LA FIRMA ELETTRONICA: STRUMENTO PER LA SICUREZZA DELLE INFORMAZIONI

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "LA FIRMA ELETTRONICA: STRUMENTO PER LA SICUREZZA DELLE INFORMAZIONI"

Transcript

1 LA FIRMA ELETTRONICA: STRUMENTO PER LA SICUREZZA DELLE INFORMAZIONI di Marco Pironti Ricercatore di Economia e Gestione delle Imprese presso il Dipartimento di Informatica della Facoltà di Scienze MM.FF.NN. dell Università degli Studi di Torino Indice Abstract Introduzione...3 Il contesto normativo...4 La certificazione elettronica...7 L autenticazione...7 L integrità...8 La riservatezza...8 Sistema di crittografia a chiave segreta...8 Il sistema a chiave pubblica/privata...8 Algoritmo di hashing...11 L Autorità di Certificazione (CA)...11 Come ottenere chiavi e certificati per la firma digitale...13 Il Directory Server...13 I messaggi firmati...13

2 Marco Pironti La firma elettronica - 2 Abstract A fronte della rapida diffusione di tecnologie informatiche per il trattamento delle informazioni, ad oggi non sono ancora diffuse adeguate tecniche per la gestione della sicurezza nel trattamento dei dati. Infatti, anche un semplice messaggio di è privo di alcuni requisiti fondamentali: non si è sicuri di chi lo ha spedito, del contenuto del messaggio e della sua riservatezza. La firma digitale è l equivalente elettronico di una tradizionale firma apposta su carta. La sua funzione principale è perciò quella di attestare la validità e la veridicità di un documento. Dal punto di vista tecnico la firma digitale è una codifica crittografica del documento che garantisce, oltre che l autenticazione del mittente del documento e del messaggio trasmesso, anche l integrità del messaggio permettendo di verificare che non ci siano state modifiche rispetto all originale. In altre parole, attraverso la firma digitale si evita che il nostro documento venga intercettato e manipolato senza che nessuno se ne accorga. Esistono oggi i mezzi per garantire la sicurezza dei dati che coinvolgono nuove tecnologie, quali la posta elettronica e l impiego di strumenti web. Questo articolo intende fornire le indicazioni fondamentali su queste tematiche.

3 Marco Pironti La firma elettronica - 3 Introduzione Nell informatica basata su strumenti tradizionali, fondata principalmente su mainframe, l utente può essere certo di stabilire un collegamento sicuro dal proprio terminale alla macchina che intende raggiungere. Inoltre l identificazione dell utente è sufficientemente garantita dalle regole di sicurezza relative alla gestione delle password. L avvento delle Reti moderne (Internet, Intranet, Extranet) ha determinato un rapido incremento delle potenzialità di connessione client-server, al quale non è corrisposto un altrettanto rapido incremento sulle garanzie di sicurezza del nuovo ambiente. La necessità di sicurezza legata all invio o alla ricezione di una , oppure allo scambio di dati e informazioni con un sito web è evidenziata dai seguenti interrogativi: I dati sono trasmessi alla persona voluta? Come avere la sicurezza di essere collegati effettivamente al sito desiderato? I dati trasmessi arriveranno con lo stesso contenuto con cui sono stati inviati? Come far sì che i dati trasmessi siano visti solo dal destinatario? Il destinatario può negare l avvenuta ricezione del messaggio inviato? Ecc. Analogamente il destinatario potrebbe chiedersi: Il mittente è veramente quello dichiarato? Gli utenti che si collegano ad una particolare applicazione sono proprio quelli autorizzati? I dati ricevuti sono quelli effettivamente inviati? Come essere sicuri che i dati ricevuti non siano stati intercettati e letti da terze persone? Il mittente può disconoscere la paternità del messaggio? Ecc. Tutti questi interrogativi ed altri analoghi possono preoccupare i soggetti coinvolti, in funzione del valore che essi attribuiscono alle informazioni trasmesse o ricevute e quindi richiedere misure di sicurezza più o meno estese, potenti e costose.

