Piattaforma Telematica Integrata Firma Digitale Palermo, Gennaio/Febbraio 2012 Il presente corso va inserito nell’ambito dell’attuazione della “Piattaforma telematica integrata” della regione siciliana; in particolar modo nell’ambito dell’attuazione della componente autonoma del sistema di firma elettronica. La PTI Sicilia può essere vista, in modo primario, come un’infrastruttura in grado di attuare una cooperazione applicativa tra tutti gli enti che a diverso titolo interagiscono con la regione Siciliana.

Firma Digitale: Principi generali e Normativa di riferimento Sistema di Firma Elettronica - Regione Siciliana Firma Digitale: Principi generali e Normativa di riferimento

Firma meccanismo che Garantisce: Autenticazione: verifica dell'identità di un'entità in una comunicazione; certezza del mittente Confidenzialità: protezione dei dati trasmessi da attacchi passivi; solo il destinatario può leggere il messaggio Integrità: verifica che un messaggio non è stato modificato, inserito,riordinato,replicato, distrutto; non modificabilità del messaggio originale Non ripudio: impedisce al mittente e al destinatario di negare un messaggio trasmesso; il mittente non può negare di aver inviato il messaggio né il ricevente di averlo ricevuto 3

La firma digitale è indispensabile La firma digitale e il processo di e-governement La firma digitale è indispensabile In generale, in tutti i procedimenti dove si vuole l’eliminazione del documento cartaceo – SMATERIALIZZAZIONE DEL PROCEDIMENTO AMMINISTRATIVO nell’automazione dei processi amministrativi nella gestione informatizzata dei flussi documentali Nell’ambito della Pubblica Amministrazione, l’obiettivo, abilitante allo sviluppo dei servizi on-line, si sviluppa su tre principali linee di intervento: diffusione della firma digitale all’interno delle amministrazioni; intervento su applicazioni e servizi, per renderli accessibili in sicurezza tramite la firma digitale; iniziative specifiche di stimolo all’utilizzo della firma da parte di gruppi specifici di utenti esterni all’amministrazione

Firma digitale: principi generali A partire del 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al documento informatico e alla firma digitale. La pubblicazione della Direttiva Europea 1999/93/CE (Directive 1999/93/EC of the European Parliament and of the Council on a common framework for electronic signatures), nel gennaio del 2000, ha dato ulteriore impulso al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. I riferimenti normativi hanno avuto riscontro con l’implementazione delle soluzioni tecniche, con differenti livelli di sottoscrizione: Firma debole o leggera Firma forte o pesante L’efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di giudizio in base a caratteristiche oggettive di qualità e sicurezza.

Firma digitale: principi generali Firma forte o pesante Dal punto di vista tecnico e realizzativo è ben definita la firma “forte”, ovvero quella che il legislatore definisce firma digitale. Essa è basata su un sistema a chiavi crittografiche asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza che in genere è una smart card. Firma debole o leggera L’altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in minima parte a quanto sopra descritto, ma è compatibile con la definizione giuridica di firma elettronica, è un firma “leggera”.

Documento informatico, Firma Digitale Firma digitale: Basi Normative L. 59/97 Delega per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa DPR 513/97 Regolamento per la formazione, l’archiviazione e la trasmissione dei documenti con strumenti informatici e telematici Codice dei beni culturali e del paesaggio <2000 Protocollo Informatico Documento informatico, Firma Digitale DPR 445/00 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Documento informatico, Firma Digitale, Conservazione, Protocollo Processo civile telematico 2000 Accessibilità D. Lgs. 82/05 Codice dell’Amministrazione Digitale Sistema Pubblico di Connettività Servizi postali 2005 Documento informatico, Firma Digitale, Conservazione, Trasmissione,Carte D. Lgs. 159/06 Integrazione e aggiornamento al Codice dell’Amministrazione Digitale Come sopra più SPC Posta Elettronica Certificata 2006

Il quadro Normativo Dpr n 445 del 2000 “Il documento informatico costituisce una rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” D.Lgs. 4 Aprile 2006 n. 159 “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’art. 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria” FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; firma elettronica garantisce l'autenticità, FIRMA ELETTRONICA QUALIFICATA : la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma. Firma Elettronica Qualificata conferisce al documento la stessa valenza giuridica di quello autografo FIRMA DIGITALE: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico. Tipologie di firma individuate dal decreto n.159:

