LA FIRMA DIGITALE
Il processo d'ammodernamento nella P.A.
Oggi gli strumenti di difesa passiva non sono
più sufficienti nell'e-world, per cui bisogna rendere sicuri gli
scambi delle informazioni e dei documenti informatici. Eccoci allora
ad affrontare temi quali la:
. riservatezza: ossia il documento che viaggia nella rete deve essere
accessibile solo al mittente e al destinatario;
. integrità: il
documento non deve subire alterazioni durante lo scambio;
. autenticazione: la certezza che un documento proviene proprio
da quel mittente;
. non ripudiabilità: chi trasmette o riceve non può negare di avere
trasmesso o ricevuto.
Tutti elementi che sono alla base della Firma digitale! Ma che cos'è
in realtà la firma digitale? Da un punto di vista tecnico, «la firma
digitale è il risultato della procedura informatica, detta validazione,
basata su un sistema di chiavi asimmetriche a coppia, una pubblica
e una privata, che consente al sottoscrittore tramite la chiave
privata e al destinatario, tramite la chiave pubblica, rispettivamente,
di rendere manifesta e di verificare la provenienza e l'integrità
di un documento informatico e di un insieme di documenti informatici».
Il firmatario, utilizzando la propria chiave privata - «firma» il
file apponendovi la stringa di dati che deriva dalla operazione
di cifratura. Il destinatario, nella misura in cui sarà in grado
di decifrare la firma con la chiave pubblica del mittente, avrà
la certezza che la firma è stata generata con la chiave privata
e, grazie ad ulteriori controlli, del fatto che nessuno abbia manipolato
i dati originari.
Generazione della firma digitale
1) Dal file originario, ad esempio un messaggio di posta elettronica
o altro file digitale, viene ricavata la cosiddetta «impronta digitale»,
cioè una stringa di dati riassuntivi che ne sintetizzano in modo
univoco il contenuto (in inglese è chiamata data digest). L'estrazione
dell'impronta è necessaria, perché il passaggio successivo del processo
di firma (la cifratura con il sistema d doppia chiave) è molto complesso
e per velocizzarlo è meglio lavorare su un numero di dati più ridotto
di quello del file originario.
2) Il digest viene cifrato con la chiave privata del mittente; il
risultato costituisce la firma digitale.
Verifica della firma digitale
1) Il digest cifrato viene decifrato tramite la chiave pubblica
del mittente;
2) Viene calcolato di nuovo un digest a partire dai dati contenuti
nel messaggio;
3) Il digest estratto dalla firma viene confrontato con quello ricalcolato:
se sono uguali il messaggio è autentico.
Sia
il processo di generazione della firma digitale, sia quello di verifica,
vengono eseguiti in maniera del tutto automatica da appositi programmi
software, con semplici interventi dell'utente. La firma digitale
in quanto tale, tuttavia, non garantisce la vera identità del titolare
della chiave privata. Anche nel caso in cui si voglia garantire
l'anonimato nelle comunicazioni su rete, rimane la necessità di
evitare che altri comunichino ed agiscano per conto nostro. Per
risolvere questo problema, è necessaria una operazione di certificazione.
La certificazione è il risultato della procedura informatica, mediante
la quale si garantisce la corrispondenza biunivoca tra chiave pubblica
e soggetto titolare cui essa appartiene, si identifica quest'ultimo
e si attesta il periodo di validità della predetta chiave e, conseguentemente,
il termine di scadenza del relativo certificato. Questa operazione
viene effettuata da un certificatore. È importante, infine, sottolineare
che la «firma digitale», essendo il risultato di un'operazione effettuata
su uno specifico file di dati, è in realtà di versa per ogni singolo
file trattato. È infatti la chiave privata, quella che genera il
risultato, ad essere unica. Quando si parla della firma digitale
di qualcuno, si dovrebbe piuttosto parlare correttamente della sua
coppia di chiavi e, in specifico, della sua chiave privata. La firma
digitale non è riproducibile, non è possibile associare una certa
firma digitale ad un testo diverso dall'originale. La Regione Emilia-Romagna
ha già attivato nei mesi scorsi una piccola sperimentazione interna
relativa alla firma digitale della modulistica interna, ossia richieste
di ferie, permessi, malattia, etc. e ha in progetto di rilasciare,
entro la fine del 2003, a tutti i dipendenti, una smart-card contenente
chiave privata e relativo certificato per la firma digitale.
A cura di: Grazia Cesari
Responsabile Servizio sviluppo applicazioni informatiche Regione
Emilia-Romagna
Tratto da "Le
Fiamme d'Argento"