4 Marco Pironti La firma elettronica - 4 Il contesto normativo Nel corso dell ultimo decennio alcuni ordinamenti stranieri, nei quali l uso di strumenti telematici per la comunicazione di informazioni è diffuso, hanno introdotto regole più o meno coerenti con le scelte del nostro legislatore. Per quanto riguarda gli Stati Uniti d America, quasi tutti gli Stati della Federazione hanno emanato atti legislativi in tema di firma digitale. Tra quelli che per primi hanno disciplinato organicamente la materia, vi è lo Stato dello Utah, con il Digital Signature Act, datato 27 febbraio Anche se le norme in esso contenute sono estremamente tecniche, vi sono disposizioni che abbracciano il diritto sostanziale: in special modo, l equivalenza tra sottoscrizione su carta e firma digitale ( ). Pur non esistendo una legge federale, sono stati prodotti standards per il riconoscimento della sottoscrizione elettronica, ai quali fanno riferimento le leggi dei singoli Stati. Un grande contributo allo sviluppo di questi standards è stato fornito da organizzazioni non governative. Anche le Nazioni Unite si sono occupate delle problematiche inerenti la firma digitale. L UNCITRAL ha predisposto il Model Law for Electronic Commerce, un modello di legge che prevede l uso della sottoscrizione elettronica per fini legali e commerciali e dell elaboratore elettronico quale mezzo di prova nei procedimenti giudiziari ed arbitrali. All inizio del 1998 è stata pubblicata una bozza, contenente regole uniformi in materia di sottoscrizione elettronica. Tra le iniziative di carattere internazionale è da rimarcare la Dichiarazione di Bonn, attraverso la quale i Governi dei principali paesi europei hanno sottolineato la necessità di disegni e strutture tecniche e giuridiche a livello europeo ed internazionale. In tale sede sono state promosse iniziative per rimuovere le barriere all utilizzo della firma digitale in ambito giuridico ed economico. Anche l Unione Europea, nel corso degli ultimi anni, si è impegnata sul fronte delle nuove forme di comunicazione. Il Parlamento Europeo ha invitato gli Stati Membri e la Commissione Europea a predisporre misure consistenti per assicurare l integrità e l autenticità dei documenti trasmessi per via telematica. Nell autunno del 1997 la Commissione ha adottato una Comunicazione rivolta al Parlamento Europeo, al Comitato Economico e Sociale ed al Comitato delle Regioni, sollecitando un disegno comune per la firma digitale e la crittografia, strumenti ritenuti essenziali per una maggiore sicurezza del commercio telematico. Con una successiva Comunicazione si è richiesto al Parlamento Europeo l elaborazione di una direttiva che formuli un riconoscimento, all interno dell Unione Europea, delle sottoscrizioni elettroniche attraverso la definizione dei requisiti essenziali per l armonizzazione delle legislazioni degli Stati membri, e determini i meccanismi di cooperazione con Paesi terzi per un mutuo riconoscimento sulla base di accordi bilaterali o multilaterali. L attività svolta dagli Organi dell Unione Europea per un riconoscimento delle forme elettroniche non ha lasciato indifferenti i legislatori degli Stati membri. Molti di questi sono ancora ad una fase preparatoria dei lavori (così il Regno Unito), altri, invece, hanno introdotto negli ordinamenti interni alcune norme significative. Il legislatore francese ha adottato, in data 27 Luglio 1996, una nuova legge sulle telecomunicazioni che si pone l obiettivo di ridurre le restrizioni esistenti sui sistemi di crittografia, essenziali per la tecnica della firma digitale. Il Parlamento tedesco ha approvato, nel corso del 1997, disposizioni rilevanti sulla firma digitale senza però disciplinare direttamente il profilo della validità giuridica della firma digitale. Piuttosto, essa ha l obiettivo di stabilire requisiti generali per la sicurezza della la firma digitale. Questo è il quadro internazionale più recente, dal quale il legislatore italiano ha ricevuto l impulso per una disciplina del documento informatico e della firma digitale. La materia della documentazione elettronica e della firma digitale ha trovato una disciplina nell ordinamento giuridico italiano con il D.P.R. 10 novembre 1997, n. 513, Regolamento recante criteri e modalità per la formazione, l archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell articolo 15, comma 2, della legge 15 marzo 1997, n.59. Il risultato, prodotto dalle norme del regolamento, è la piena rilevanza giuridica della documentazione informatica e la sua equiparazione alla tradizionale documentazione cartacea. All intenso valore giuridico della disciplina regolamentare non si accompagna un equivalente valore pragmatico, in quanto, per quest ultimo, occorrerà attendere l emanazione di ulteriori ed indispensabili regolamenti tecnici di

