Firma digitale: breve descrizione e link per approfondimenti


Che cosa é la firma digitale?

La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità e provenienza; è generata a partire da un documento e da un numero (chiave privata). Si fonda su tecnologie di crittografia sviluppate dal dipartimento della difesa americana a partire dagli anni ’70. La crittografia è considerata strategicamente rilevante per la sicurezza nazionale del governo USA e la sua esportazione è ristretta da apposite leggi. Gli algoritmi sono comunque trapelati ed oggi sono di conoscenza pubblica.

La sicurezza ed i sistemi di crittografia

La sicurezza nelle transazioni su reti pubbliche si basa su quattro principi:

    • Autenticazione: capacità di garantire al destinatario del messaggio la certezza dell’autenticità dell’identità dichiarata del mittente;
    • Integrità: capacità di trasferire documenti con la sicurezza che durante tutto il tragitto sulla rete pubblica non vengano alterati;
    • Riservatezza: capacità di garantire l’accesso al documento solo a chi è in possesso della chiave di lettura;
    • Non ripudio: garantire al destinatario la non ripudiabilità della manifestazione di volontà espressa dal mittente con l’invio del messaggio.
Esistono due tecniche crittografiche:
    • A Chiave Simmetrica (DES - Data Encryption Standard): viene utilizzata una sola chiave per crittare e decrittare; affinché il sistema funzioni la chiave deve essere condivisa tra i soggetti che si scambiano le informazioni;
    • A Chiave Asimmetrica: esistono due chiavi in possesso di ciascun soggetto, una per crittare (chiave privata) e l’altra per decrittare (chiave pubblica) il messaggio. La chiave privata è custodita dal suo proprietario mentre quella pubblica, necessaria per verificare l’autenticità dovrà essere disponibile per chiunque su una directory pubblica. Il sistema si basa sulla segretezza della chiave privata. RSA è il più famoso ed efficace algoritmo a chiave pubblica; la chiave privata è costituita da due grandissimi numeri primi, mentre la chiave pubblica dal loro prodotto.
La firma digitale è una realtà in Italia grazie all’art. 15 della legge 15/3/97 n.59 (nota come "Bassanini 1") che attribuisce piena validità agli atti realizzati con mezzi informatici nonché alla loro archiviazione e trasmissione. Il primo regolamento di attuazione di tale legge è contenuto nel Decreto del Presidente della Repubblica del 10/11/97 n. 513.

Emissione dei certificati

Il cittadino si reca presso una "Registration Autority" che ne verifica l’identità e che gli consegna il necessario per generare le proprie chiavi (privata e pubblica); con una transazione in rete il cittadino chiede alla "Certification Autority" un certificato digitale e contestualmente consegna la chiave pubblica; la "Certification Autority" rilascia al cittadino il certificato e lo pubblica su una directory costruita secondo gli standard X.500. La "Certification Autority" rende disponibili anche l’elenco delle chiavi pubbliche non più valide (Revocation list) o di quelle sospese.

figura1.gif (19584 byte)

La validità del certificato dipende dalla data di scadenza naturale dello stesso (max 3 anni), dal fatto che sia presente nella lista di revoca oppure in una lista di sospensione, dalla validità data dalla "Certification Autority" che lo ha emesso. La fiducia degli utilizzatori del sistema dipenderà dall’autorità della "Certification Autority" che ha emesso il certificato e dalla classe dei certificati utilizzati (il diverso livello di garanzia degli stessi è descritto nella policy della CA).

Per costituire una CA occorre:

    • avere un capitale sociale di 12.5 MLD di lire;
    • dotarsi di strutture tecnologiche rispondenti a parametri di sicurezza particolari (certificazione ITSEC, controllo accessi, sicurezza e replicazione dei server);
    • dotarsi di sistemi di sicurezza ambientali straordinari;
    • certificarsi ISO 9002 entro il primo anno di vita.
La CA può inoltre effettuare l’operazione di timestamping che deve essere compiuta in tempo reale. L’esigenza del timestamping proviene dalla necessità di localizzare temporalmente la nascita di un documento per provarne l’esistenza ad una certa data e controllare che il certificato relativo alla firma del documento sia valido alla data di composizione.

