LA FIRMA DIGITALE
societa
10 Ottobre 2009 amministratore

LA FIRMA DIGITALE

LA FIRMA DIGITALE Il processo d'ammodernamento nella P.A. Oggi gli strumenti di difesa passiva non sono più sufficienti


Il processo d'ammodernamento nella P.A.



Oggi gli strumenti di difesa passiva non sono più sufficienti nell'e-world, per cui bisogna rendere sicuri gli scambi delle informazioni e dei documenti informatici. Eccoci allora ad affrontare temi quali la:
. riservatezza: ossia il documento che viaggia nella rete deve essere accessibile solo al mittente e al destinatario;
. integrità: il documento non deve subire alterazioni durante lo scambio;
. autenticazione: la certezza che un documento proviene proprio da quel mittente;
. non ripudiabilità: chi trasmette o riceve non può negare di avere trasmesso o ricevuto.
Tutti elementi che sono alla base della Firma digitale! Ma che cos'è in realtà la firma digitale? Da un punto di vista tecnico, «la firma digitale è il risultato della procedura informatica, detta validazione, basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario, tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico e di un insieme di documenti informatici». Il firmatario, utilizzando la propria chiave privata - «firma» il file apponendovi la stringa di dati che deriva dalla operazione di cifratura. Il destinatario, nella misura in cui sarà in grado di decifrare la firma con la chiave pubblica del mittente, avrà la certezza che la firma è stata generata con la chiave privata e, grazie ad ulteriori controlli, del fatto che nessuno abbia manipolato i dati originari.

Generazione della firma digitale

1) Dal file originario, ad esempio un messaggio di posta elettronica o altro file digitale, viene ricavata la cosiddetta «impronta digitale», cioè una stringa di dati riassuntivi che ne sintetizzano in modo univoco il contenuto (in inglese è chiamata data digest). L'estrazione dell'impronta è necessaria, perché il passaggio successivo del processo di firma (la cifratura con il sistema d doppia chiave) è molto complesso e per velocizzarlo è meglio lavorare su un numero di dati più ridotto di quello del file originario.
2) Il digest viene cifrato con la chiave privata del mittente; il risultato costituisce la firma digitale.


Verifica della firma digitale

1) Il digest cifrato viene decifrato tramite la chiave pubblica del mittente;
2) Viene calcolato di nuovo un digest a partire dai dati contenuti nel messaggio;
3) Il digest estratto dalla firma viene confrontato con quello ricalcolato: se sono uguali il messaggio è autentico.
Sia il processo di generazione della firma digitale, sia quello di verifica, vengono eseguiti in maniera del tutto automatica da appositi programmi software, con semplici interventi dell'utente. La firma digitale in quanto tale, tuttavia, non garantisce la vera identità del titolare della chiave privata. Anche nel caso in cui si voglia garantire l'anonimato nelle comunicazioni su rete, rimane la necessità di evitare che altri comunichino ed agiscano per conto nostro. Per risolvere questo problema, è necessaria una operazione di certificazione. La certificazione è il risultato della procedura informatica, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave e, conseguentemente, il termine di scadenza del relativo certificato. Questa operazione viene effettuata da un certificatore. È importante, infine, sottolineare che la «firma digitale», essendo il risultato di un'operazione effettuata su uno specifico file di dati, è in realtà di versa per ogni singolo file trattato. È infatti la chiave privata, quella che genera il risultato, ad essere unica. Quando si parla della firma digitale di qualcuno, si dovrebbe piuttosto parlare correttamente della sua coppia di chiavi e, in specifico, della sua chiave privata. La firma digitale non è riproducibile, non è possibile associare una certa firma digitale ad un testo diverso dall'originale. La Regione Emilia-Romagna ha già attivato nei mesi scorsi una piccola sperimentazione interna relativa alla firma digitale della modulistica interna, ossia richieste di ferie, permessi, malattia, etc. e ha in progetto di rilasciare, entro la fine del 2003, a tutti i dipendenti, una smart-card contenente chiave privata e relativo certificato per la firma digitale.

A cura di: Grazia Cesari
Responsabile Servizio sviluppo applicazioni informatiche Regione Emilia-Romagna



Tratto da "Le Fiamme d'Argento"

Torna all'indice

 

Chiudi

Questo sito o gli strumenti terzi da questo utilizzati, nel corso del loro normale utilizzo, si avvalgono di cookie utili a migliorare l'esperienza di navigazione degli utenti e per raccogliere informazioni relative all'utilizzo del sito stesso. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo la pagina, cliccando su qualsiasi elemento o proseguendo la navigazione, acconsenti al loro utilizzo in conformità  alla nostra Cookie Policy.
Informativa Cookie Policy
Accetto i cookies