LA FIRMA DIGITALE

 

Che cos'è la crittografia a chiave pubblica?

E' una tecnologia di cifratura dei documenti, che consente una gestione flessibile delle chiavi - cosiddette asimmetriche - di cifratura. Si basa sui principi enunciati per la prima volta dai crittografi americani Diffie e Hellman.

Essa prevede l'utilizzo di una coppia di chiavi (pubblica e privata) fra loro correlate; conoscendo un elemento della coppia, non è tuttavia possibile dedurre l'elemento corrispondente. Questa tecnologia consente sia di cifrare i documenti (confidenzialità) che di firmarli (autenticità).

Il titolare della coppia di chiavi, in quanto unico soggetto a conoscenza della chiave privata, è il solo in grado di decifrare un documento a lui destinato, o di firmare un documento.

Tutti gli altri soggetti, in quanto possono liberamente venire a conoscenza della chiave pubblica del titolare della coppia, sono in grado di verificare la firma del predetto titolare, o di inviargli dei documento confidenziali.

Che cos'è una chiave privata?

E' l'elemento della coppia di chiavi destinato ad essere conosciuto dal solo soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico, o si decifra il documento informatico in precedenza cifrato tramite la chiave pubblica corrispondente.

Che cos'è una chiave pubblica?

l'elemento della coppia di chiavi destinato ad essere reso pubblico, e con il quale si verifica la firma digitale del titolare della coppia di chiavi, o si cifrano i documenti informatici da trasmettere al titolare della coppia delle predette chiavi.

Che cos'è la firma digitale?

La firma digitale è l'equivalente informatico di una tradizionale firma apposta su carta. La sua funzione è quella di attestare la validità, la veridicità e la paternità di un documento, inteso in senso lato, come una lettera, un atto, un messaggio o, in generale, qualunque file di dati (testo, immagini, musica, ecc.). Come tale, non va confusa con altri oggetti omofoni definiti genericamente "elettronici", come ad esempio la firma autografa scannerizzata e conservata come immagine.

La firma digitale è infatti il risultato di una procedura informatica basata su un sistema di codifica crittografica a chiavi asimmetriche (una pubblica e una privata), che consente
  • la sottoscrizione di un documento informatico;
  • la verifica, da parte dei destinatari, dell'identità del soggetto firmatario;
  • la sicurezza della provenienza e della ricezione del documento;
  • la certezza che l'informazione contenuta nel documento non sia stata alterata;
  • la segretezza dell'informazione contenuta nel documento.
Come si firma un documento informatico?

Dal punto di vista operativo, l'utente deve avere un dispositivo di firma sicuro, rilasciato da un Ente Certificatore. Si tratta di una smart card, ovvero una carta a microprocessore personalizzata e dotata di codice segreto. Utilizzando la sua carta, attraverso gli appositi strumenti hardware e software, l'utente è in grado di apporre la propria firma digitale su un qualsiasi documento informatico. La firma risulterà indissolubilmente legata da un lato al soggetto sottoscrittore e dall'altro al testo sottoscritto.
Il destinatario del documento, mediante il proprio sistema informatico, ha la possibilità di verificare l'identità del sottoscrittore, l'integrità del documento e la data e ora della sua generazione.

Che cos'è un certificato digitale?

Mentre la crittografia a chiave pubblica garantisce confidenzialità delle comunicazioni, e la firma digitale assicura l'integrità e la paternità di un documento, in un mondo di relazioni virtuali, quale quello di Internet, non c'è a priori alcuna garanzia che il nostro interlocutore sia effettivamente chi afferma di essere. La garanzia viene allora fornita da una terza parte fidata, che certifica la chiave pubblica del titolare della coppia di chiavi di crittografia.
Pertanto:
  • Un certificato personale di chiave pubblica X.509 dichiara la corrispondenza fra una persona fisica e la propria chiave pubblica di crittografia. E' un documento di identità nel mondo digitale, che può essere paragonato a ciò che nel mondo reale è rappresentato dalla carta di identità o dal passaporto.
  • Il legame viene garantito (firmato) da un ente emittente (Autorità di Certificazione). Nel certificato compare l'identificativo del soggetto che viene certificato, la sua chiave pubblica di crittografia, alcune altre informazioni, quali la validità temporale del certificato stesso e la firma digitale dell'Autorità.
  • Quando l'entità soggetta alla certificazione (Soggetto certificato) e l'ente certificatore (l'Autorità di certificazione) coincidono, il certificato prende il nome di certificato root. Esso contiene la chiave pubblica dell'autorità ed è firmato con la chiave privata di questa. Questo tipo di certificato, che sta alla base dell'intero sistema, può essere verificato attraverso la propria impronta (fingerprint) che verrà pubblicata anche al di fuori del sistema telematico.
Che cos'è un Ente di certificazione?