CAD: Nuovo Codice Amministrazione Digitale Ulteriore impulso all’uso della firma digitale, e più in generale alla digitalizzazione di tutti i processi della Pubblica Amministrazione Italiana , è stato dato dal nuovo Codice dell'Amministrazione Digitale Il vecchio Codice dell’amministrazione digitale (decreto legislativo n. 82 del 2005) è stato pubblicato sei anni fa; Le tecnologie informatiche si sono evolute con una tale rapidità da rendere necessaria l’approvazione di un nuovo testo normativo; La Riforma Brunetta (DLgs n. 150 del 2009) ha introdotto importanti modifiche nell’organizzazione della PA: meritocrazia, premialità, trasparenza e responsabilizzazione dei dirigenti; È necessario mettere a disposizione delle amministrazioni e dei pubblici dipendenti strumenti (soprattutto digitali) in grado di incrementare l’efficienza e l’efficacia dell’intero sistema pubblico; I cittadini e le imprese richiedono mezzi più snelli, rapidi e meno costosi per comunicare con le pubbliche amministrazioni. La messa a punto della componente autonoma del sistema di firma elettronica rientra tra le misure di rinnovamento digitale previste dalla Regione Siciliana. L’infrastruttura di Firma definita gestisce da un lato i processi di sottoscrizione interni agli uffici della Regione stessa, ai sensi della Deliberazione AIPA 51/2000, inoltre è stato generato un meccanismo di firma che abbia altresì validità legale generale nei procedimenti amministrativi ai sensi del testo unico della Pubblica amministrazione dpr n 445 del 2000 Servizi offerti Certificati di autenticazione per l’autenticazione forte alle postazioni di dominio: tale operazione è detta ‘smart card logon’ la possibilità cioè di loggarsi al sistema operativo di un computer con lettore di SC solo se inserita una SC e relative credenziali di accesso (PIN)

CAD: Nuovo Codice Amministrazione Digitale Il nuovo Codice dell'Amministrazione Digitale si basa su due principi: Effettività: si introducono misure premiali e sanzionatorie, incentivando, da una parte, le amministrazioni virtuose anche con la possibilità di quantificare e riutilizzare i risparmi ottenuti grazie alle tecnologie digitali e sanzionando, dall’altra, le amministrazioni inadempienti Risparmi: dalla razionalizzazione della propria organizzazione e dall’informatizzazione dei procedimenti, le pubbliche amministrazioni ricaveranno dei risparmi che potranno utilizzare per l’incentivazione del personale coinvolto e per il finanziamento di progetti di innovazione 10

CAD: Nuovo Codice Amministrazione Digitale L’approvazione della Riforma Brunetta e del nuovo Codice dell’amministrazione digitale rappresentano, quindi, due importanti pilastri su cui si poggia il disegno di modernizzazione e digitalizzazione della PA definito nel Piano industriale presentato nel maggio 2008 Questi due interventi normativi: Sfruttano l’azione sinergica e congiunta delle due anime di questo Ministero (pubblica amministrazione e innovazione) Consentono di dare piena esigibilità ai servizi forniti dalle amministrazioni pubbliche Eliminano la carta e contribuiscono a sburocratizzare la PA Semplificano il dialogo PA - cittadini e imprese Riducono i costi di funzionamento delle amministrazioni pubbliche Rendono più efficiente il sistema produttivo Avvicinano la PA alle esigenze e alle richieste di cittadini e imprese 11

CAD: Nuovo Codice Amministrazione Digitale Modernizzazione e Risparmio della Pubblica Amministarzione Il nuovo Codice dell’amministrazione digitale rende possibile la modernizzazione della pubblica amministrazione con la diffusione di soluzioni tecnologiche e organizzative che consentono un forte recupero di produttività: Riduzione di 1.000.000 di pagine l’anno per effetto dell’avvio della dematerializzazione, con l’obiettivo al 2012 di ridurre di 3 milioni le pagine Risparmio del 90% dei costi di carta e del relativo impatto ecologico (uso e smaltimento) per circa 6 milioni di euro l’anno (solo acquisto senza smaltimento) Riduzione dei tempi fino all’80% per le pratiche amministrative, in particolare di quelle ancora a basso tasso di informatizzazione La posta elettronica certificata (PEC) produrrà un risparmio a regime di 200 milioni di euro per la riduzione della raccomandate della Pubblica Amministrazione ai cittadini, senza contare la riduzione dei tempi e degli spazi di archiviazione 12

