Il Gruppo Finmatica ha in atto un progetto di introduzione della firma digitale all’interno di tutti i suoi applicativi, con un particolare riguardo verso quelle funzionalità rilevanti per la comunicazione tra Pubblica Amministrazione ed attori privati (aziende, organizzazioni, cittadini).

La firma digitale si basa sulla più recente teoria di crittografia ed è quindi indispensabile acquisire tecnologie appropriate per la gestione ed il trattamento delle funzioni crittografiche di base.

L’utilizzo delle tecnologie di crittografia e di firma digitale porta alla realizzazione delle seguenti funzionalità all’interno dei sistemi applicativi:

·         autenticazione e identificazione certa degli utenti;

·         riservatezza dei documenti;

·         riservatezza delle comunicazioni.

A tal fine l’obiettivo primario del progetto è la realizzazione di un strato di integrazione con tutti gli ambienti di sviluppo utilizzati correntemente in azienda: PowerBuilder, Developer, LotusNotes e Java.

Questo implica uno studio continuo degli strumenti per la gestione della firma digitale e del costante aggiornamento della soluzione tecnologica alle novità legislative.

Il progetto mira a mantenere costante il rapporto di conformità verso la legge Italiana in materia, con particolare riferimento agli utilizzi delle tecnologie nelle soluzioni informatiche per la Pubblica Amministrazione.

 
Breve introduzione alla firma digitale
Generalità

La diffusione degli strumenti informatici e la parallela crescita della comunicazione attraverso le reti di calcolatori hanno posto con pressante urgenza il problema della sostituzione del tradizionale documento cartaceo con un equivalente strumento informatico. Il meccanismo universalmente adottato per costruire tale strumento è la firma digitale basata sulla crittografia a chiavi pubbliche.
 
Definizione

La firma digitale è una informazione che viene aggiunta ad un documento informatico al fine di garantirne integrità e provenienza. Sebbene l’uso per la sottoscrizione dei documenti formati su supporti informatici sia quello più naturale, essa può essere utilizzata per autenticare una qualunque sequenza di simboli binari, indipendentemente dal loro significato. Un esempio sempre più comune di questo uso generalizzato è l’aggiunta di firme digitali ai file contenuti nella memoria di massa di un sistema di elaborazione onde contrastare gli attacchi dei virus e degli hacker.

La principale differenza tra firma autografa e firma digitale sta nel fatto che la prima è direttamente riconducibile all’identità di colui che la appone, poiché la calligrafia è un elemento identificativo della persona, mentre la seconda non possiede questa proprietà. Per coprire questa deficienza si ricorre all’autorità di certificazione, il cui compito è quello stabilire, garantire e pubblicare l’associazione tra firma digitale e soggetto sottoscrittore.

Per contro, mentre l’associazione tra testo di un documento e la firma autografa è ottenuta esclusivamente attraverso il supporto cartaceo, la firma digitale è intrinsecamente legata al testo a cui è apposta, tanto che i due oggetti possono essere fisicamente separati senza che per questo venga meno il legame esistente tra loro. Conseguenza di ciò è l’unicità della firma digitale, nel senso che a testi diversi corrispondono firme diverse e quindi, nonostante la sua perfetta replicabilità, è impossibile trasferirla da un documento ad un altro.

Il processo di firma digitale associato ad un documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo.

La "firma digitale" è un processo basato sulla crittografia. Il termine crittografia proviene dal greco e corrisponde al termine “scrittura segreta”. La crittografia è stata definita da Bruce Schneier come “l’arte e la scienza della sicurezza dei messaggi.

 
La sicurezza è basata su queste caratteristiche:

·         riservatezza: il contenuto del messaggio è nascosto a tutti tranne che al destinatario;

·         autenticazione: certezza che il messaggio è stato mandato dal soggetto che dichiara di averlo spedito;

·         integrità: l'informazione non può essere alterata senza che il ricevente se ne accorga;

·         non ripudiabilità: chi spedisce il messaggio non può ripudiarlo, viene individuato con certezza.

Third Party Certification
La necessità di una terza parte nella comunicazione tra due entità deriva da una semplice considerazione: ciò che effettivamente viene certificato dal sistema di firma digitale è che chi ha spedito il messaggio possiede la chiave privata relativa alla parte pubblica che, in ricezione, è stata utilizzata.

