La Firma Digitale · La crittogra a e una tecnica che permette, con l’aiuto di un algoritmo...

La Firma Digitale

Martina Mancinelli

8 Novembre 2014

Martina Mancinelli La Firma Digitale 8 Novembre 2014 1 / 22

1 Sommario

2 Il Documento Informatico

3 La Firma DigitaleScritture segreteCrittografiaLa funzione Hash e l’impronta digitaleGenesi della firma digitaleDispositivi di firmaTipologie di firme

4 Il Certificato ElettronicoIl CertificatoIl ruolo dell’Ente certificatoreI CertificatoriLe responsabilita del Certificatore

5 Conclusioni


Il Documento Informatico

la rappresentazione informatica di atti fatti o dati giuridicamente rilevanti

PROBLEMA:su un documento analogico e facile rintracciare modifiche, mentre la que-stione e piu complessa per quanto riguarda il documento informatico.Per essere equiparato a un documento analogico, il documento informaticodeve soddisfare la forma scritta. In termini giuridici la forma e ilmodo in cui si manifesta la volonta negoziale, puo essere orale o scritta.Soddisfare la forma scritta significa avere la stessa validita di unascrittura privata o di un atto pubblico.Per soddisfare la forma scritta un documento informatico deve garantire:

l’immutabilita nel tempo

la non modificabilita automatica1 (quindi la necessita di riconosceredelle alterazioni)

1Non e importante in questo contesto l’attribuibilita: si parla di documenti scritti,non sottoscritti.


Questa definizione permette di applicare al documento informatico le normedel Codice Civile riguardanti le forme scritte:

c.c. art.2712

Le riproduzioni fotografiche, informatiche o cinematografiche, le regi-strazioni fonografiche e, in genere, ogni altra rappresentazione meccanicadi fatti e di cose formano piena prova dei fatti e delle cose rappresen-tate, se colui contro il quale sono prodotte non ne disconosce la conformitaai fatti o alle cose medesime.


La Firma Digitale

La firma digitale e cio che garantisce la genuinita, la provenienza e la nonripudiabilita di un documento.In pratica e una procedura informatica che impedisce al destinatario di modi-ficare il documento e gli permette di verificare l’identita del mittente. Quindiil mittente non puo disconoscere il documento da lui firmato e, a sua volta,il destinatario non puo modificare il documento firmato dal mittente.Per fare questo la FD si avvale della crittografia.


Scritture segrete

Scritture nascoste la steganografia, consiste nel nascondere un messaggiodagli occhi di un terzo, di un nemico (acrostici, cifre nulle,inchiostri invisibili, griglie di Cardano...).

Scritture dissimulate attribuire un particolare significato ad alcune parole(tecnica utilizzata nelle lettere dei prigionieri di guerra persfuggire alla censura).

Scritture cifrate la crittografia permette di scambiarsi messaggi incompren-sibili a chi non ha le chiavi per decifrarli.

Lessico

Cifrare tradurre in cifra, cioe in segni convenzionali, una scrittura, undispaccio.

Decifrare leggere, interpretare uno scritto in cifra applicandovi la chiave(o anche per tentativi).

Crittografia scrittura segreta, cioe tale da non poter essere letta se non dachi conosce lartificio usato nel comporla.


https://archiviando.files.wordpress.com/2014/11/steganografia.pdf

https://archiviando.files.wordpress.com/2014/11/dissimulata.pdf

Crittografia

La crittografia e una tecnica che permette, con l’aiuto di un algoritmomatematico, di trasformare un messaggio leggibile da tutti, in una formaincomprensibile alle persone non autorizzate a leggerlo.Questo comporta la codificazione e la decodificazione dei dati secondo un si-stema, stabilito in precedenza fra gli interlocutori, che consente di decifrareil messaggio solo a chi e un possesso della chiave per decifrarlo.Esistono due tecniche crittografiche:

Crittografia simmetrica si usa una sola chiave segreta per cifrare e decifrareil testo. Limiti:

occorre scambiarsi la chiave (problema di sicurezza)gli interlocutori si devono conoscere.

Esempi di crittografia simmetrica sono il cifrario di Cesare e ilcifrario di Vigenere.


https://archiviando.files.wordpress.com/2014/11/cifrariocesare.pdf

https://archiviando.files.wordpress.com/2014/11/tavolavigenere.pdf

Crittografia asimmetrica si usano una coppia di chiavi diverse per cifrare edecifrare il documento: chiave privata e chiave pubblica.

