Antonio Ruggiero
(Consulente Informatico e Telematico) |
Chi traccia nuove piste accumula tesori di conoscenza (Anonimo) |
|||||||||||||||||||||||||||||||||||||||||||
Ruggiero Antonio Via Casa Sasso, 7 - Loc. Vescovado - 84014 Nocera Inferiore - Salerno - Italia Email: antrug@gmail.com - Email PEC: antonioruggiero@gigapec.it - Telefono 3473636294 - Skype: antonio_ruggiero |
||||||||||||||||||||||||||||||||||||||||||||
|
Rapporto di Ricerca sulla Firma Digitale a cura di Antonio Ruggiero e Rosanna De Rosa
Progetto "Telelavoro e sviluppo locale" - Comune di Napoli - 1998-1999 "Il documento elettronico e la firma digitale nella Pubblica Amministrazione" Capitolo 3 - Lo scenario di utilizzo della firma elettronica 3.3 Come controllare l'autenticità di un documento elettronico e della relativa firma Chi riceve un documento informatico firmato, a meno che non ci sia stato uno scambio delle rispettive chiavi pubbliche fra mittente e destinatario, dovrà verificare se chi ha prodotto il documento è effettivamente chi dice di essere. Per fare ciò dovrà verificare che la chiave pubblica del mittente, servita per decifrare la firma del documento, corrisponde all'identità del mittente. In via preliminare il ricevente può controllare su un KeyServer se effettivamente quella chiave pubblica è registrata a nome del mittente. Questo però, come già visto sopra, non garantisce in alcun modo l'esatta identità del mittente. Allo scopo di garantire la corrispondenza tra chiave pubblica e relativo titolare, il DPR n. 513 del 10 novembre 1997 ha istituito la figura dell'Ente Certificatore, dettandone esattamente i requisiti e gli obblighi. I soggetti Pubblici e Privati che vorranno svolgere l'attività di Ente Certificatore dovranno essere inseriti "in un apposito elenco pubblico, consultabile in via telematica, predisposto e tenuto aggiornato a cura dell'AIPA". Riepilogo funzionale Come ottenere la propria chiave privata e l'emissione della relativa chiave pubblica e come conservarle. Se voglio utilizzare la firma digitale per rilasciare documenti elettronici e non posseggo alcun software di generazione delle chiavi allora ho bisogno di individuare un soggetto certificatore (CA) il quale può mettere a mia disposizione - ovvero on line - il software necessario. Dopo una attenta lettura delle istruzioni d'uso, sarò in grado di generare autonomamente la mia coppia di chiavi. Conserverò allora la mia chiave privata su un supporto sicuro (floppy disk, smartcard, cd-rom) mentre chiederò alla CA di certificare la mia chiave pubblica. La CA valuterà la mia richiesta, mi chiederà di recarmi presso i propri uffici per identificarmi faccia a faccia, dopodiché apporrà la propria chiave privata sulla mia chiave pubblica generando un certificato di identità digitale secondo uno standard internazionale (che è lo x509) valido per il tempo previsto. Dopo l'identificazione provvederà allora a registrare la mia chiave pubblica su di un archivio, anch'esso pubblico (RA). A questo punto io posso utilizzare la mia firma elettronica e chiunque altro può verificare che il mio certificato esiste e che è valido. Farò poi particolare attenzione alla mia chiave privata assicurandomi che resti segreta; in tal senso non la affiderò a nessuno, non ne comunicherò le caratteristiche, non la lascerò incustodita e provvederò a comunicarne immediatamente la revoca in caso la perda o mi venga sottratta. Come apporre la firma elettronica su un documento informatico Se voglio inviare un documento riservato che solo il destinatario potrà leggere, allora provvederò a prelevare la sua chiave pubblica dall'archivio di chiavi e con essa cifrerò il documento. In questo modo sarò sicuro che solo chi possiede la corrispettiva chiave privata (quindi, il destinatario) potrà decifrarne il contenuto. Se, invece, oltre alla riservatezza volessi assicurarmi che il destinatario sia sicuro che quel documento è stato redatto proprio da me, allora lo dovrò sottoscrivere firmandolo con la mia chiave privata. Quindi cripterò il documento con la chiave pubblica del destinatario e, poi, lo cripterò una seconda volta con la mia chiave privata. Il destinatario del documento, a sua volta, decripterà il documento con la propria chiave privata e poi lo decripterà ancora con la mia chiave pubblica prelevata dalla CA. Il documento gli sarà quindi leggibile in tutte le sue parti. Naturalmente posso combinare varie soluzioni fra loro in ragione degli usi e dell'importanza che quel documento ha per me; resta però ferma l'idea che un documento sicuro sotto tutti i punti di vista, è un documento il cui testo è criptato e firmato. La trasmissione di un documento digitale: situazioni possibili