5 Marco Pironti La firma elettronica - 5 attuazione. Successivamente all emanazione di tali regolamenti, il D.P.R. 513 diventerà pienamente operativo. Il regolamento si compone di tre capi. Il primo di questi, dedicato ai principi generali, si apre con l enunciazione delle definizioni dei termini di carattere tecnico, utilizzati nel corso della disciplina giuridica. Alla nozione di documento informatico ed alla descrizione dei requisiti che lo caratterizzano, segue la disciplina dell atto informatico come forma scritta e dell efficacia probatoria ad esso attribuita e quella della validità e rilevanza attribuita alla copia di atti e documenti. Lo stesso capo si occupa (sommariamente) della disciplina delle attività da compiersi per il rilascio delle chiavi asimmetriche all utente da parte dell Autorità di certificazione, nonché degli obblighi inerenti entrambe le parti. Dopo alcune enunciazioni di carattere funzionale relative alle forme e modalità di utilizzo delle chiavi, il secondo capo, rubricato firma digitale, si dedica alla validità e rilevanza a tutti gli effetti di legge dei contratti stipulati con strumenti informatici o per via telematica. L attenzione è poi rivolta ai criteri di conclusione del contratto e di notificazione del documento informatico, nonché alla segretezza della corrispondenza trasmessa per via informatica ed alla possibilità di effettuare pagamenti elettronici, come pure alla formazione di libri e scritture contabili, a carattere obbligatorio, in formato elettronico. Le successive disposizioni attengono all autenticazione della firma digitale, riconosciuta ai sensi dell art cod. civ., ai criteri di validità e di applicazione delle chiavi di cifratura della pubblica amministrazione. Il secondo capo si chiude con la disciplina della firma digitale e del documento informatico relativa alla pubblica amministrazione. Le norme di attuazione del regolamento sono contenute nel capo terzo, il quale pone alle pubbliche amministrazioni dei termini per l adozione di piani di sviluppo e di realizzazione nonché di un rapporto tra costi e benefici del recupero su supporto informatico dei documenti e degli atti cartacei. Il regolamento presenta norme di carattere sostanziale che si inseriscono nel percorso positivo della definizione di documento informatico, per il quale si intende la rappresentazione informatica di atti, fatti, o dati giuridicamente rilevanti (art. 1, a). Nozione breve che permette di attribuire al documento informatico, da chiunque formato, all archiviazione ed alla trasmissione telematica di questo, validità e rilevanza a tutti gli effetti di legge (art. 2). Dall esame dell art. 1, contenente le definizioni dei termini tecnici presenti nelle successive norme, è possibile richiamare, quasi per intero, la disciplina scelta per il documento informatico firmato digitalmente. Il sistema che attribuisce al documento informatico con firma digitale l efficacia della scrittura privata (art. 5) è così concepito: una Autorità di certificazione (o certificatore), consultata da un utente interessato, descrive a quest ultimo la procedura e concede il know how per la generazione di una coppia di chiavi asimmetriche. L utente ha il dovere di custodire segretamente la propria chiave privata, che utilizzerà per apporre la firma; tuttavia, è data facoltà di depositare in forma segreta la chiave presso un notaio (secondo la disciplina del testamento segreto). La propria chiave pubblica verrà pubblicata in un registro telematico da parte del certificatore. Quest ultimo, ricevuta la chiave pubblica dell utente, emette un certificato, il quale garantisce la corrispondenza biunivoca tra chiave pubblica, necessaria per la verifica della firma, chiave privata e soggetto titolare. Il contenuto del certificato riguarda l indicazione delle generalità della persona, della corrispondente chiave pubblica e del termine di scadenza (art. 1, h). La validità di tale certificato è stabilita in una durata massima di tre anni, ma può essere revocato, ossia perdere validità irretroattivamente, ovvero sospeso per un periodo di tempo determinato. Il regolamento si occupa di disciplinare i requisiti dei certificatori, i quali hanno il delicato compito di assicurare la corrispondenza, e quindi la titolarità, delle chiavi asimmetriche, e di conseguenza della firma digitale. Con riferimento al settore privato, per svolgere l attività di certificatore occorre l inclusione in un apposito elenco pubblico tenuto dall Autorità per l Informatica nella Pubblica Amministrazione (art. 8, comma 3). Si tratta di un regime autorizzatorio i cui requisiti per accedervi sono stati in parte mutuati da quelli richiesti per l esercizio dell attività bancaria. Inoltre è data possibilità di agire sul territorio italiano ai certificatori operanti sulla base di licenza od autorizzazione rilasciata da altro Stato membro dell Unione Europea o dello Spazio economico europeo, purché in possesso di requisiti equivalenti. In numerose leggi e progetti di legge stranieri e sovranazionali sulla materia, la struttura ed il quadro di funzionamento delle Autorità di Certificazione sono disciplinati in maniera puntuale ed esaustiva prevedendo, nella maggior parte dei casi, due livelli gerarchici, con il livello sovraordinato di emanazione statale o pubblica che certifica le autorità sottordinate, normalmente private. Le norme del regolamento necessitano una integrazione che avverrà attraverso l emanazione dei successivi regolamenti di attuazione previsti dall art. 3. Il regolamento prevede la disciplina della firma digitale autenticata. L autenticazione consiste nell attestazione da parte di un pubblico ufficiale che la firma digitale

6 Marco Pironti La firma elettronica - 6 è stata apposta in sua presenza dal titolare. Tale autenticazione deve essere preceduta dall accertamento dell identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l ordinamento giuridico (art. 16). La funzione di autentica non si esaurisce nella mera certificazione, ma comporta un controllo di legalità sul contenuto del documento informatico sottoscritto. La firma digitale autenticata si considera come riconosciuta ai sensi dell art cod. civ., formando piena prova della provenienza delle dichiarazioni da chi ha sottoscritto il documento informatico. La disciplina regolamentare incide anche sulla comunicazione telematica del documento informatico. L art. 12, dedicato alla trasmissione del documento, stabilisce che il documento informatico trasmesso per via telematica si intende pervenuto al destinatario se inviato all indirizzo elettronico da questi dichiarato. La determinazione della data e dell orario, opponibili ai terzi, in cui ad esempio è avvenuta la conclusione del contratto, dipende dall adozione di tecniche di validazione temporale. Come si può notare da questa rassegna il regolamento contiene norme la cui incidenza sul diritto sostanziale è estremamente rilevante, pur mancando una immediata applicabilità, rinviata a successive norme tecniche. L Autorità per l informatica nella pubblica amministrazione ha predisposto uno schema di Decreto del Presidente del Consiglio dei Ministri contenente Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n Senza entrare nel dettaglio degli articoli di tale bozza, è opportuno sottolineare come alcune discipline, richieste dal d.p.r.. 10 Novembre 1997, n. 513, non siano parte dello schema predisposto. Il tecnicismo informatico non permette di fare ulteriori considerazioni, salvo notare come sia difficile rinvenire un disegno complessivo. Le norme, a volte estremamente tecnicistiche, altre volte molto vaghe nei contenuti, sembrano prive di un tracciato comune che consenta all interprete una lettura agevole ed una loro attuazione a breve.