La crittografia asimmetrica ha due possibili impieghi:

segretezza, consente al mittente di accertarsi che sia solo il destinatarioda lui designato a decifrare il documento;

autenticazione, consente al destinatario di avere la certezza che ildocumento sia stato prodotto da un determinato mittente.

Un documento puo richiedere sia segretezza che autenticazione, in questocaso i due sistemi di cifratura si uniscono:

1 l’utente A cifra con la propria chiave privata

2 l’utente A cifra ulteriormente con la chiave pubblica di Giovanni

3 l’utente B decifra con la propria chiave privata

4 l’utente B decifra con la chiave pubblica di A


https://archiviando.files.wordpress.com/2014/11/segretezza.png

https://archiviando.files.wordpress.com/2014/11/autenticazione.png

La funzione Hash e l’impronta digitale

La funzione hash permette di ottenere da un documento una stringa ditesto di lunghezza contenuta, chiamata impronta. L’impronta e una sortadi riassunto del documento.Una funzione di questo tipo molto usata e la SHA-1, che produce un’im-pronta lunga 160 bit (indipendentemente dalla dimensione del documentodi origine). Alla versione SHA-1 si affianca la nuova SHA-256, che produceun’impronta di 256 bit.Un buon algoritmo hash tende a ridurre al minimo la possibilta che duedocumenti producano la stessa impronta, per questo il minimo cambiamentoin uno stesso documento genera un’impronta completamente diversa dallaprecedente.L’algoritmo della funzione hash e one way: non si puo ottenere daun’impronta il documento originale.


Genesi della Firma Digitale

Impronta + Chiave Privata = FIRMA DIGITALE

1 applico la funzione hash al documento originaleottengo l’impronta del documento

2 applico la chiave privata di Aottengo l’impronta cifrata, cioe la firma digitale

3 unisco firma digitale a documento digitale

4 invio a B

Verifica della Firma Digitale

1 estraggo la firma digitale e applico la chiave pubblica di A per ottenerel’impronta del documento

2 estraggo il documento originario e applico l’hash per ottenere l’improntadel documento

3 confronto le impronta ottenute dalle due operazioni e se coincidono ildocumento e autentico


Dispositivi di firma

Per il CAD un documento informatico per avere valore probatorio deveessere sottoscritto tramite un dispositivo di firma sicuro o SSCD (SecureSignature Creation Device):

art. 1, DPR 8 febbraio 1999

un apparato elettronico programmabile solo all’origine, facente parte delsistema di validazione, in grado almeno di conservare in modo protetto lechiavi private e generare al suo interno firme digitali.

Un SSCD deve garantire che la chiave privata:

art. 35, comma 1, D.Lgs. 235/2010

a) sia riservata; b) non possa essere derivata e che la relativa firma sia pro-tetta da contraffazioni; c) possa essere sufficientemente protetta dal titolaredall’uso da parte di terzi.

Un dispositivo di firma sicuro genera la coppia di chiavi asimmetriche esuccessivamente viene utilizzato per custodire la chiave privata.


Smart Card le istruzioni contenute nel microprocessore vengono comunicate alPC tramite un lettore.

Token e un generatore di numeri pseudocasuali a intervalli regolari secondoun algoritmo che tiene conto del trascorrere del tempo; l’algoritmoe implementato su un server di autenticazione, che e stato sincro-nizzato con il token (genera quindi a intervalli di tempo la stessapassword generata dal token). Il numero generato viene combina-to con la password dell’utente e il sistema di autenticazione pergenerare una password temporanea da usare entro un intervallo ditemporale.

HSM Hardware Securuty Module e un sistema di firma remota: la chiaveprivata non e conservata su un dispositivo locale conservato dall’u-tente, ma su un dispositivo remoto. Esempi di HSM sono l’autenti-cazione CID (Caller IDentifier) e OTP (One Time Password).

Tablet la firma grafometrica e un particolare tipo di firma elettronica che siottiene firmando con una penna elettronica su uno strumento hard-ware detto tablet di firma. I dati grafometrici (velocita di scrittura,pressione, inclinazione della penna...) vengono crittografati e legatiall’impronta del documento.


Tipologie di firme

Firme elettronica insieme di dati in forma elettronica, allegati oppure con-nessi tramite associazione logica ad altri dati elettronici, utiliz-zati come metodo di identificazione informatica. Questo tipodi firma e definita firma debole in quanto consente di ricon-durre i dati elettronici a un soggetto, ma non assicurano l’in-tegrita del documento. In termini giuridici ha valore probante,ma non probatorio: e liberamente valutabile in giudizio.

