Per crittografia si intende la protezione

Slides:



Advertisements
Presentazioni simili
Elementi di Crittografia MAC e FUNZIONI HASH
Advertisements

ERREsoft1 Applicazioni Pierluigi Ridolfi Università di Roma La Sapienza 15 marzo 2000.
La sicurezza dei sistemi informatici
Il valore giuridico del documento informatico
Gli specialisti degli eDocuments
Modulo 7 – Firma elettronica
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Microsoft Visual Basic MVP
Public Key Infrastructure
Piattaforma Telematica Integrata Firma Digitale
La sicurezza nelle Griglie
RSA Monica Bianchini Dipartimento di Ingegneria dellInformazione Università di Siena.
Introduzione alla firma elettronica
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
Reti di Calcolatori Crittografia
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
DEI - Univ. Padova (Italia) Sicurezza delle informazioni Quando vengono mandati pacchetti di informazioni sui mezzi promiscui (ad es. rete Ethernet) chiunque.
La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Introduzione sulla sicurezza.
Prof. Zambetti -Majorana © 2008
La Tecnologia Informatica nell'Attività Forense
10 punti fondamentali su Windows originale Note legali Le informazioni fornite in questo documento rappresentano l'opinione di Microsoft Corporation sui.
Scritture Segrete Lezione n. 2
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Firma Digitale.
Ottobre 2006 – Pag. 1
RAPPRESENTAZIONE DELL'INFORMAZIONE
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
LA CRITTOGRAFIA QUANTISTICA
Modulo 1 – Diritto dautore e aspetti giuridici u.d. 8 (syllabus – 1.8.2)
SERVIZIO EDI – Primo Accesso
“ Firma Digitale “ Informatica e Teleradiologia
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
“La firma elettronica per Pavia Digitale”
TRASMISSIONE dei RICORSI in FORMATO DIGITALE via PEC
CRITTOGRAFIA E FIRMA DIGITALE
SERVER DI POSTA ELETTRONICA INTRANET
Firma digitale1 Levoluzione della Pubblica Amministrazione Locale La firma digitale.
Il processo per generare una Firma Digitale
Cenni di Crittografia Il procedimento di crittografia consiste nel rendere illeggibile un testo in chiaro mediante l’uso di un determinato algoritmo e.
Un sistema integrato per la gestione della rete commerciale 1 Web Sign è unapplicazione sviluppata da Sior che permette di apporre una firma remota, digitale.
Sicurezza aziendale informatica. Protezione Regolamenti – Normative - Informazione Spear phishing (una pagina esplicativa qui)qui.
Capitolo 8 La sicurezza nelle reti
RSA e questioni relative
Analisi e sperimentazione di una Certification Authority
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
Reti di computer Condivisione di risorse e
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
La sicurezza di un sistema informatico
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione.
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Crittografia. Introduzione  La rete può essere utilizzata per diversi scopi: informazione, scambio dati, scambio messaggi, trasferimento denaro.  Nel.
L’utilizzo della firma digitale e della posta elettronica certificata ai procedimenti demografici A. FRANCIONI e G. PIZZO Esperti Anusca.
Risultati Leapfrog IP per una comunicazione sicura e affidabile Cristiano Novelli ENEA, XML-Lab.
1 Le firme elettroniche (2006). 2 L’EVOLUZIONE NORMATIVA I Prima fase
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
LA NOTIFICA TELEMATICA LA NORMATIVA DI BASE -Art.149 bis c.p.c. -Art.48 D.Lgs.7/3/2005, n.82 -Art.3 bis Legge 21/1/1994, n.53 -Art.11 Legge 21/1/1994,
Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Transcript della presentazione:

Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale della protezione dei messaggi. Il processo di codifica delle informazioni equivale alla crittografia, mentre quello di decodifica equivale alla decrittografia.