Concetti di Crittografia Innovazione della Legge del 1997: Possibilità di firmare digitalmente un documento informatico con il sistema “crittografico” delle chiavi asimmetriche e di attribuire a un documento firmato con queste modalità il valore di una scrittura privata Con la tecnologia della crittografia si riesce a garantire la provenienza e l’integrità del documento informatico (dpr n 445 del 2000) Crittografia: È una scienza matematica che consente di costruire un sistema attraverso il quale sia possibile cifrare un testo così da impedirne la lettura a soggetti diversi dal mittente e dal destinatario [obiettivo della crittografia] ..infatti nel dpr n 445 del 2000 si fa riferimento ad una procedura capace di rendere manifesta e di verificare la provenienza e l’integrità del msg Obiettivo di chi cripta un messaggio consiste nel tradurre il linguaggio del testo in chiaro in un nuovo linguaggio che non possa essere compreso da altri se non in presenza di una chiave capace di rendere nuovamente il testo in chiaro. Il problema fondamentale di tutti i metodi della crittografia è quello dello scambio della chiave, ovvero dell’accordo con il destinatario del messaggio su quale codice usare per cifr e decifr il msg Esistono 2 possibili tecniche crittografiche: Crittografia Simmetrica Crittografia Asimmetrica

Crittografia Simmetrica e Asimmetrica Sistema crittografico in cui la stessa chiave è utilizzata per cifrare e decifrare il testo. Svantaggio: Problema della sicurezza nella distribuzione della chiave; Prevedere una coppia di chiavi per ogni coppia di interlocutori Vantaggio: Efficienza FILE1 AAA.. FILE2 ZZZ.. Crittografia Asimmetrica: Sistema crittografico in cui vengono utilizzate due chiavi diverse e univocamente correlate: conoscendo una delle 2 chiavi non è possibile risalire all’altra. Si cifra il documento con una delle due chiavi, mentre per decodificarlo di usa l’altra. Svantaggio: Complessità algoritmica Vantaggio: Sicurezza \ Fruibilità FILE1 AAA.. FILE2 ZZZ.. Crittografia simmetrica: la possibilità che la chiave venga intercettata ha infatti ostacolato il diffondersi di questa tecnica di crittografia Crittografia asimmetrica: Sicurezza (non bisogna distribuire la chiave)\ Fruibilità (la stessa coppia di chiavi viene usata da tutti gli utenti) La coppia di chiavi deve essere generata mediante apparati e procedure che assicurino, in rapporto allo stato di conoscenza scientifiche e tecnologiche, l’unicità e la robustezza della coppia di chiavi, nonché la segretezza della chiave privata La firma digitale si genera applicando la propria chiave privata al testo, mentre il destinatario decifra il testo con la chiave pubblica del mittente..e se i due testi sn uguali si ottiene la “presumibile” certezza dell’identità del mittente e dell’integrità del messaggio