Nello scenario delineato occorre garantire l'identità dei soggetti che utilizzano la firma digitale, fornire protezione nei confronti di possibili danni derivanti da un esercizio non adeguato delle attività connesse, assicurare la solidità e sicurezza dei sistemi operativi e della struttura organizzativa. Questo rende necessario ricorrere all'intervento delle cosiddette terze parti fidate, cioè soggetti terzi che si trovano in posizione di neutralità rispetto agli utilizzatori della firma digitale: sono quelli che la legge italiana definisce "Certificatori", mentre negli Stati Uniti sono detti "Autorità di Certificazione" (Certification Authority e nell'uso corrente CA).

Che cosa fa un Ente di certificazione?

I Certificatori svolgono, tra gli altri, i seguenti compiti fondamentali:
  • verificano ed attestano, emettendo un apposito certificato digitale, l'identità del titolare ed eventualmente la veridicità di una serie di altre informazioni;
  • stabiliscono il termine di scadenza dei certificati;
  • pubblicano il certificato e la chiave pubblica, normalmente su rete, in modo tale che gli interessati possano avere la sicurezza dell'avvenuta certificazione;
  • ricevono la segnalazione di eventuali smarrimenti, furti, cancellazioni, divulgazioni improprie di chiavi private e pubblicano quindi la lista dei certificati revocati o sospesi in conseguenza di tali fatti..
Come si diventa Ente di certificazione?

La legge stabilisce precisi requisiti (giuridici, di onorabilità in capo ai rappresentanti legali e ai responsabili dell'amministrazione, di competenza ed esperienza dei responsabili tecnici, nonché di conformità di processi e prodotti informatici a standard riconosciuti di qualità) per l'esercizio dell'attività di certificazione, ai fini della validità legale della firma digitale. E' richiesto inoltre che il soggetto certificatore sia incluso in un elenco pubblico, consultabile telematicamente, predisposto, tenuto ed aggiornato a cura dell'Autorità per l'Informatica nella Pubblica Amministrazione (AIPA).
..
Qual è il valore della firma digitale?

I presupposti giuridici che rendono possibili transazioni legali fatte grazie a queste tecnologie, si fondano soprattutto sull'articolo 15 comma 2 della legge 15 marzo 1997 n° 59, la cosiddetta "Bassanini 1", che recita:
"Gli atti, dati e documenti formati dalla pubblica amministrazione e dai  privati con strumenti informatici o telematici, i contratti stipulati  nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge; i criteri di applicazione del presente comma sono stabiliti, per la  pubblica amministrazione e per i privati, con specifici regolamenti da emanare, entro centottanta giorni dalla data di entrata in vigore della  presente legge ai sensi dell'articolo 17, comma 2 della legge 23 agosto  1988 n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l'acquisizione del parere delle competenti Commissioni."

Il relativo regolamento di attuazione ( DPR n. 513/97 ), che parla esplicitamente di firma digitale, e di autorità di certificazione, peraltro già completato da alcuni mesi, è stato pubblicato in Gazzetta Ufficiale lo scorso 13  marzo 1998.

Sono state pubblicate, inoltre, da parte dell'AIPA, le regole tecniche che definiscono con precisione gli standard tecnologici da adottare (DPCM 8 febbraio 1999).

Quale puo' essere l'utilizzo della firma digitale?

La firma digitale può essere apposta su qualunque documento informatico. Pertanto, alcune applicazioni potrebbero essere le seguenti:
  • comunicazioni ufficiali con le amministrazioni pubbliche
  • risposte a bandi e gare pubbliche
  • moduli di richiesta di vario genere
  • dichiarazioni fiscali e di altro tipo
  • trasmissione di documenti legali
  • rapporti contrattuali su reti aperte (Internet)
  • fornitura elettronica di beni e servizi
  • transazioni finanziarie
  • identificazione e/o autorizzazione
  • gestione di attività in gruppi/sistemi chiusi o a partecipazione controllata
  • gruppi di lavoro e di ricerca
  • transazioni personali.