Firma digitale Tecnologie Normativa Utilizzo e Organizzazione Emanuele Tonelli Marzo 2005

Introduzione n Aspetti tecnologici n La normativa u Art 15 L. 59/97 u Firma digitale vs Firma elettronica n Contesto organizzativo u Posta certificata u Archiviazione sostitutiva u CIE (carta identità elettronica) e CNS (carta nazionale dei servizi)

Firma digitale n Firma Elettronica Qualificata n Firma digitale è al momento l’unica fattispecie di firma elettronica qualificata n Utilizzo della crittografia per la firma digitale n Firma Digitale (= numerica) si contrappone ad analogico

Sicurezza informatica n Autenticità F inviare messaggio sotto falso nome n Non ripudiabilità F negare di avere inviato un messaggio n Integrità n Riservatezza (non garantita dalla sola firma digitale)

Crittografia n Scienza che studia algoritmi matematici per rendere inaccessibile una determinata informazione a chi non è a conoscenza di una determinata chiave segreta n Elementi u Cifrario (si suppone noto) u Chiave (si suppone segreta) n Operazioni u Cifrare - Decifrare (decrittare)

Esempio di crittografia a chiave privata E M A N U E L E G O C P W G N G Chiave = +2 Cifrario: traslazione di ogni lettera di ‘tot’ posizioni

Crittografia a chiave privata Cifrario Testo in chiaro Testo cifrato Cifrario Testo in chiaro Testo cifrato K K

Criticità n Distribuzione della chiave u Canale di distribuzione diverso da quello di comunicazione ordinaria n Tante chiavi per ogni coppia di soggetti che comunicano u A, B, C, D (4 soggeti) u [A-B] [A-C] [A-D] [B-C] [B-D] [C-D] F (6 CHIAVI) u 50 Soggetti: 1125 Chiavi

Cifrario Testo in chiaro Testo cifrato Cifrario Testo in chiaro Testo cifrato K2 K1 Crittografia a chiavi asimmetriche n Idea: utilizzare 2 chiavi diverse per cifrare e decifrare

Chiavi asimmetriche Testo in chiaro K1 Testo cifrato K2 n Se K1 cifra k2 decifra e viceversa n la conoscenza di una chiave non permette di risalire all’altra n Non si può decifrare con la stessa utilizzata per cifrare n Diffie Helman (1976)

Uso della crittografia a chiave asimmetrica (o pubblica) n L’idea di Diffie Helman è stata realizzata da Rivest Shamir Adelman (RSA) n Una chiave viene conservata dal proprietario (chiave segreta Ks), l’altra viene resa pubblica (Kp) n Tramite queste tecniche possiamo ottenere sia riservatezza (cifratura) che sulla autenticità (firma)

Riservatezza n Alice deve inviare un messaggio a Bob n Riservatezza: A cifra il messaggio con la chiave pubblica di B: solo B potrà decodificarlo (perché è l’unico che ha la chiave segreta) Testo originale KP(B) Testo cifrato KS(B) Testo originale AliceBob Testo cifrato

Autenticità: firma n Alice deve inviare un messaggio a Bob n Riservatezza: A cifra il messaggio con la sua chiave segreta: tutti possono decodificarlo e solo certi che lo ha inviato V (perché è l’unico che ha la chiave segreta) Testo originale KS(A) Testo firmato KP(A) Testo originale AliceBob Testo firmato

Firma digitale: creazione Documento Impronta del documento Hash KS Firma Il firmatario invia il documento e la firma (talvolta uniti in un solo file, *.p7m)

Firma digitale: verifica Documento Firma Impronta del documento Hash KP Impronta del documento Se l’impronta calcolata con l’algoritmo di hash è uguale a quella calcolata decifrando con la chiave pubblica del firmatario la firma è valida, altrimenti NO. Il documento è comunque accessibile Sono Uguali?

Certificati e certificatori n Chi (che cosa) attesta la corrispondenza tra un soggetto e la coppia di chiavi? n IL CERTIFICATO emesso dal Certificatore n Contiene la chiave pubblica e le informazioni sul titolare n Criticità del ruolo del Certificatore

Contenuto del Certificato n Chiave pubblica n Riferimenti del titolare n Riferimenti dell’emittente n Data emissione e scadenza n Numero seriale n Firma del certificatore

Ancora sui certificati n Formato X509 V3 n CRL: Certificate Revocation List - Lista di revoca contenente i certificati non validi u Quando si controllo una firma è opportuno sempre verificare la validità attuale del certificato n CPS: Certificate Practice Statement

Altri usi dei certificati n Il certificato non viene utilizzato solo per la firma digitale n Posta elettronica - Cifrare messaggi n Autenticazione (identificazione) in accesso a siti web (servizi di home banking) n Sulla stessa smartcard ci possono essere diversi certificati

Normativa n Fondamento: Art 15 L 59/97 (documento informatico) F Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici, …, sono validi e rilevanti a tutti gli effetti di legge u DPR 513/97 F La firma digitale è lo strumento per rendere valido e rilevante a tutti gli effetti di legge n Normativa 97: f. autografa = f. digitale

Normativa: requisiti tecnici n Sono definiti piuttosto rigidi per dare un ‘valore giuridico’ alla firma n La smartcard contiene il certificato e la chiave privata n La chiave privata non esce mai dalla smartcard: la firma viene generata all’interno n Requisiti per i certificatori

Normativa europea (2000) n Ha introdotto la nozione di firma elettronica n Contesto di commercio elettronico u (per la normativa italiana l’obiettivo era dare validità legale al documento informatico) n Vari livelli di affidabilità u firma elettronica u firma elettronica avanzata

Recepimento della normativa comunitaria n D. Lgs. 10/02 n 3 livelli di firma elettronica u f. e., f.e. avanzata, f.e. qualificata u equivalenza tra firma digitale e firma elettronica qualificata n Valore fino a querela di falso (scrittura privata autenticata, art cc) n Firma elettronica ha lo stesso valore della riproduzione meccanica (2712 cc)

Motivi di riflessione n Firma digitale (effetto probatorio troppo elevato?) n Certificato di attributo (firma come amministratore delegato della Società..) n Firma di documenti variabili (documenti word con campi, es. data) n Firmo quello che vedo (o quello che il computer mi fa vedere…)

Aspetti operativi n Firma di un documento u Necessario un lettore di SmartCard u produco un file p7m (pkcs#7) n Controllo della firma u Non serve il lettore u Verificabile tramite web o tramite programma da installare n Interoperabilità degli operatori

Posta certificata F Insieme di componenti HW e SW che rendono il normale servizio di posta elettronica SMTP/MIME giuridicamente equivalente al servizio di raccomandata A/R u Attua il DPR 445/2000 n Firma digitale --> Contenuto n Posta certificata --> Trasporto n Tracciabilità dei messaggi

Archiviazione sostituviva n Valore legale dei documenti conservati al posto di quelli cartacei n Firma digitale utilizzata dal responsabile dell’archiviazione

Sistemi di riconoscimento n CIE (carta identità elettronica) e CNS (carta nazionale dei servizi) n Integrare il certificato (e la chiave privata) su queste carte - Problematico n Difficoltà nel decollo della CIE (problema della banda laser)