Ultimo aggiornamento: 2025-12-31

Cos’è Privacy Proof?

Privacy Proof è il sistema di PureSuite che genera una ricevuta verificabile per ogni elaborazione, così puoi controllare (in modo indipendente) che:

il file originale e il file risultante corrispondano esattamente a quelli indicati nella ricevuta (via hash SHA-256);
la ricevuta non sia stata alterata dopo la creazione (via firma digitale);
in modalità Privacy Proof, un Network Guard blocchi e registri eventuali tentativi di invio “sensibile” (File/Blob/bytes) verso la rete.

Opzionale: puoi anche notarizzare la ricevuta su un log pubblico (Rekor) per aggiungere una prova di data/ora di esistenza.

Importante: Privacy Proof è pensato per gli strumenti che elaborano i file localmente nel browser. La sezione “Converti documenti” usa un nostro server dedicato (https://api.puresuitepdf.com) per eseguire la conversione: in quel caso il file viene inviato al server per la sola conversione.

Cosa viene generato

Quando Privacy Proof è attivo, al download del risultato viene generata anche una ricevuta:

nomefile.psproof.json — la ricevuta (da conservare insieme ai file)

Cosa contiene la ricevuta (.psproof.json)

Hash SHA-256 di originale e risultato (integrità).
Meta: tool, operazione, timestamp, (eventuale) user-agent.
Network Guard: contatori allowed/blocked e (se presenti) i dettagli dei tentativi di rete registrati.
Firma digitale (signature): rende la ricevuta anti-manomissione.

Firma digitale: cosa significa “Firma: OK”

La ricevuta viene firmata nel browser con ECDSA P-256 + SHA-256. La chiave privata di firma viene generata ed utilizzata localmente (non viene mai inviata in rete) per creare nuove ricevute.

Cosa succede se cancelli cookie/dati del sito? I cookie non contengono la chiave. Tuttavia, se cancelli i dati del sito (storage/archiviazione del browser per PureSuite), il browser può rimuovere anche la chiave privata: in quel caso PureSuite ne genera una nuova e le nuove ricevute avranno un identificatore (kid) diverso.

Importante: la verifica di una ricevuta già generata continua a funzionare anche dopo la pulizia del browser, perché la ricevuta include la chiave pubblica (in formato JWK) necessaria a verificare la firma.

Se qualcuno modifica anche un solo carattere della ricevuta, la verifica della firma fallisce.

Network Guard: Allowed vs Blocked

Quando Privacy Proof è attivo, un “Network Guard” intercetta le API di rete più comuni (fetch/XHR/beacon/WebSocket) e:

Blocked: blocca i tentativi di invio “sensibile” (File, Blob, ArrayBuffer, FormData con file) e li registra in ricevuta.
Allowed: lascia passare richieste “normali” della pagina (risorse, configurazioni, CMP/Ads/Analytics, ecc.).

Se vedi domini Google tra le allowed è tipicamente legato a CMP/ads/analytics: non significa che il tuo documento sia stato inviato come file.

Eccezione “Converti documenti” (server)

La sezione Converti documenti invia il file a https://api.puresuitepdf.com per la conversione. Con Privacy Proof attivo, il Network Guard:

consente l’invio “sensibile” solo verso https://api.puresuitepdf.com (allowlist);
continua a bloccare invii “sensibili” verso qualunque altro dominio;
registra comunque l’evento nel log rete della ricevuta (trasparenza).

Come verificare una ricevuta

Apri la pagina Verifica ricevute.
Carica la ricevuta .psproof.json.
(Consigliato) carica anche Originale e Risultato per verificare i due hash.
Controlla che sia tutto OK (firma, hash, Network Guard).

Verifica indipendente (Win/macOS/Linux)

Se vuoi verificare i file senza fidarti del sito, puoi calcolare l’hash SHA-256 con strumenti standard e confrontarlo con i valori presenti nella ricevuta:

original.sha256 — hash del file originale
result.sha256 — hash del file risultante

Comandi SHA-256

Windows (CMD): certutil -hashfile "FILE" SHA256
Windows (PowerShell): Get-FileHash -Algorithm SHA256 "FILE"
macOS: shasum -a 256 "FILE"
Linux: sha256sum "FILE"

Suggerimento: in Verifica ricevute trovi anche i pulsanti “Copia” per gli hash attesi e per i comandi, così puoi incollarli direttamente nel terminale.