7 Marco Pironti La firma elettronica - 7 La certificazione elettronica In prima approssimazione la certificazione elettronica consiste nell utilizzare tecniche in modo da attribuire a documenti elettronici la stessa validità degli analoghi cartacei. A tal proposito vengono descritti ed analizzati i concetti di autenticazione, integrità e riservatezza, le tecniche di crittografia a chiave segreta, crittografia a chiave pubblica/privata, gli algoritmi di hashing e gli strumenti necessari per raggiungere tale scopo. Ma, come si dimostrerà nei paragrafi successivi, la certificazione elettronica permette di aumentare la sicurezza di un documento. Mentre un documento cartaceo può essere manomesso da terze parti, senza che sia possibile rilevarne la manipolazione, con la certificazione elettronica ogni alterazione del contenuto viene evidenziata. In generale la sicurezza può riguardare un messaggio, un documento, un file scambiato tra due parti. Per proteggere, cioè rendere sicuro, si intende contrastare le frodi dovute all osservazione ed alle modifiche non autorizzate o la possibilità di negare di aver trasmesso o ricevuto un messaggio. Predisporre contromisure di protezione o sicurezza significa: autenticare, cioè assicurare l effettiva provenienza del documento, assicurare l inviolabilità della posta, mantenendo la riservatezza delle informazioni, assicurare l integrità dei dati, evitare il ripudio, chi trasmette non deve poter negare di aver trasmesso, così come chi riceve non deve poter negare di aver ricevuto. È possibile riepilogare brevemente quanto sopra detto con la seguente tabella che correla rischi con requisiti. Rischio Frode Osservazione non autorizzata Modifica dati Diniego Requisito Autenticazione Riservatezza Integrità Non ripudio L autenticazione L autenticazione è il procedimento utilizzato per verificare l identità dell utente o dell autore di un documento. Questa verifica richiede lo scambio di informazioni segrete tra l utente e l applicazione che vuole utilizzare; di solito l autenticazione avviene tramite password in possesso all utente confrontata con quella contenuta in un database a cui accede l applicazione. L utente invia la password all applicazione che verifica l identità dell utente confrontando la password ricevuta con quella che nel database corrisponde all identificativo utente immesso. Ad esempio, nell ambito della sicurezza aziendale si possono identificare tre tipi di rischi: rivelazione di informazioni riservate, accesso non autorizzato ed interruzioni di servizio non autorizzate. Il primo rischio riguarda la rivelazione di informazioni segrete o riservate; questa tipologia di violazione consiste nella possibilità da parte di utenti non autorizzati di accedere ad informazioni riservate sul sistema aziendale. Le informazioni riservate devono essere memorizzate e trasmesse in maniera codificata. Un sistema di codifica poco efficace può portare a tale tipo di problemi. Gli accessi non autorizzati sono possibili dove non esista un utilizzo di password corretto oppure manchi l autenticazione degli utenti. Esiste inoltre il rischio di interruzione del servizio; in questo caso viene bloccato il sistema con conseguente mancata disponibilità del sistema informatico e delle sue risorse. Un testo scritto al computer è modificabile per definizione e se vogliamo usarlo come documento inoppugnabile dobbiamo renderlo non più modificabile senza che tale modifica venga segnalata. Per ottenere questo si ricorre alla cifratura utilizzando la tecnica delle coppie di chiavi, una segreta ed una pubblica. Pertanto un sistema di autenticazione sicura è quello a chiave pubblica. I normali sistemi di codifica e decodifica richiedono una chiave comune segreta che viene utilizzata sia per la codifica sia per la decodifica.