Il testo del messaggio originale è definito "testo non crittografato", mentre quello del messaggio modificato è definito "testo crittografato". Le informazioni utilizzate per trasformare il testo non crittografato in crittografato sono indicate con il termine "chiave". La modalità in base alla quale una chiave modifica le informazioni è definita "algoritmo".

requisiti: confidenzialità, integrità, autenticazione, autorizzazione, La SICUREZZA digitale requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza soddisfatti mediante crittografia

→ codifica dei dati in forma “illeggibile” per assicurare la riservatezza → algoritmo + chiave per autenticazione mittente + integrità messaggio (chiave + lunga = >> sicurezza)

( negoziazione delle chiavi) Crittografia a chiave simmetrica sia il mittente che il destinatario posseggono la stessa chiave segreta è necessaria una diversa chiave segreta per ogni destinatario che deve essere nota a entrambe le parti. ( negoziazione delle chiavi) non vi è garanzia di autenticità ed univocità del mittente. sc.1

Crittografia a chiave pubblica utilizza una coppia di chiavi: una pubblica ed una privata i messaggi codificati con una possono solo essere decodificati con l’altra Art. 112 (Finalità di rilevante interesse pubblico) 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato. 2. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli effettuati al fine di: a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche appartenente a categorie protette; b) garantire le pari opportunità; c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici impieghi, anche in materia di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali abilitazioni; d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali; e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale; f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed assistenza ivi compresa quella integrativa, anche in applicazione del decreto legislativo del Capo provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e agli ordini professionali che abbiano ottenuto il consenso dell'interessato ai sensi dell’articolo 23 in relazione a tipi di dati individuati specificamente; g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare e contabile ed esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie; h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro; i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi; l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi da parte di dipendenti pubblici, collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale; n) svolgere l'attività di indagine e ispezione presso soggetti pubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti. 3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque, tale da non consentire l'individuazione dell'interessato.

caratteristiche della coppia di chiavi >> correlazione tra le chiavi >> relazione esclusiva e reciproca >> utilizzo congiunto delle chiavi >> unidirezionalita’ sc.2

Confidenzialità (crittografia chiave pubblica) la chiave pubblica del destinatario assicura la confidenzialità della comunicazione sc.3 Art. 112 (Finalità di rilevante interesse pubblico) 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato. 2. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli effettuati al fine di: a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche appartenente a categorie protette; b) garantire le pari opportunità; c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici impieghi, anche in materia di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali abilitazioni; d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali; e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale; f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed assistenza ivi compresa quella integrativa, anche in applicazione del decreto legislativo del Capo provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e agli ordini professionali che abbiano ottenuto il consenso dell'interessato ai sensi dell’articolo 23 in relazione a tipi di dati individuati specificamente; g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare e contabile ed esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie; h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro; i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi; l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi da parte di dipendenti pubblici, collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale; n) svolgere l'attività di indagine e ispezione presso soggetti pubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti. 3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque, tale da non consentire l'individuazione dell'interessato.

Autenticazione (crittografia chiave pubblica) Chiave privata posseduta solo dal proprietario: il proprietario codifica il messaggio con la sua chiave privata il destinatario lo decodifica con la chiave pubblica (garanzia della provenienza)

MA chiunque, con la chiave pubblica, può intercettare e decodificare e/o alterare il messaggio originario

Crittografia a chiave pubblica e firme digitali le firme digitali si basano sulla possibilità di identificare in maniera univoca il mittente di un messaggio. questa possibilità è data dalla relazione reciproca della coppia di chiavi Nella specie si trattava di comunicazioni alle famiglie su un corso per la dissuasione dal fumo

l'utilizzo di una chiave privata equivale all'applicazione di una firma su un documento cartaceo poiché l'operazione può essere effettuata solo dal proprietario. Sia la firma che la chiave privata forniscono la prova della presenza del proprietario

L'utilizzo di una chiave privata per stabilire l'identità dimostra che l'operazione di crittografia e decrittografia è stata completata.

Affinché le operazioni di crittografia e decrittografia risultino completate, il testo non crittografato iniziale deve corrispondere a quello finale. Per il confronto e la convalida deve essere disponibile un elemento di controllo.