Crittografia Asimmetrica e Funzioni Hash La firma digitale è un algoritmo grazie al quale viene cifrato tutto il documento nella sua interezza. Non è possibile modificare un singolo byte senza incidere sulla firma di tutto il documento. Le operazioni di cifratura e decifratura richiedono molto tempo, a tal fine viene cifrato solo un riassunto del testo ottenuto per mezzo dell’utilizzo delle funzioni Hash Funzioni Hash Funzioni che permettono di creare da una sequenza di bit qualsiasi e di qualsiasi lunghezza (tipicamente, un file) una sequenza di bit a lunghezza fissa correlata in modo molto stretto alla sequenza di partenza. Questo tipo di compressione garantisce (a meno di probabilità trascurabili) che il file compresso sia univocamente determinato dal file originario; il file compresso che si ottiene viene chiamato “impronta” (o “digest”) del file DOC Hashing Crittografia simmetrica: la possibilità che la chiave venga intercettata ha infatti ostacolato il diffondersi di questa tecnica di crittografia Crittografia asimmetrica: Sicurezza (non bisogna distribuire la chiave)\ Fruibilità (la stessa coppia di chiavi viene usata da tutti gli utenti) La coppia di chiavi deve essere generata mediante apparati e procedure che assicurino, in rapporto allo stato di conoscenza scientifiche e tecnologiche, l’unicità e la robustezza della coppia di chiavi, nonché la segretezza della chiave privata La firma digitale si genera applicando la propria chiave privata al testo, mentre il destinatario decifra il testo con la chiave pubblica del mittente..e se i due testi sn uguali si ottiene la “presumibile” certezza dell’identità del mittente e dell’integrità del messaggio Algoritmi utilizzati: Hashing sicuro: algoritmo SHA (Secure Hash Algorithm) SHA1- SHA256 Crittografia asimmetrica: algoritmo RSA, proposto da Rivest, Shamir e Adleman

Certificati Digitali Tipi di Certificati Tipi di Certificatore Il certificato digitale è un documento elettronico che, oltre a contenere i dati essenziali dell'intestatario, contiene la sua chiave pubblica. Può essere di quattro tipi: di sottoscrizione - usati per la firma dei documenti; di autenticazione - per essere riconosciuti su web; di crittografia - utilizzati per la crittografia dei documenti riservati; di attributo - per associare a chi firma un particolare ruolo ovvero mandato. Le informazioni contenute nel certificato sono: Nome proprietario ed suoi dati anagrafici, Nome CA e suoi dati identificativi, Numero del certificato e sua validità temporale, altri attributi aggiuntivi denominati estensioni del certificato. Tutti i certificati devono essere conformi allo standard X.509 version 3 Tipi di Certificati Tipi di Certificatore Qualificato Rilascia certificati non qualificati Non qualificato Rilascia certificati qualificati 16

Firma Digitale: ‘Imbustamento’ nel Formato Pkcs#7 e nel nuovo formato CADES Nome: Mario Cognome: Rossi CF: RSSMRINNXNNXNNNX DOC Hashing DOC1 Firma La firma digitale viene realizzata facendo un’impronta del file (hash o digest) e successivamente Cifrandone il risultato con la chiave privata presente nel dispositivo del titolare. La precedente deliberazione prevedeva che il digest venisse creato con algoritmo SHA-1, che la cifratura fosse realizzata con algoritmo di RSA (Rivest-Shamir-Adleman) e che il documento iniziale insieme al certificato utente e alla firma venissero ricomposti in un file in formato pkcs#7. Le debolezze che sono state scoperte nell'algoritmo di digest SHA-1 hanno portato a prevedere l'introduzione della versione piu' robusta dello stessa famiglia di algoritmi, lo SHA-256; la cifratura viene effettuata con algoritmo RSA e chiave a 1024 e il tutto viene ricomposto nel formato CAdES (CMS Advanced Electronic Signature), ritenuto indispensabile per rispettare le norme europee sulla firma digitale. FIRMA1 XYZ.. DOC1 FIRMA1 XYZ.. Nome: Mario Cognome: Rossi CF: RSSMRINNXNNXNNNX Busta 17