E’ possibile, per chiunque abbia un software adatto, la generazione di coppie di chiavi fittizie da utilizzare in modo abusivo e completamente scollegato da una specifica persona fisica.

Non vi sarà quindi alcuna certezza sull’identità del mittente finché non esisterà un certificato che attesti il collegamento tra l’uso di una certa coppia di chiavi ed il suo possessore.

Tale certificato può essere prodotto solo da una terza parte autonoma, ma riconosciuta dagli utilizzatori del sistema.

E’ proprio la costituzione di questa fondamentale entità la chiave di volta del sistema di crittografia a chiave pubblica. Grazie a questa è possibile il servizio di non ripudio che permetterà di collegare una firma digitale con il suo legittimo possessore della quale sarà responsabile allo stesso modo di una firma tradizionale.

La costituzione di terze parti di per sé non comporta particolari problemi se non quelli tecnici in termini di accordi sui formati (standard) da utilizzare per assicurare l’interoperabilità tra sistemi costruiti da differenti produttori di software. L’utilizzo invece della firma digitale al posto di quella tradizionale, pone numero problematiche, sia giuridiche che tecniche.

In breve, la Certification Authority:

·         emette, revoca e verifica i certificati di identità digitale;

·         predispone una infrastruttura costituita da un server web per la gestione di tali certificati da utilizzare per le transazioni via internet;

·         fornisce il servizio di Timestamping dei documenti (associazione certa di data ed ora ad un documento).

L’implementazione della firma digitale all’interno degli applicativi del Gruppo Finmatica fa uso di un livello di interfaccia posto tra l’applicativo ed il kernel di crittografia e di firma digitale, come esemplificato dalla figura seguente.

Questa struttura permette di:

·        Utilizzare il software di firma digitale di qualsiasi vendor sul mercato, con un intervento minimo a livello di implementazione dell’interfaccia verso il Kernel.

·        Utilizzare qualsiasi hardware di lettori smart card.

·        Non intervenire all’interno dell’applicazione a fronte di modifiche tecnologiche.

La seconda permette l’accesso alle funzionalità di firma digitale agli applicativi client/server.

 
Profilo Legale

L’architettura di sicurezza basata sulla Firma Digitale si riferisce al D.P.R. n.513/1997 e seguente D.P.C.M. 8 febbraio 1999.

Nell’ambito dell’implementazione alcune componenti tecnologiche potranno essere modificate, o direttamente sostituite, in relazione alle sopravvenute necessità organizzative ed all’eventuale cambiamento dell’assetto legislativo.

Tale metodologia è dettata dalla prudenza e dalla consapevolezza della criticità applicativa ed organizzativa delle implicazioni legali e dell’evoluzione degli standard tecnologici.

La modularità a cui si ispira questo progetto permetterà facilmente estensioni, modifiche o sostituzioni di quanto potrà risultare utile ed efficace all’organizzazione.
 
Requisiti tecnologici

L’implementazione supporta il riconoscimento dei partecipanti ad un sistema di sicurezza (Utenti, Entità di Certificazione) e la realizzazione di procedure di firma e non ripudio.

Vengono adottati gli standard emessi da ISO e FIPS e quelli indicati nei documenti pubblici PKCS.

L’attuale rilascio non prevede la memorizzazione dei certificati in un directory server x500, in quanto la massa critica dei dati e degli utenti non ne giustifica l’utilizzo.

Sarà comunque possibile in modo semplice ed indolore implementare tale componente sulla base di nuove esigenze che ne motivino l’impiego.

Il sistema prevede:

·        L’integrazione della firma digitale negli applicativi del Gruppo Finmatica a prescindere dalla tecnologia utilizzata. In particolare lo standard gestisce i seguenti aspetti:

2.        Firme singole, firme multiple, firme automatiche.

3.        Verifica della firma

4.        Timestamp

5.        Gestione Database Certificati

6.        Gestione CRL/CSL

·         Realizzazione degli strumenti ad alto livello per l’implementazione della firma digitale da utilizzare con i vari ambienti di sviluppo adottati all’interno del gruppo (interfaccia di accesso alle primitive crittografiche e di firma).