Firme elettronica avanzata insieme di dati in forma elettronica, allegati op-pure connessi a un documento informatico che consentono l’i-dentificazione del firmatario e garantiscono la connessioneunivoca al firmatario, creati con mezzi sui quali il firmatariopuo conservare un controllo esclusivo. Consente di rilevare sei dati stessi siano stati successivamente modificati.


Firma elettronica qualificata particolare tipo di firma elettronica avanzatabasata su un certificato qualificato e realizzata mediante undispositivo sicuro.

Firma digitale particolare tipo di firma elettronica avanzata basata su uncertificato qualificato e su un sistema di chiavi crittografiche.

La firma elettronica avanzata, la firma elettronica qualificata e la firma di-gitale garantendo l’identificabilita dell’autore, l’integrita e l’immodificabilitadel documento hanno l’efficacia prevista dall’articolo 2702 del Codice Civile.Il firmatario non puo disconoscere la sottoscrizione, a meno che non dimostriche gli sia stato sottratto il dispositivo di firma. Per questo sono chiamatefirme forti.

c.c. art. 2702

La scrittura privata fa piena prova, fino a querela di falso, della provenienzadelle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scritturae prodotta ne riconosce la sottoscrizione, ovvero se questa e consideratalegalmente come riconosciuta.


Il Certificato

Il certificato elettronico e un attestato elettronico rilasciato da un Certifica-tore che collega i dati utilizzati per verificare la firma elettronica al titolaree conferma l’identita del titolare stesso.

Certificato semplice emesso dai Certificatori in genere.

Certificato qualificato emesso dai Certificatori qualificati, sono chiamati cosıperche devono avere alcune informazioni qualificanti obbliga-torie:

l’indicazione che si tratta di un certificato qualificatoil numero di seriel’identita del certificatorel’identita del titolare del certificatol’indicazione del periodo temporale di validita delcertificato.

Certificato qualificato al piu elevato livello di qualita e sicurezza emesso da-gli Enti Certificatori accreditati, ha le stesse informazioni ri-portate dal certificato qualificato.


Il Certificato




l’indicazione che si tratta di un certificato qualificato

il numero di seriel’identita del certificatorel’identita del titolare del certificatol’indicazione del periodo temporale di validita delcertificato.



Il Certificato




l’indicazione che si tratta di un certificato qualificatoil numero di serie

l’identita del certificatorel’identita del titolare del certificatol’indicazione del periodo temporale di validita delcertificato.



Il Certificato




l’indicazione che si tratta di un certificato qualificatoil numero di seriel’identita del certificatore

l’identita del titolare del certificatol’indicazione del periodo temporale di validita delcertificato.



Il Certificato




l’indicazione che si tratta di un certificato qualificatoil numero di seriel’identita del certificatorel’identita del titolare del certificato

l’indicazione del periodo temporale di validita delcertificato.



Il Certificato




l’indicazione che si tratta di un certificato qualificatoil numero di seriel’identita del certificatorel’identita del titolare del certificatol’indicazione del periodo temporale di validita delcertificato.



Il ruolo dell’Ente certificatore

Consente a due soggetti che non si conoscono di scambiarsi messaggie documenti con garanzia di riservatezza e autenticita.

Rilascia il certificato digitale.

E una trusted third part (terza parte fidata), chiamata anche Certifi-cation Authoriry (CA): garantisce l’identita del mittente e l’integritadel messaggio.

In Italia la CA ha anche il ruolo di RA (Registration Authority), cioela responsabilita di identificare il soggetto richiedente la certificazio-ne. Con RA in Italia si intendono le sedi del CA in cui si effettua ilriconoscimento.

I certificatori fanno capo all’Agenzia per l’Italia Digitale.


I Certificatori

Certificatore in genere certifica la firma elettronica, senza il bisogno di au-torizzazioni preventive; occorre solo avere i requisiti di onora-bilita richiesti all’esercizio di attivita bancaria.

Certificatore qualificato deve avere i requisiti previsti dal CAD (affidabilitafinanziaria, organizzativa e tecnica; adeguati sistemi di sicurez-za...) e deve comunicare la propria attivita all’AgID. Rilasciacertificati qualificati.