8 Marco Pironti La firma elettronica - 8 L integrità Il termine integrità indica la protezione delle informazioni dalle eventuali modifiche apportate da altri utenti non autorizzati. Il concetto di integrità dei dati è diverso da quello di riservatezza. La protezione dei dati da modifiche non autorizzate può essere ottenuta in due passaggi: durante il primo passaggio il mittente deve applicare ai dati una funzione hash non invertibile. Il risultato della funzione, chiamato valore di controllo, viene accodato ai dati. A sua volta, per assicurarsi che i dati ricevuti non siano stati modificati, il destinatario esegue la stessa funzione di hash del mittente sui dati e confronta il risultato ottenuto con il valore di controllo accodato ai dati. Se i dati non coincidono significa che sono stati modificati ed il destinatario può non accettarli. Per una maggiore sicurezza occorre effettuare un secondo passaggio che consiste nella codifica del valore di controllo. Un eventuale intruso che riuscisse ad intercettare i dati durante la trasmissione potrebbe modificarli solamente conoscendo la chiave di codifica applicata con il secondo passaggio. La riservatezza La riservatezza dei dati riguarda l impossibilità di rivelare i dati riservati ad utenti non autorizzati, mentre l integrità impedisce agli utenti non autorizzati di apportare modifiche a questi dati. Le informazioni riservate devono essere protette sia durante le operazioni di memorizzazione sia durante la trasmissione in rete. I dati memorizzati possono essere protetti sia tramite codifica sia utilizzando il controllo di accesso. Il controllo di accesso consente all utente di utilizzare la propria autorizzazione per accedere alle risorse disponibili; l accesso viene limitato solo agli utenti autenticati ed autorizzati. Se le informazioni vengono trasmesse in rete devono essere necessariamente codificate. La codifica richiede l utilizzo della chiave apposita. Sistema di crittografia a chiave segreta L'invio di messaggi segreti si è sempre basato sulla comune conoscenza, tra chi invia un messaggio e chi lo riceve, di un codice, una procedura, una chiave da utilizzare per crittografare i messaggi e decrittografarli. La crittografia è un modo per proteggere i dati trasformandoli in maniera tale che solo colui che è autorizzato può accedervi. I sistemi che utilizzano questo tipo di codifica sono detti sistemi con crittografia a chiave segreta. Le debolezze dei sistemi a chiave segreta sono da ricercarsi nella necessità di comunicare la chiave segreta e nell'uso ripetuto della chiave. Se la chiave viene smarrita o diventa pubblica non vi è più garanzia di segretezza; poiché la chiave deve essere scambiata e questo scambio non può che avvenire in chiaro, cioè senza crittografia, esiste almeno un momento in cui è possibile impossessarsi della chiave. Chi si impossessa della chiave è anche in grado di inviare falsi messaggi o alterare gli originali, senza che il destinatario si renda conto della sofisticazione. L'uso ripetuto della stessa chiave rappresenta un potenziale problema. Più volte la chiave viene utilizzata più è facile decodificarla, anche se con l'uso di elaboratori elettronici è però possibile utilizzare chiavi sufficientemente complesse, tali da rendere impossibile la decodifica; rimane tuttavia il problema della segretezza. Il sistema a chiave pubblica/privata Nel 1976 Whitfield Diffie e Martin Hellman pubblicarono su Le Scienze un sistema rivoluzionario per scambiare messaggi segreti senza scambiare preventivamente chiavi segrete. Il sistema, reso pratico con lo sviluppo di calcolatori sempre più veloci, è in grado di risolvere i due principali problemi legati all'invio di messaggi segreti: garantire la riservatezza e l'autenticità del messaggio. Con il sistema a chiave segreta, la riservatezza del messaggio si basa sul fatto che la chiave segreta è stata scambiata in un momento diverso da quello in cui avviene lo scambio del messaggio e si presume che la chiave non sia stata intercettata. L'autenticità del messaggio si basa sulla assunzione che solo il nostro corrispondente abbia la chiave. Ne consegue che se la chiave viene intercettata, non abbiamo più nè riservatezza nè autenticità; chiunque la intercetti è in grado di leggere i nostri messaggi e di falsificarli.

9 Marco Pironti La firma elettronica - 9 Invece di utilizzare la stessa chiave per codificare e decodificare un messaggio, il sistema proposto da Diffie e Hellman è basato sull'utilizzo di una coppia di chiavi, ognuna delle quali è in grado di effettuare una trasformazione del messaggio. In pratica ogni chiave è in grado di decodificare quello che l'altra ha codificato. Delle due chiavi, una viene tenuta segreta (la chiave privata), l'altra viene resa pubblica (la chiave pubblica). Un messaggio codificato con la chiave privata può essere decodificato solo con la corrispondente chiave pubblica così come un messaggio codificato con la chiave pubblica può essere decodificato solo con la corrispondente chiave privata. A differenza dei sistemi classici a chiave segreta, in cui la stessa chiave viene utilizzata sia per codificare che per decodificare i messaggi, un messaggio codificato con la chiave pubblica non può essere decodificato con la chiave pubblica, ma solo con quella privata. Rispetto al sistema classico a chiave segreta, il sistema a chiave pubblica/privata ha i seguenti vantaggi: non richiede una informazione segreta, per la codifica o la decodifica, che deve essere comunicata tra i due soggetti che si vogliono scambiare messaggi; evita di tenere una chiave segreta per ogni soggetto con il quale si vuole parlare (la chiave per spedire messaggi segreti ad A è sempre la stessa, sia che provengano da B, sia che provengano da C); ed è questo un vantaggio particolarmente importante per istituzioni che hanno a che fare con una vasta clientela in quanto garantisce l'autenticità del messaggio. Rispetto ai sistemi a chiave segreta, il sistema a chiave pubblica ha lo svantaggio di dover utilizzare chiavi molto lunghe e, conseguentemente di richiedere un processo di criptazione relativamente lento. Il sistema a chiave pubblica è un sistema di codifica in cui gli utenti non hanno alcun bisogno di condividere e rendere pubbliche le proprie chiavi segrete. In molti sistemi di crittografia (crittografia con chiave simmetrica) per la codifica viene utilizzata la stessa chiave utilizzata per la decodifica. Nei sistemi più intelligenti viene utilizzato un algoritmo di crittografia con chiave asimmetrica che è alla base dei sistemi a chiave pubblica. I sistemi a chiave pubblica hanno una caratteristica fondamentale: è praticamente impossibile ricavare la chiave di decodifica conoscendo solamente quella di codifica e l algoritmo di cifratura. Ciascun utente autorizzato possiede due chiavi, una privata, nota solo a lui, ed una pubblica, nota a tutti coloro che vogliono comunicare con lui. La chiave pubblica di ogni utente viene pubblicata e resa disponibile. Un utente A che desideri inviare un pacchetto codificato all utente B può utilizzare la chiave pubblica di B per codificare il messaggio che verrà decodificato da B utilizzando la propria chiave privata. Poiché solo B conosce la propria chiave privata, nessun altro utente è in grado di decifrare il messaggio. Riservatezza Utente A Privata di A Messaggio/Documento Utente B Privata di B Decodifica Codifica Pubblica di A Pubblica di B

