La firma digitale

Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità e provenienza; è generata a partire da un documento e da un numero (chiave privata); Si fonda su tecnologie di crittografia sviluppate dal dipartimento della difesa americana a partire dagli anni ’70; La crittografia è considerata strategicamente rilevante per la sicurezza nazionale del governo USA e la sua esportazione è ristretta da apposite leggi;

La disciplina tecnica della firma digitale, definita dalla normativa statunitense come “sequenza di bit che il firmatario crea in relazione ad un messaggio chiaramente delimitato, sottoponendo il messaggio ad una funzione non invertibile, e successivamente crittando il messaggio risultante con un sistema asimmetrico di crittografia e la propria chiave privata”, si fonda sulla scienza crittografica. DEFINIZIONE …

La crittografia studia prevalentemente la cifratura di un testo, cioè la trasformazione di un testo in chiaro (plaintext) in un testo cifrato (ciphertext), ed è basata sull'utilizzo di chiavi di cifrazione: solo la persona a conoscenza della chiave di cifrazione è in grado di decifrare il testo cifrato. La parola “decrittazione” esprime la conversione da testo cifrato a testo chiaro, attraverso una chiave di cifrazione. L'ambito nel quale sono effettuate le operazioni di crittazione e di decrittazione è chiamato crittosistema. LA SCIENZA DELLA CRITTOGRAFIA

Tra le tecniche più semplici, vi sono i cifrari di sostituzione, attraverso i quali il messaggio viene scritto, sostituendo ogni lettera del testo chiaro con una lettera del testo cifrato: testo chiaro: a b c d e f g h i j k l m n o p q r s t u v w x y z | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | testo cifrato: q w e r t y u i o p a s d f g h j k l z x c v b n m ESEMPIO: Crittografia monoalfabetica

Esistono due tecniche crittografiche : A Chiave Simmetrica (DES - Data Encryption Standard): viene utilizzata una sola chiave per crittare e decrittare; affinché il sistema funzioni la chiave deve essere condivisa tra i soggetti che si scambiano le informazioni ; A Chiave Asimmetrica: esistono due chiavi in possesso di ciascun soggetto, una per crittare e l’altra per decrittare il messaggio. Il sistema si basa sulla segretezza della chiave privata. RSA è il più famoso ed efficace algoritmo a chiave pubblica; la chiave privata è costituita da due grandissimi numeri primi, mentre la chiave pubblica dal loro prodotto.

La firma digitale nella crittografia asimmetrica Mentre nella crittografia la chiave pubblica viene usata per la cifratura, ed il destinatario usa quella privata per leggere in chiaro il messaggio, nel sistema della firma digitale il mittente utilizza la funzione di cifratura e la sua chiave privata per generare un’informazione che (associata al messaggio) ne verifica la provenienza, grazie alla segretezza della chiave privata. La chiave privata è custodita dal suo proprietario mentre quella pubblica, necessaria per verificare l’autenticità dovrà essere disponibile su una directory pubblica. Chiunque può accertare la provenienza del messaggio adoperando la chiave pubblica. L’algoritmo RSA, usato per generare firme elettroniche, si basa semplicemente sull’inversione del ruolo delle chiavi rispetto a quello utilizzato per assicurare la riservatezza

La sicurezza nelle transazioni su reti pubbliche si basa su quattro principi: Autenticazione: capacità di garantire al destinatario del messaggio la certezza dell’autenticità dell’identità dichiarata del mittente; Integrità: capacità di trasferire documenti con la sicurezza che durante tutto il tragitto sulla rete pubblica non vengano alterati; Riservatezza: capacità di garantire l’accesso al documento solo a chi è in possesso della chiave di lettura; Non ripudio: garantire al destinatario la non ripudiabilità della manifestazione di volontà espressa dal mittente con l’invio del messaggio.

Generazione documento criptato

Validazione del messaggio

Emissione dei certificati Il cittadino si reca presso una "Registration Autority" che ne verifica l’identità e che gli consegna il necessario per generare le proprie chiavi (privata e pubblica); con una transazione in rete il cittadino chiede alla "Certification Autority" un certificato digitale e contestualmente consegna la chiave pubblica; la "Certification Autority" rilascia al cittadino il certificato e lo pubblica su una directory pubblica. La "Certification Autority" rende disponibili anche l’elenco delle chiavi pubbliche non più valide (Revocation list) o di quelle sospese.

La validità del certificato dipende dalla data di scadenza naturale dello stesso (max 3 anni), dal fatto che sia presente nella lista di revoca oppure in una lista di sospensione, dalla validità data dalla "Certification Autority" che lo ha emesso. La fiducia degli utilizzatori del sistema dipenderà dall’autorità della "Certification Autority" che ha emesso il certificato e dalla classe dei certificati utilizzati (il diverso livello di garanzia degli stessi è descritto nella policy della CA). Emissione dei certificati

La carta a microprocessore: (smart card) Attualmente considerato il supporto sicuro per registrare la firma. E’ una tessera delle dimensioni di una carta di credito nella quale viene inserito un chip dotato di microprocessore (CPU a 8 bit) programmabile. La memoria presente sulla carta è di tre tipi: 1. RAM (Random Access Memory) utilizzata dalla cpu come area di lavoro temporanea 2. ROM (Read Only Memory) contiene il sistema operativo, il codice per applicazioni particolari e la strutturazione delle aree di memoria: non è cancellabile 3. Eeprom (Electrically Erasable Programmable Rom) contenente i dati del portatore

La sicurezza è gestita in modo articolato dal sistema operativo che oltre ad effettuare calcoli crittografati con vari algoritmi è in grado di registrare eventuali errori o tentativi di accesso. Gli standard per questi dispositivi non sono ancora stati definiti; esiste solo il riferimento alle regole definite da ISO7816 La carta a microprocessore: (smart card)