Nella posta elettronica, questo elemento corrisponde al messaggio effettivo, che fornisce uno strumento di controllo adeguato poiché è disponibile sia al mittente che al destinatario

Per questa operazione di confronto, il messaggio viene convertito in un "hash", ovvero una rappresentazione numerica del testo completo

La combinazione di messaggio e chiave privata viene realizzata mediante la crittografia del valore hash con la chiave privata del mittente, con conseguente generazione della firma digitale Art. 112 (Finalità di rilevante interesse pubblico) 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato. 2. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli effettuati al fine di: a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche appartenente a categorie protette; b) garantire le pari opportunità; c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici impieghi, anche in materia di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali abilitazioni; d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali; e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale; f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed assistenza ivi compresa quella integrativa, anche in applicazione del decreto legislativo del Capo provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e agli ordini professionali che abbiano ottenuto il consenso dell'interessato ai sensi dell’articolo 23 in relazione a tipi di dati individuati specificamente; g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare e contabile ed esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie; h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro; i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi; l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi da parte di dipendenti pubblici, collaboratori e consulenti; m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale; n) svolgere l'attività di indagine e ispezione presso soggetti pubblici; o) valutare la qualità dei servizi resi e dei risultati conseguiti. 3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque, tale da non consentire l'individuazione dell'interessato.

(unico allegato binario) A seconda della configurazione del sistema di posta elettronica del mittente, si può avere un messaggio "con firma non crittografata" ( messaggio + allegato) oppure un messaggio "con firma crittografata". (unico allegato binario)

I messaggi con firma crittografata sono stati creat in parte per risolvere il problema rappresentato dalla modifica del corpo dei messaggi da parte dei sistemi di posta elettronica durante il trasferimento dei messaggi stessi. Le soluzioni di posta elettronica correnti conformi agli standard S/MIME non modificano il corpo dei messaggi.

processo di codifica lento => “message digest” FIRMA DIGITALE processo di codifica lento => “message digest” (breve stringa derivata dal messaggio) digest codificato con la chiave privata (firma digitale) digest ricevuto = digest calcolato => messaggio integro sc.4 a) l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt.  1 e  7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt.  15 e  152 del Codice); b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime". Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali. Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato).

Crittografia a chiave pubblica e applicazione di una firma digitale a un messaggio di posta elettronica Sc.5 .1. Il Codice, come previsto dalla  legge n. 675/1996 e come dovrà avvenire periodicamente in base all’evoluzione tecnologica (art. 36 del Codice), ha aggiornato l’elenco delle "misure minime" le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale (artt. 33-35 del Codice), sono indicate analiticamente nelle 29 regole incluse nell’Allegato B) del medesimo Codice. Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari. Per alcune di esse sono previste scadenze periodiche, ma le “misure minime” che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori. 1.2. Il termine transitorio che permette di adottare le misure entro il 30 giugno 2004 riguarda solo le nuove misure (art. 180, comma 1, d.lg. n. 196/2003; per la precedente disciplina, v. gli artt.  15, comma 2 e  41 l. n. 675/1996, il d.P.R. n. 318/1999 e la  l. n. 325/2000). É previsto un periodo più ampio per l’adeguamento (fino al 1° gennaio 2005)  solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica. Si tratta dell’ipotesi specifica (che riguarda solo i trattamenti effettuati con strumenti elettronici) in cui il titolare del trattamento, alla data del 1° gennaio scorso, disponeva di strumenti elettronici che, per le predette obiettive ragioni esclusivamente tecniche, documentate in un atto a data certa da redigere al più tardi entro il 30 giugno 2004, non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in questo circoscritto caso, nel quale si è obbligati a prevenire comunque un incremento dei rischi (art. 180, comma 3, del Codice), occorre conservare il documento a data certa il quale non va trasmesso al Garante, che può però richiederne l’esibizione in sede di accertamento anche ispettivo (artt. 157 ss. del Codice). Per quanto riguarda le modalità per far risultare una "data certa" si dovrà applicare la disciplina civilistica in materia di prova documentale (v. in particolare, gli artt. 2702-2704 del codice civile) e si potranno tenere presenti i suggerimenti formulati dal Garante in un parere del 2000 qui allegato, e redatto a proposito di un analogo documento previsto in tema di sicurezza (art. 1 l. n. 325/2000). In materia di "misure minime", anche quando si rediga il documento a data certa, non va pertanto effettuata alcuna comunicazione al Garante; dalla circostanza che l’Autorità abbia ricevuto eventuali note in proposito, spesso peraltro succinte, il titolare del trattamento non potrà inoltre desumere, anche in caso di mancato riscontro, alcun assenso o autorizzazione del Garante a proseguire il trattamento dei dati con le modalità dichiarate.