10 Marco Pironti La firma elettronica - 10 Inoltre in alcuni sistemi a chiave pubblica è possibile codificare i dati utilizzando una qualsiasi delle due chiavi, mentre l altra viene utilizzata per la decodifica. Tale metodo utilizza l algoritmo a chiave pubblica RSA che consente di effettuare la codifica e l autenticazione utilizzando la chiave pubblica e quella privata. Nel metodo precedente l utente A codifica il proprio messaggio utilizzando la chiave pubblica dell utente B; in tal caso però il messaggio potrebbe essere inviato da qualsiasi altro utente che conosca la chiave pubblica di B. Ciò significa che, mentre il messaggio è segreto e protetto, non è invece possibile autenticare il mittente. È possibile autenticare anche il mittente: l utente A può infatti codificare il messaggio utilizzando la propria chiave privata, nota solo a lui. L utente B può decodificare il messaggio ricevuto utilizzando la chiave pubblica di A, secondo lo schema seguente. Autenticazione Utente A Privata di A Messaggio/Documento Utente B Privata di B Codifica Decodifica Pubblica di A Pubblica di B In tal modo B ha la certezza che il messaggio è stato inviato da A ; tale metodo garantisce l autenticazione di A ma riduce il livello di segretezza, poiché chiunque è in grado di decodificare il messaggio, utilizzando la chiave pubblica di A. Combinando i due metodi è possibile ottenere sia la privacy desiderata sia l autenticazione univoca. Se A codifica il messaggio utilizzando la propria chiave privata, viene automaticamente autenticato; se però oltre ad utilizzare la propria chiave privata l utente A ripete la codifica utilizzando la chiave pubblica di B, viene garantita anche la segretezza assoluta, poiché in questo caso soltanto B può decodificare il messaggio utilizzando la propria chiave privata. Quando riceve il messaggio, l utente B lo decodifica con la propria chiave privata dopodiché decodifica nuovamente il messaggio ottenuto utilizzando la chiave pubblica di A, come di seguito indicato.

11 Marco Pironti La firma elettronica - 11 Riservatezza e Autenticazione Utente A Privata di A Messaggio/Documento Codifica Utente B Privata di B Codifica Decodifica Decodifica Pubblica di A Pubblica di B Algoritmo di hashing Si tratta di un algoritmo che partendo da un documento (o un oggetto) di qualsiasi dimensione lo elabora e produce un codice di dimensione fissa. Il metodo di elaborazione è tale che, se il documento (o l oggetto) venisse cambiato in qualunque sua parte, questo codice cambierebbe. Per esemplificare immaginiamo un algoritmo che calcola il numero di lettere, il numero di parole, la frequenza di ogni lettera ecc., se cambiamo una qualsiasi lettera o parola anche il risultato cambia. Possiamo pensare al codice prodotto dall'algoritmo di hashing come ad una impronta del documento. Dall'impronta non è possibile risalire al documento, però se il documento cambia, anche solo in minima parte, allora cambia anche l'impronta. Nella realtà gli algoritmi di hashing (spezzettamento) sono più complessi di quanto esemplificato. Attualmente vengono utilizzati principalmente 3 algoritmi denominati MD2, MD4, MD5. Gli algoritmi sono stati ideati da Ron Rivest e producono codici di 128 bit. Una variante potenziata dell algoritmo MD5 è l algoritmo SHA-1, sviluppato nel 1993 presso il National Institute of Standards and Technology (NIST), che produce un codice a 160 bit ed è pertanto 2 32 volte più sicuro dell MD5. L Autorità di Certificazione (CA) L'utilizzo di un sistema di crittografia a chiave pubblica non garantisce l'identità del nostro interlocutore, non siamo certi che la persona o l'ente, al quale stiamo mandando dei messaggi, sia chi dice di essere. Siamo certi che ha la disponibilità di una certa chiave privata, alla quale corrisponde la chiave pubblica, ma non abbiamo certezza sulla sua identità. Il problema è particolarmente importante se, per esempio, stiamo per inviare delle informazioni strettamente riservate ad un particolare destinatario che dice di essere proprio la persona a cui vogliamo spedirle.