Legenda: CA= Certification Authority o soggetto certificatore RA = Registration Authority o soggetto di registrazione TSA = Time Stamping Authority o Autorità di validazione temporale Come controllare l'autenticità di un documento elettronico e della relativa firma Dal momento che i soggetti certificatori autorizzati sono ancora pochi è possibile che un documento mi sia spedito criptato con una chiave pubblica non certificata. Si tratterrà ovviamente di un documento non ufficiale ma riservato. In tal caso posso accettare il documento su fiducia oppure decriptarlo solo dopo che il possessore mi abbia consegnato personalmente la sua chiave pubblica e quindi io sia certo della sua identità. La verifica sarà dunque a responsabilità personale. Posso anche ricevere un documento la cui firma è certificata da un soggetto non autorizzato. Anche in questo caso non ho la possibilità di essere certo dell'identità del mittente. Posso però fare un'indagine sui criteri di certificazione che il soggetto certificatore ha utilizzato per rilasciare il certificato. Se questi soddisfano delle garanzie minime (come l'identificazione personale ed inequivocabile del possessore della chiave pubblica) allora posso fare un qualche affidamento sul certificato. In caso contrario, se magari la certificazione viene rilasciata mediante l'espletamento di procedure on line da un soggetto certificatore residente in altro stato - le garanzie sono nulle e le possibilità di frode aumentano notevolmente. In entrambi i casi, l'accettazione del documento è una questione personale ed i soggetti certificatori non assicurano alcuna copertura di eventuali danni. L'ultimo caso, invece, è quello in cui ricevo un documento certificato da una soggetto certificatore autorizzato. A questo punto, non ho altro da fare che collegarmi al sito web del soggetto certificatore e consultare l'archivio dei certificati rilasciati, verificando che esso esiste e che è valido. A differenze delle situazioni prima viste, l'autorità di certificazione è ora pienamente responsabile per il certificato rilasciato. E tuttavia non è sufficiente. Se io ed il mio interlocutore siamo infatti stati certificati da due autorità differenti, occorre almeno un'altra autorità che le certifichi entrambe. In questa maniera viene a crearsi una gerarchia di soggetti certificatori che si certificano a vicenda. Attualmente esiste una prima gerarchia di CA costituita a livello europeo nell'ambito del progetto ICE-TEL alla quale le CA degli stati membri possono fare richiesta di accreditamento (General Accreditation Scheme). A livello mondiale invece la più diffusa e conosciuta CA, è Verysign. In Italia, invece, l'Aipa sta predisponendo la costituzione di una CA pubblica, mentre sono le aziende private ad offrire maggiori servizi: Telecom, BNL multiservizi, Entrust, Alinet, ecc. stanno già offrendo i loro servizi alle Pubbliche Amministrazioni, alcune delle quali, vedremo, hanno avviato già una coraggiosa sperimentazione. Fra i servizi offerti dai privati - come ad esempio i provider di connettività - occorre distinguere quelli di Key Depository o Key Server. Non si tratta in alcun modo di un servizio di certificazione ma soltanto di archiviazione. I provider, cioè, contribuiscono a rendere pubbliche le chiavi pubbliche senza alcuna cura del fatto che esse siano o meno certificate da una CA. E' bene dunque distinguere l'operato dei diversi soggetti affinché sia chiara l'attribuzione delle rispettive responsabilità. <<< Paragrafo precedente Paragrafo successivo >>>
|