Post on 16-Apr-2017
Il PGP per firmare digitalmente un documento o una email: applicazioni
nella pubblica amministrazioneDi Cristiano Armellini
Cristiano.armellini@alice.it
PGP e GPG
• Con i software PGP e GPG è facile creare una chiave pubblica e una chiave privata con algoritmo RSA.
• La chiave pubblica serve a cifrare un documento da inviare al possessore della corrispondente chiave privata in modo che solo lui possa leggere il documento criptato
• La chiave privata serve a firmare (firma digitale) un documento e certifica l’identità del mittente e l’integrità del documento inviato.
Scrivo una email
Copio con crtl +c il messaggio
Uso il PGP: funzione sign, firmo con la mia chiave privata
Clicco si clipboard
Ecco la firma da allegare all’email
Per verificare la firma
Clicco su verify: verifico la firma con la mia chiave pubblica
Clicco su cliboard
Il messaggio è stato verificato
Per firmare un documento
Viene prodotto il doc.sign
Per verificare la firma: doppio clic su doc.sign e appare la conferma
Come certificare la chiave pubblica
• La chiave pubblica verrà messa on-line nel sito della Facoltà, del Comune con l’indirizzo email cioè nel sito ufficiale della PA, questo certificherà l’appartenenza .
• La chiave pubblica sarà controllata attraverso la impronta digitale (fingerprint): se qualcuno sostituisce la chiave, la nuova chiave avrà una impronta diversa e il responsabile della struttura porrà verificarlo
E il privato ?
• Il privato crea con PGP una chiave pubblica e una chiave privata
• Invia una email ad ufficio della pubblica amministrazione allegando al sua chiave pubblica e un documento firmato digitalmente con la sua chiave privata (firma digitale + documento)
• La pubblica amministrazione riceve la mail e verifica che il soggetto ha una chiave pubblica corrispondente con la sua chiave privata
…e il privato ?• A questo punto la pubblica amministrazione, dopo la
verifica della firma digitale, risponde all’email invitando il cittadino a presentarsi in ufficio con una copia della risposta (indicando un numero di protocollo della pratica aperta)
• Il cittadino si presenta portando un documento di identità e la stampa dell’email di risposta
• La pubblica amministrazione invia la chiave pubblica nel server pubblico dove tutti possono accedere per scaricare le chiavi pubbliche (certificate) degli altri
Software (riferimenti web)
• GPG http://www.gpg4win.org/download.html• Pgp http://www.pgpi.com (versione 6.58)