la crittografia a chiave pubblica fornisce le funzionalità necessarie per i servizi di protezione fondamentali di una firma digitale, ovvero l'autenticazione, il non ripudio e l'integrità dei dati.

MA nessuna garanzia di riservatezza 3.1 Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice). In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26). 3.2 I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l’adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l’aggiornamento 2004 in itinere. Diamo in conclusione risposta alla Vostra richiesta nei predetti termini, tenendo presenti altri quesiti pervenuti su questioni collegate e allegando una tabella esemplificativa delle principali scadenze.

Crittografia a chiave pubblica e crittografia dei messaggi La relazione tra crittografia a chiave pubblica e è in genere più immediata, poiché la seconda è una funzione fondamentale della prima. Ulteriori elementi per descrivere gli strumenti (v. anche tab. 1.2) . Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti. . Da indicare facoltativamente. Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc. Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc. Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime.

La crittografia dei messaggi non viene eseguita semplicemente crittografando e decrittografando il messaggio mediante la coppia di chiavi.

L'obiettivo della crittografia dei messaggi è di garantire che il messaggio venga visualizzato solo dai destinatari autorizzati : la chiave privata di ciascun destinatario risulta essere l'elemento più adatto a fornire questo servizio.

L'applicazione della chiave privata durante la lettura di un messaggio garantisce che quest'ultimo verrà letto solo dal proprietario della chiave, che è l’unico a poterla utilizzare. Questo garantisce LA RISERVATEZZA

Anche se è richiesta una coppia di chiavi, non è necessario che questa venga applicata all'intero messaggio, ma solo che faccia parte del processo in base al quale le informazioni vengono "bloccate" e "sbloccate".

è sufficiente che il messaggio finché non viene presentata Affinché l'obiettivo della crittografia possa essere considerato raggiunto, è sufficiente che il messaggio rimanga illeggibile finché non viene presentata una chiave privata.

nell'utilizzare una coppia di chiavi Una chiave privata viene utilizzata solo per sbloccare le informazioni prima della visualizzazione e non viene applicata all'intero messaggio pertanto la soluzione più efficiente consiste nell'utilizzare una coppia di chiavi e in aggiunta la chiave simmetrica.

Quando si invia lo stesso messaggio a più destinatari, è possibile utilizzare la stessa chiave simmetrica per tutti i destinatari e quindi crittografarla mediante la chiave pubblica di ogni destinatario specifico.

la chiave simmetrica rimane un segreto Poiché può essere decrittografata solo dal proprietario della chiave privata, la chiave simmetrica rimane un segreto condiviso tra utenti autorizzati

LA TRASMISSIONE PROTETTA L’INTEGRITA’ DEI DATI sc6 Questo garantisce LA TRASMISSIONE PROTETTA RISERVATEZZA DEI DATI L’INTEGRITA’ DEI DATI sc6

La chiave pubblica o privata di una parte è richiesta dall'altra parte in base all'operazione da eseguire. Ad esempio, il mittente deve disporre di una chiave privata per la firma digitale della posta elettronica, ma deve anche disporre della chiave pubblica del destinatario per inviare la posta elettronica crittografata

Chiavi richieste in base al ruolo e all'operazione