Come avviene la firma e come si verifica

Il meccanismo di generazione di una firma elettronica si basa su una funzione matematica detta "Hash" che opera una manipolazione sul messaggio originale riducendolo a 160 bit; il risultato prodotto da questa operazione si chiama "Digest". Il digest viene cifrato con la chiave privata del mittente.

figura2.gif (13468 byte)

Il destinatario riceve il documento, lo estrae e ripete l’operazione di hash con la chiave pubblica; se il risultato è identico al digest ricevuto ha la certezza che il documento è stato spedito da chi lo ha firmato.

figura3.gif (11972 byte)

La carta a microprocessore: (smart card)

Attualmente considerato il supporto sicuro per registrare la firma.

E’ una tessera delle dimensioni di una carta di credito nella quale viene inserito un chip dotato di microprocessore (CPU a 8 bit) programmabile. La memoria presente sulla carta è di tre tipi:

    1. RAM (Random Access Memory) utilizzata dalla cpu come area di lavoro temporanea
    2. ROM (Read Only Memory) contiene il sistema operativo, il codice per applicazioni particolari e la strutturazione delle aree di memoria: non è cancellabile
    3. Eeprom (Electrically Erasable Programmable Rom) contenente i dati del portatore

La sicurezza è gestita in modo articolato dal sistema operativo che oltre ad effettuare calcoli crittografati con vari algoritmi è in grado di registrare eventuali errori o tentativi di accesso. Gli standard per questi dispositivi non sono ancora stati definiti; esiste solo il riferimento alle regole definite da ISO7816

Tecnologie impiegate

Crittografia (RSA, DSS, SHA-1, RIPEMD 160)

Accesso alla directory X.500 (DAP, LDAP)

Protocolli di accesso alle smart card (Criptoki, PCKS#11)

Protocolli di cross certificazione (PCKS#10)

SET (secure Electronic Transaction): specifiche alle quali dovranno attenersi I sistemi di regolazione dei pagamenti on line

SSL (Secure Sockets Layer): protocollo che garantisce privacy e autenticazione di identità sulla rete

Elenco siti che parlano di firma digitale

Legislazione e "paper" di riferimento.

http://www.aipa.it - riferimento legislativo

http://www.aipa.it/servizi[3/normativa[4/leggi[1/l127_97.asp – estratto della legge Bassanini

http://www.aipa.it/servizi[3/normativa[4/leggi[1/dpr513_97.asp – Il DPR 513.

http://www.aipa.it/servizi[3/normativa[4/leggi[1/regfin.asp – il DPCM contenente le specifiche tecniche, attualmente all’esame della corte dei conti.

http://www.interlex.com/docdigit/indice.htm – commenti alle norme.

Informazioni generiche sulla firma.

http://www.rur.it/iniziat/actores/fdig.htm – sito a cura della Rete Urbana delle Rappresentanze (RUR)

Approfondimenti

Gli esperti

http://idea.sec.dsi.unimi.it/NEW/newpos.html – Commento alla norma Italiana da parte del CERT-IT

http://www.ietf.org/html.charters/pkix-charter.html - IETF (Internet Engineering Task Force) per standardizzazione della PKI

Esperimento Europeo ICE-TEL

http://ice-tel.uni-c.dk/ice-ca/ - sistema di CA gerarchico a cui partecipa per l'Italia il politecnico di Torino

Chi ha inventato uno degli algoritmi di firma

http://www.rsa.com

Vendors di Software per Certification Authority

http://www.entrust.com

http://www.baltimore.com

Archiviazione Ottica

http://www.aipa.it/attivita/standard[5/ottica[1/index.asp – Disposizioni AIPA per l’archiviazione ottica.


Per ulteriori informazioni sugli argomenti inviare e-mail a:
m.aldrovandi@ads.it