Certificatore accreditato per essere accreditati occorre avere i requisiti delCertificatore qualificato e presentare istanza all’AgID, inoltredeve dimostrare di disporre di un capitale sociale non inferio-re a quello necessario per le attivita bancarie. I Certificatoriaccreditati possono rilasciare certificati validi per sottoscrizio-ni da inviare alla PA. L’elenco dei Certificatori accreditati epubblicato sul sito dell’AgID.


http://www.agid.gov.it/identita-digitali/firme-elettroniche/certificatori-attivi

Le responsabilita del Certificatore

deve identificare con certezza la persona che fa richiesta

provvede alla creazione del certificato

pubblica il certificato sul registro consultabile on line

trasmette copia del certificato al richiedente

appone al certificato la propria firma digitale

ha la responsabilta civile

I e responsabile verso terzi che facciano affidamento sul certificato stessoI esattezza delle informazioni necessarie alla verifica della firmaI garanzia che al momento del rilascio del certificato il firmatario detenesse

i dati per la creazione della firma corrispondenti ai dati per la verificadella firma riportati o identificati nel certificato

I i dati per la creazione e per la verifica della firma possano essere usatiin modo complementare, nei casi in cui il certificatore generi entrambi

I i limiti d’uso devono essere riconoscibili da parte dei terzi








ha la responsabilta civileI e responsabile verso terzi che facciano affidamento sul certificato stesso

I esattezza delle informazioni necessarie alla verifica della firmaI garanzia che al momento del rilascio del certificato il firmatario detenesse











ha la responsabilta civileI e responsabile verso terzi che facciano affidamento sul certificato stessoI esattezza delle informazioni necessarie alla verifica della firma

I garanzia che al momento del rilascio del certificato il firmatario detenessei dati per la creazione della firma corrispondenti ai dati per la verificadella firma riportati o identificati nel certificato










ha la responsabilta civileI e responsabile verso terzi che facciano affidamento sul certificato stessoI esattezza delle informazioni necessarie alla verifica della firmaI garanzia che al momento del rilascio del certificato il firmatario detenesse





deve depositare presso l’AgID il Manuale Operativo per la firmadigitale e renderlo consultabile da tutti on line

deve revocare o sospendere2 il certificato qualificato emesso:I in esecuzione di un provvedimento dell’Autorita Amministrativa o

Giudiziaria

I su richiesta del titolareI in presenza di cause riduttive della capacita di agire del titolare o di

abusi o falsificazioni;I nei casi previsti delle regole tecniche di cui all’art. 71.

2La revoca o sospensione ha effetto dal momento della pubblicazione attestatomediante adeguato riferimento temporale.




GiudiziariaI su richiesta del titolare

I in presenza di cause riduttive della capacita di agire del titolare o diabusi o falsificazioni;

I nei casi previsti delle regole tecniche di cui all’art. 71.





GiudiziariaI su richiesta del titolareI in presenza di cause riduttive della capacita di agire del titolare o di

abusi o falsificazioni;

I nei casi previsti delle regole tecniche di cui all’art. 71.





GiudiziariaI su richiesta del titolareI in presenza di cause riduttive della capacita di agire del titolare o di

abusi o falsificazioni;I nei casi previsti delle regole tecniche di cui all’art. 71.



NB

Per il certificato si possono usare pseudonimi, ma occorre comun-que registrare il nome del titolare. Il Certificatore deve conservare leinformazioni sull’identita del titolare per 20 anni.

un dispositivo di firma puo contenere diversi certificati rilasciati perscopi diversi e quindi diverse chiavi private (come cittadino, comerappresentante legale di una societa, come componente di una com-missione...); il titolare selezionera in fase di iscrizione l’uno o l’altrocertificato.

La PA puo diventare ente certificatore, ma puo rilasciare certificati soloper i propri dipendenti e interlocutori.


Firma autografa Firma digitaleCreazione Manuale Mediante algoritmo di creazioneApposizione La firma e parte integrante

del documento e a esso le-gata attraverso il supportofisico.

Il documento firmato e costitui-to dalla coppia documento+firma.La firma e indissolubilmente legataal contenuto del documento.

Verifica Diretta e soggettiva. Si faun confronto con una fir-ma autenticata. Metodoinsicuro

Indiretta e oggettiva. Si applicaun algoritmo di verifica pubblica-mente noto e c’e la garanzia delCertificatore. Metodo sicuro.

Falsificazione Facilmente falsificabile, mail falso e riconoscibile.

Non falsificabile senza conoscerela chiave privata, ma il falso eirriconoscibile.

Documentocopia

Distinguibile Indistinguibile

Validita tem-porale

Illimitata Limitata

Automazionedei processi

Non possibile Possibile


Materiale scaricabile on line sul blogarchiviando.wordpress.com

This work is licensed under aCreative Commons BY-ND 4.0 Italia License


https://archiviando.wordpress.com/

La Firma Digitale · La crittogra a e una tecnica che permette, con l’aiuto di un algoritmo...

Documents

Transcript of La Firma Digitale · La crittogra a e una tecnica che permette, con l’aiuto di un algoritmo...