=  Firma Digitale: Procedura di Verifica Valida Non valida RSA SHA DOC SHA IMP2 135.. FIRMA XYZ.. RSA IMP1 =  Valida Non valida Durante la procedura di verifica se l’impronta che risulta dalla decifratura con la chiave pubblica del mittente è uguale a quella che si ottiene applicando la funzione hash al testo in chiaro, questo indica che il messaggio non è stato alterato dopo la generazione della firma digitale Il sistema di firma digitale soddisfa il requisito della forma scritta, assicurando: Crittografia simmetrica: la possibilità che la chiave venga intercettata ha infatti ostacolato il diffondersi di questa tecnica di crittografia Crittografia asimmetrica: Sicurezza (non bisogna distribuire la chiave)\ Fruibilità (la stessa coppia di chiavi viene usata da tutti gli utenti) La coppia di chiavi deve essere generata mediante apparati e procedure che assicurino, in rapporto allo stato di conoscenza scientifiche e tecnologiche, l’unicità e la robustezza della coppia di chiavi, nonché la segretezza della chiave privata La firma digitale si genera applicando la propria chiave privata al testo, mentre il destinatario decifra il testo con la chiave pubblica del mittente..e se i due testi sn uguali si ottiene la “presumibile” certezza dell’identità del mittente e dell’integrità del messaggio Provenienza Paternità Integrità Quesito: come può il destinatario del documento essere sicuro che la chiave pubblica che impiega per verificare la firma del mittente (A) sia effettivamente di A e non di un altro che si fa passare per lui ?? Intervento di una terza persona fidata, che certifichi che quella chiave pubblica appartiene veramente a quel soggetto e non ad un altro

Data del documento Informatico La firma digitale in un documento informatico niente dice sul momento in cui essa è stata apportata in un documento L’attribuzione di una certa data ad un documento informatico avviene attraverso una specifica procedura che prende il nome di validazione temporale La validazione temporale o timestamping consiste nell’associare al documento informatico una marca temporale che può essere definita come una dichiarazione, proveniente dal certificatore, avente ad oggetto la data e l’ora in cui la marca stessa è stata apposta 2. Il certificatore ricevuta la richiesta provvede ad associare la marca temporale al documento con lo stesso sistema delle chiavi asimmetriche Tipico scenario: Per garantire l’identità dei soggetti che utilizzano la firma digitale e fornire protezione nei confronti dei possibili danni derivanti da un esercizio non adeguato delle attività di certificazione le norme vigenti in materia richiedono che il soggetto certificatore sia in possesso di particolari requisiti tecnici, organizzativi e societari 1. Alice vuole datare un documento informatico, lo trasmette per via telematica ad un ente abilitato a offrire il servizio di validazione temporale, chiedendo che al documento sia apportata una marca temporale Il documento informatico potrà così contenere 2 firme: Sottoscrizione digitale del suo autore Sottoscrizione digitale del certificatore che ha apposto la marca temporale

La Marca temporale Richiesta Time Stamp Token La marca temporale è un messaggio firmato digitalmente che lega in modo sicuro ed verificabile un qualsiasi documento informatico ad un riferimento temporale affidabile La marca temporale è un messaggio firmato digitalmente da una terza parte fidata Time Stamping Authority (TSA) che lega in modo sicuro ed verificabile un qualsiasi documento informatico ad un riferimento temporale affidabile Richiesta Time Stamp Token L’Utente invia l’impronta del documento al servizio TSS; Il TSS concatena la data /ora corrente all’impronta inviata; Il TSS firma digitalmente la combinazione Impronta/data; Il documento firmato risultante è la marca temporale (Time Stamp Token); Il TSS archivia il TST e lo invia all’utente 20

Firma Digitale: Conclusioni Il dpr del 1997 prevede che una delle due chiavi asimmetriche sia resa pubblica mediante un’apposita procedura, detta Certificazione, che garantisca l’associazione tra la coppia di chiavi e il soggetto sottoscrittore In sintesi la Firma Digitale si fonda sui seguenti elementi: Sistema crittografico delle chiavi asimettriche Cifratura del documento mediante la funzione hash Presenza di un soggetto, certificatore, che garantisce la corrispondenza tra il titolare della coppia di chiavi e un determinato soggetto attraverso un certificato che viene reso pubblico e consultabile on-line La procedura di verifica consiste nel verificare che: Per garantire l’identità dei soggetti che utilizzano la firma digitale e fornire protezione nei confronti dei possibili danni derivanti da un esercizio non adeguato delle attività di certificazione le norme vigenti in materia richiedono che il soggetto certificatore sia in possesso di particolari requisiti tecnici, organizzativi e societari il documento non sia stato modificato dopo la firma il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Ente Pubblico dei Certificatori il certificato del sottoscrittore non sia scaduto il certificato del sottoscrittore non sia stato sospeso o revocato

Grazie per l’attenzione Sistema di Firma Elettronico - Regione Siciliana Grazie per l’attenzione