Verifica indipendente dell’entry Rekor (opzionale)

Se hai notarizzato, oltre ad aprire il link “Apri entry” nel browser puoi anche interrogare Rekor da terminale:

macOS/Linux: curl -s "https://rekor.sigstore.dev/api/v1/log/entries/<UUID>" | head
Windows (PowerShell): curl.exe -s "https://rekor.sigstore.dev/api/v1/log/entries/<UUID>" | more
Windows (PowerShell alternativa): (Invoke-WebRequest "https://rekor.sigstore.dev/api/v1/log/entries/<UUID>").Content

Questi comandi scaricano il JSON pubblico dell’entry: dimostrano in modo indipendente che l’entry esiste nel log Rekor.

Notarizzazione (Rekor): prova di “esistenza a data”

Oltre alla verifica locale (hash + firma), PureSuite offre una funzione opzionale chiamata Notarizza (Rekor). Serve a ottenere una prova esterna che la ricevuta esisteva già in una certa data/ora.

In breve

Cos’è: registrazione su un log pubblico append-only (Sigstore Rekor).
Cosa invii: solo hash della parte firmata della ricevuta + firma + chiave pubblica. Nessun file viene inviato.
Cosa ottieni: un file .psproof.rekor.json con UUID, integratedTime, logIndex e link all’entry.
Quando usarla: archiviazione, audit, dispute (“questa ricevuta esisteva già quel giorno”).

Cosa viene registrato (e cosa NO)

Registrato su Rekor: l’hash SHA-256 della “parte firmata” della ricevuta (JSON canonicalizzato senza campo signature), più firma e chiave pubblica.
Non registrato: il contenuto del documento, né l’originale/risultato, né la ricevuta completa.

Nota: Rekor è un registro pubblico. Chiunque può vedere che esiste un record per quell’hash (e vedere firma+chiave pubblica), ma non può ricostruire il tuo file da un hash.

Come si usa

Apri Verifica ricevute e carica la tua .psproof.json.
(Opzionale) carica anche Originale e Risultato per la verifica completa degli hash.
Premi Notarizza (Rekor).
Il browser scarica un file nomefile.psproof.rekor.json: conservalo insieme alla ricevuta.

Come verificare una notarizzazione

Hai due modi:

Su PureSuite (comodo): in Verifica ricevute carica .psproof.json + .psproof.rekor.json. Se l’hash calcolato localmente combacia, vedrai Notarizzazione (Rekor): OK con data/ora locale (e UTC) e un link “Apri entry”.
Indipendente (esterno): apri il link “Apri entry” verso rekor.sigstore.dev e controlla che l’entry esista e riporti
Nota Windows: in PowerShell usa curl.exe (non curl alias) oppure Invoke-WebRequest.
integratedTime / logIndex.

Perché vedi “UTC” e “Locale”

Rekor usa un timestamp in UTC. PureSuite mostra anche l’ora locale del dispositivo (Italia, USA, ecc.) per evitare confusione.

Privacy e consenso

La notarizzazione è manuale: succede solo se premi tu il pulsante.
È una chiamata di rete verso Rekor (log pubblico). Nessun file viene inviato, ma l’hash/firma/chiave diventano pubblici nel log.
Se vuoi restare 100% offline, non usare la notarizzazione e conserva solo .psproof.json + file.

Cosa dimostra (e limiti)

Dimostra: integrità dei file (hash) + integrità della ricevuta (firma) + comportamento del tuo browser rispetto agli invii “sensibili” (Network Guard).
Non può garantire scenari fuori dal controllo della pagina (es. estensioni malevole, malware/OS, browser compromesso).

Suggerimento: conserva la ricevuta insieme ai file elaborati per poterla verificare in futuro.