UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010

Sicurezza e frodi informatiche in Internet:

la Firma Digitalecome garanzia di autenticità

e integrità dei documenti

Corso di Laurea Interfacoltà in COMUNICAZIONE INTERCULTURALE E

MULTIMEDIALE

Laureando: Claudio Bianchi Relatore: Prof. Marco PortaCorrelatore: Prof. Massimo Cellario

La firma digitaleLa firma digitaleSistema di autenticazione di messaggi o

documenti digitali basato sulla tecnica della crittografia asimmetrica equiparata, agli effetti di legge, alla firma autografa

UNIVERSITÀ DEGLI STUDI DI PAVIA

COMUNICAZIONE INTERCULTURALE E MULTIMEDIALE

Garantisce: Autenticità del messaggio

Integrità del messaggio Impossibilità di ripudio

La crittografia La crittografia asimmetricaasimmetrica

Tecnica di cifratura che utilizza una coppia di chiavi pubblica/privata che hanno funzione complementare



Documento in

chiaro

Documento

cifrato

Chiave pubblica

Chiave segreta

Documento in

chiaro

La crittografia La crittografia asimmetricaasimmetrica

La chiave pubblica di codifica deve essere resa disponibile a chiunque



Sicurezza garantita dalla robustezza dell’algoritmo di generazione delle chiavi: neppure la conoscenza della chiave pubblica e dell’algoritmo permette di risalire alla chiave privata

La chiave privata di decodifica deve restare assolutamente segreta

Algoritmo RSAAlgoritmo RSABasato sulla impossibilità pratica di

fattorizzare numeri di grandissime dimensioni



La moltiplicazione di due numeri primi molto grandi

è “facile da calcolare” mentre risalire ai dati di partenza dal risultato

è irrealizzabile in tempi ragionevoli

La firma digitaleLa firma digitaleSfrutta l’inverso della normale procedura

di cifratura mediante la crittografia asimmetrica



Documento in

chiaro

Documento

cifrato

Chiave pubblica

Chiave segreta

Documento in

chiaro

Funzione hashFunzione hashElabora una qualsiasi mole di bit per

restituire una stringa di una lunghezza predefinita



Proprietà: Valore facilmente calcolabile

Impossibile ricostruire il messaggio dall’hash Impossibile modificare il messaggio senza modificare l’hash

Impossibile due messaggi con lo stesso hash

• La firma viene allegata al documento unitamente al certificato digitale

Generazione della firmaGenerazione della firmaIl digest del documento viene codificato

con la chiave privata del sottoscrittore per ottenere la firma digitale



Viene allegato al documento e alla firma

per permettere a chiunque di verificare l’autenticità

e l’integrità del documento

Il certificato digitaleIl certificato digitaleDocumento elettronico che attesta la

corrispondenza tra un determinato soggetto e la sua chiave pubblica



Smart card

Il dispositivo di firmaIl dispositivo di firma“Apparato elettronico programmabile solo

all’origine in grado almeno di conservare in modo protetto la chiave privata e generare al suo interno le firme digitali” D.P.C.M. 8 febbraio 1999



Businesskey

1.Decodifica della firma con la chiave pubblica

Verifica della firmaVerifica della firmaRipercorre a ritroso gli stessi passi fatti dal

sottoscrittore per apporre la sua firma



Chiave pubblica

Documento in

chiaro23c5fa1t6

Digital

signature 23c5fa1t6MESSAGE DIGEST 1

MESSAGE DIGEST 2

23c5fa1t6MESSAGE DIGEST 1

23c5fa1t6MESSAGE DIGEST 2

2.Funzione hash sul documento originale

3.Confronto dei due message digest

DIGITPA certification authority

root italiana che gestisce l’elenco dei

certificatori della firma digitale

Certification authorityCertification authorityRilasciano i certificati digitali garantendo

l’identità del soggetto e associando tale identità a una determinata coppia di chiavi



Rischi di vulnerabilitàRischi di vulnerabilitàInsicurezza intrinseca dei computer

Un computer non è mai sicuro se consente il download di applicazioni



Contenuti dinamiciPresenza di macroistruzioni o

codice eseguibileDocumenti con contenuto ambiguo

Possibilità di creare un file con contenuti leggibili con software differenti

Valore legale della Valore legale della firma digitalefirma digitale

“Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”

D. Lgs. 4 aprile 2006, n. 159, art. 9, comma 2



È il sottoscrittore che deve provare che altri abbiano avuto accesso al dispositivo

La normativa italianaLa normativa italianaLegge 15 marzo 1997, n. 59

Rilevanza di legge ai documenti informatici



D. Lgs. 23 gennaio 2002, n. 10Recepimento della direttiva

comunitaria 1999/93/CED. Lgs. 7 marzo 2005, n. 82

Codice dell’amministrazione digitale

ConclusioniConclusioniSistema italiano all’avanguardia:

monitoraggio costante degli standard tecnici e giurisprudenza adeguata



Risparmio in costi economici e tempi burocratici per PA e privati

Costo di accesso alla firma digitale può rappresentare freno alla diffusione

ConclusioniConclusioniLa sicurezza della firma digitale è maggiore di

quella della firma autografa



Dipende dal documento sul quale è stata generata

Non può essere utilizzata per firmare un documento in bianco

Non permette modifiche al documento

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010

Sicurezza e frodi informatiche in Internet:

la Firma Digitalecome garanzia di autenticità

e integrità dei documenti

Corso di Laurea Interfacoltà in COMUNICAZIONE INTERCULTURALE E

MULTIMEDIALE

Laureando: Claudio Bianchi Relatore: Prof. Marco PortaCorrelatore: Prof. Massimo Cellario

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010

Documents

Transcript of UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010