12 Marco Pironti La firma elettronica - 12 Usando la crittografia siamo certi che nessuno potrà carpire quei dati, ma non siamo certi dell'identità della persona con la quale siamo in contatto. Il problema può essere risolto fidandoci di una terza parte che garantisca e certifichi l'identità di chi usa una certa chiave pubblica, così come le autorità di pubblica sicurezza emettono documenti di identificazione quali il passaporto o la carta d'identità. Un Autorità di Certificazione (Certification Authority, solitamente abbreviato con CA) è un entità che riceve un insieme di informazioni, le verifica e le garantisce rispetto a una terza parte. La CA deve realizzare le seguenti cinque funzioni principali: accettare le richieste di certificati verificare l identità delle persone o delle organizzazioni che richiedono un certificato emettere i certificati revocare i certificati fornire informazioni sui certificati che ha emesso Le prime due funzioni vengono dette di registrazione mentre le altre di emissione e gestione dei certificati. Pertanto, accanto alla CA, esiste la Registration Authority (RA) che è l ente responsabile degli aspetti organizzativi nella costruzione e gestione dei certificati. La RA è responsabile della identificazione e autenticazione dei proprietari dei certificati e delega la CA per la firma e l emissione dei certificati stessi. Le informazioni certificate possono essere di vario tipo, ad esempio la possibilità di accedere ad un indirizzo di , nome e cognome, un numero di conto corrente, di carta di credito, un indirizzo IP o un sito WEB. Il certificato emesso dalla CA fornisce un mezzo per provare la propria identità in una transazione elettronica. I certificati sono basati su un sistema di crittografia a chiave pubblica. Un certificato emesso da una CA e firmato con la chiave privata della CA tipicamente contiene: la chiave pubblica del possessore; il nome del possessore, se il possessore è una persona fisica si tratterà di nome e cognome, data di nascita ecc., se invece è un server www sarà presente l'indirizzo www e il nome della compagnia proprietaria del server; la data di scadenza del certificato; il nome della CA che ha emesso il certificato; la firma digitale della CA che ha emesso il certificato. Questo insieme di informazioni viene legato ad una Firma Digitale (Digital Signature) generata usando la propria chiave privata in un documento chiamato Richiesta di Certificazione (Certification Request). I campi dei dati inseriti nella richiesta di certificazione e le procedure utilizzate per verificarli costituiscono la policy. Dopo che le procedure contenute nella policy sono state eseguite, l'autorità di Certificazione emette un documento: il certificato con la propria chiave pubblica assieme alla propria firma digitale. Chiunque può verificare la policy ed il certificato della CA che devono essere rese pubbliche dalla CA. La CA deve mantenere un pubblico registro dei certificati emessi e una Lista dei Certificati Revocati (Certification Revocation List - CRL) che devono essere disponibili come stabilito dalla policy. Esistono vari standard per i certificati, attualmente il più utilizzato è quello definito dallo standard internazionale CCITT X.509 v3. Solitamente vengono emessi quattro tipi di certificati: Precaricati di una Autorità di Certificazione. Alcuni di questi certificati sono precaricati nei browser, cosicché questo possa riconoscere tutti i certificati emessi da queste CA. Quando qualcuno riceve una informazione firmata o criptata con un certificato deve solo verificare la firma della CA che ha emesso il certificato per fidarsi dei dati contenuti nel certificato; Server di un sito (www, ftp, ecc. ). Questo certificato viene emesso per garantire che il server, che sta mostrando quel certificato, è il server di un particolare sito ( per esempio l'indirizzo ); questo tipo di certificati è particolarmente utile per il commercio elettronico, il cliente vuole essere certo di rivolgersi ad un particolare server, il certificato lo garantisce in questo senso; Personali, contenenti quindi informazioni quali nome, cognome, indirizzo, casella , ecc.; possono essere utilizzati per garantire la provenienza di una , per inviare un numero di carta di credito, ecc.

