Gli header HTTP di richiesta e risposta del trasferimento: Content-Type, Content-Length, ETag, Last-Modified, server e cache — il contesto tecnico del download.

network/http-headers.txt

Certificati SSL/TLS

La catena X.509 completa (leaf + intermedi + root, in PEM e leggibile) dell'host da cui è stato scaricato il file, con i dettagli del certificato.

tls/certificates/

Metadati del file

I metadati incorporati estratti dal file: EXIF/XMP/IPTC per le immagini (fotocamera, GPS, date), proprietà ed eventuali firme digitali per i documenti.

reports/metadata-report.txt

DNS · WHOIS · Traceroute

Risoluzione DNS, interrogazione del registro WHOIS (titolare e dati di registrazione del dominio) e mappa degli hop di rete dal client all'host.

network/dns-lookup.txt · whois.txt · traceroute.txt

Report forense

Il rapporto in PDF e TXT (operatore, URL, IP, NTP, SSL, dimensione, hash, dichiarazioni forensi) con la propria marca temporale RFC 3161 (report.tsr).

reports/report.pdf · report.txt · report.tsr

Informazioni di sistema e log

Lo snapshot dell'ambiente operativo al momento dell'acquisizione e il log cronologico di ogni passaggio della procedura, per la piena tracciabilità.

reports/system-information.txt · logs/acquisition-log.txt

Auto-validazione

Un fascicolo che si verifica da solo.

Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.

  • interactive.html — il cruscotto offline navigabile del fascicolo: riepilogo, file scaricato con anteprima, inventario hash, rete, header HTTP, metadati e verifica integrità lato client.
  • manifest.json firmato Ed25519 (RFC 8032), legato all'identità del dispositivo registrato al primo avvio.
  • Doppia marca RFC 3161: ancora interna su data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.
  • manifest-sha256.txt e tagmanifest-sha256.txt (RFC 8493): fixity del payload e dei file di controllo; nessun file può essere aggiunto o alterato senza che la verifica fallisca.
  • metadata/evidence.case.jsonld — descrizione CASE 1.3 / UCO 1.4 della prova, e tsa-ca.pem per la verifica della marca anche offline.
  • verify.sh / verify.bat — verificatori autonomi: ricalcolano gli hash, controllano la doppia marca e la firma, e dichiarano «BUNDLE VALIDO».
FAQ

Domande frequenti

Download forense di file, validità della prova, tipi di file supportati e verifica del fascicolo: le domande più comuni.

Cos'è l'acquisizione forense di un file?
È il download di un file da una sorgente remota (un URL) eseguito in modo forense: il byte-stream esatto consegnato dal server viene catturato, se ne calcolano gli hash crittografici e si sigilla in un fascicolo verificabile, così da poterlo usare come prova digitale.
Che differenza c'è rispetto a un normale download?
Un download normale non lascia traccia verificabile dell'origine, del momento e dell'integrità. C.E.R.T.O. registra l'URL, l'IP del server, gli header HTTP, i certificati TLS, l'ora sincronizzata via NTP, calcola quattro hash e applica una doppia marca temporale RFC 3161 con firma Ed25519: il file diventa una prova opponibile.
Quali tipi di file si possono acquisire?
Qualsiasi file raggiungibile via URL: documenti PDF e Office, immagini, audio e video, archivi. Per le immagini e i documenti vengono estratti anche i metadati (EXIF/XMP/IPTC, proprietà del documento, firme).
Si possono acquisire più file insieme?
Sì. Oltre al singolo URL, si può incollare una lista di URL per acquisizioni multiple, oppure analizzare una pagina web per individuare e selezionare immagini, documenti e archivi da scaricare e certificare.
L'acquisizione è valida come prova in giudizio?
Il fascicolo segue standard riconosciuti (ISO/IEC 27037, BagIt RFC 8493, RFC 3161, CASE/UCO) con firma Ed25519 e doppia marca temporale; autenticità e integrità sono verificabili da chiunque, anche offline. L'idoneità probatoria è quindi tecnicamente solida; la valutazione finale spetta all'autorità giudicante.
Come si verifica l'integrità del file scaricato?
Il fascicolo contiene l'inventario degli hash (MD5/SHA-1/SHA-256/SHA-512), il manifest firmato Ed25519, la doppia marca RFC 3161 e i verificatori verify.sh / verify.bat: ricalcolano gli hash e confermano che il file non è stato alterato, senza bisogno di C.E.R.T.O.

Raccogli prove con il modulo File digitali.

Registrati gratis e scarica C.E.R.T.O. Desktop per Windows e macOS dalla tua area riservata.

Registrati gratis Torna ai moduli