·         Analisi e studio delle infrastrutture per la gestione di chiavi pubbliche rivolti all’identificazione della struttura più idonea da ricostruire presso il cliente a seconda delle esigenze dello stesso. Le funzionalità minime dovrebbero essere le seguenti:

8.        Gestione di richieste di certificati

9.        Gestione delle emissioni di crl/csl

10.    Gestione di interrogazioni verso il DB dei certificati

·         Integrazione con software di firma di terze parti;

·         Integrazione con prodotti di gestione dei certificati o PKI  o CA di terze parti;

·         Realizzazione di un’interfaccia verso le primitive di crittografia al fine di permettere la realizzazione di sistemi di comunicazione sicura di documenti e dati;

·         Interoperabilità fra i vari formati di firma e certificati gestiti dalle singole CA.

Il sistema di sicurezza soddisfa le funzionalità gestionali relative alla generazione e conservazione di:

1.      chiavi RSA (PKCS #1:1993; ISO 11166-2:1994);

2.      richieste di certificato (PKCS #10:1993);

3.      certificati (ITU x509v3:1997; ISO 9594-8:1997 incluse le estensioni indicate nei documenti pubblici PKCS #6:1993 e PKCS #9:1993);

4.      CRL e Delta CRL (ITU x509v2:1997; ISO 9594-8:1997).

Vengono inoltre gestiti i servizi di Time Stamp Authority (TSA/TDA; IPIX maggio, 1999).

Il sistema è comunque in continuo aggiornamento al fine di garantire la massima interoperabilità e completezza funzionale.

 
Modello di firma

I formati di firma impiegati permettono di gestire i seguenti elementi di workflow:

1.      firma singola su documenti con capacità di verifica della stessa da parte di terzi (ISO 9796-2:1997;
PKCS #7:1993 Signed Data);

2.      firma multipla in parallelo su documenti con capacità di verifica della stessa da parte di terzi (PKCS #7:1993 Signed Data);

3.      controfirma su documenti con capacità di verifica della stessa da parte di terzi (PKCS #7:1993 Signed Data);

4.      firma singola su documenti con capacità di verifica da parte solo del destinatario (ISO 11166-2:1994; PKCS #7:1993 Signed and Enveloped Data);

5.      firma singola su documenti con capacità di verifica da parte di più destinatari selezionati (PKCS #7:1993 Signed and Enveloped Data).

 
Attuazione
Responsabilità Tecnologiche

Nell’ambito dell’implementazione del sistema è prevista la seguente suddivisione di responsabilità:

Organizzazione Cliente

Disponibilità ad accedere alle risorse del sistema informativo e di rete.

Realizzazione di un’analisi di impatto dell’utilizzo della firma digitale a livello organizzativo.

Definizione delle risorse uomo destinate alla collaborazione nelle fasi di:

·         messa in opera;

·         manutenzione;

·         utilizzo delle applicazioni.

Integrazione delle componenti di sicurezza all’interno degli applicativi e aggiornamento ai requisiti di legge delle componenti di firma digitale.

Aggiornamento alle specifiche di interoperabilità dei formati tecnologici e delle modalità di utilizzo della firma digitale in conformità agli standard indicati dall’AIPA.

Il Gruppo Finmatica utilizza una soluzione metodologica che garantisce il supporto delle già citate funzionalità di firma digitale indipendentemente dal fornitore delle componenti crittografiche, senza che questo possa interferire con la conformità del sistema ai requisiti di legge.

Fasi di progetto di implementazione di un  sistema di firma digitale

Il progetto si articola nelle seguenti fasi:

1.      Studio di fattibilità:

1.2.               Studio degli standard tecnologici.

1.3.               Studio delle tecnologie software di interfaccia tra gli applicativi.

1.4.               Analisi e studio delle infrastrutture per la gestione di chiavi pubbliche.

1.5.               Analisi delle offerte di mercato.

2.      Ricerca del fornitore di riferimento per le tecnologie di crittografia e firma.

3.      Progettazione e realizzazione dell’interfaccia standard per gli applicativi.

4.      Realizzazione di un prototipo attraverso l’adeguamento di un’applicazione (host) del Gruppo Finmatica.

5.      Progressiva estensione delle funzionalità di firma digitale agli altri applicativi del Gruppo Finmatica.

6.      Studio operativo per la realizzazione di una soluzione per la gestione di una CA a scopo sperimentale o per uso interno.

7.      Realizzazione di un prototipo per la gestione della sicurezza interna basata su tecnologie di firma digitale;

8.      Il progetto prevede i seguenti processi trasversali:

9.      Monitoraggio tecnologico, normativo e di mercato.

10.  Adeguamento continuo all’evoluzione tecnologica e normativa.