13 Marco Pironti La firma elettronica - 13 Software, per garantire l'autenticità della provenienza del software, specialmente se questo viene distribuito in Rete. Pertanto, per certificare a tutti gli effetti l identità dei titolari delle chiavi pubbliche e renderle disponibili in rete con gli accorgimenti necessari a garantire la validità e la sicurezza delle stesse, occorre fare uso, secondo il regolamento attuativo della legge 59/97, di apposite Autorità di Certificazione. Tale legge ha imposto ai certificatori privati particolari requisiti di affidabilità tra cui una capitalizzazione pari a quella richiesta per un attività bancaria e la certificazione ISO9001. Le Autorità di Certificazione si devono avvalere a loro volta di apposite strutture chiamate Autorità di Registrazione preposte alla verifica fisica dell identità dei titolari di chiavi pubbliche. In vari casi l Autorità può certificare non solo l identità della persona ma anche altri requisiti quali ad esempio i suoi poteri di rappresentanza od il possesso di determinati titoli. Esiste un altra funzione importante delle Autorità di Certificazione che è quella di determinare con certezza la data di formazione del documento elettronico, ovvero di apposizione delle firma digitale. Questa specifica attività viene chiamata time-stamping. Come ottenere chiavi e certificati per la firma digitale Per ottenere un certificato occorrerà stabilire una prassi di comportamento che viene definita come la PKIpolicy. Descriviamo di seguito un esempio di passi da seguire in un ipotetico contesto aziendale: 1) definire un ente interno che si occupi di raccogliere i dati anagrafici di coloro che saranno autorizzati ad ottenere un certificato digitale. In aggiunta a tali informazioni occorrerà allegare fotocopia del documento di identità; sarà compito di tale ente tenere un archivio cartaceo relativo ai richiedenti la certificazione (Direzione del Personale); 2) l Ente predisposto contatterà la CA consegnando a mano la documentazione relativa alle richieste dei certificati; 3) la CA elabora le richieste per rilasciare i certificati; 4) l ente aziendale predisposto distribuisce i certificati manualmente; 5) i certificati rilasciati dalla CA, vengono memorizzati nel Directory Server (DS). I Browser più diffusi sul mercato contengono tutto l occorrente per produrre la coppia di chiavi asimmetriche necessaria per la firma digitale e per la cifratura dei documenti, nonché una serie di certificati delle varie CA già operanti (per ora tutte CA americane). I certificati di altre CA possono essere importati manualmente nel browser. Il Directory Server Lo standard di directory X.509 fornisce uno standard per i sistemi di autenticazione che utilizzano schemi a chiave pubblica e in particolare definisce la struttura e il formato dei certificati. Lo standard X.509 fa parte della serie X.500 degli standard CCITT (Comitato Consultivo Internazionale di Telegrafia e Telefonia). Lo standard X.509 definisce le specifiche da utilizzare per offrire i servizi di autenticazione basati su certificati X.509, che vengono forniti da una Autorità di certificazione (CA Autorità di Certificazione). I certificati degli utenti vengono memorizzati su di una directory X.500 in modo centralizzato. Lo standard X.509 prevede appunto l utilizzo di uno schema di codifica a chiave pubblica combinato con il sistema di firme digitali (algoritmo RSA). Inoltre il certificato può essere memorizzato su vari supporti quali il disco fisso del PC o un floppy disk. La chiave privata dell utente deve essere protetta in modo particolare, e deve essere sempre disponibile all utente stesso, sia per apporre firme digitali che per decodificare messaggi riservati a lui diretti. La tendenza è di memorizzarla, assieme al proprio certificato, in una smart card assegnata al proprietario. I messaggi firmati Dopo aver ottenuto il certificato dalla CA possiamo iniziare ad inviare messaggi in forma elettronica con tanto di firma elettronica allegata. I messaggi ricevuti avranno in alto a destra un icona con la dicitura signed/firmato. Cliccando sull icona si aprirà il nostro certificato che potrà essere verificato presso la CA che lo ha rilasciato.

14 Marco Pironti La firma elettronica - 14 Durante il processo di verifica viene contattata la CA che ha pubblicato sul server la lista dei certificati revocati (CRL) per controllare la validità o meno del certificato ricevuto in allegato. Un certificato valido non è una prova assoluta di identità; è possibile che nel corso del tempo la password di accesso alla chiave privata venga conosciuta da altri che potrebbero firmare al posto del titolare. Un modo per ridurre il rischio che un certificato non sia più valido è quello di inserirvi la data di emissione e quella di scadenza (Time stamping). Questo tuttavia non elimina il rischio che la chiave privata sia resa nota accidentalmente nello stesso momento in cui il certificato viene emesso (è preferibile quindi che la chiave privata non lasci mai la smart card, neanche durante la registrazione della chiave pubblica presso la Autorità di Registrazione della CA). Pertanto è necessario controllare l elenco dei certificati revocati (CRL) che ogni CA mette a disposizione. Tale funzionalità è utilizzata anche nella gestione della posta elettronica. In quest ambito i dati scambiati si avvalgono del non ripudio, che consiste nel dimostrare l origine o la destinazione dei dati e impedisce a chi invia i dati di negare di averli inviati o a chi li riceve di negare di averli ricevuti.

15 Marco Pironti La firma elettronica - 15 Glossario AIPA (Autorità per l Informatica nella Pubblica Amministrazione). CA (Certification Authority): Autorità di Certificazione. RA (Registration Authority): Autorità di Registrazione. CRL (Certificate Revocation List): lista dei certificati revocati. DES (Data Encryption Standard): tecnica di codifica dei dati; l input dell algoritmo di codifica DES è costituito da un blocco di testo di 64 bit e da una chiave di codifica a 56 bit; l output è costituito da un testo cifrato di 64 bit. DS (Directory Server): Database a struttura gerarchica (ad albero). IDEA (International Data Encryption Algorithm): tecnologia più sicura del DES; codifica blocchi di dati di 64 bit utilizzando chiavi di 128 bit (utilizzo di una chiave più lunga). PKI (Public Key Infrastructure): sistema di criptazione a chiave pubblica. PKI-policy: regole per la creazione/rilascio della coppia di chiavi del sistema PKI. RC2/RC4 (Rivest Cipher 2 / Rivest Cipher 4): sono due algoritmi simmetrici di cifratura ideati da Ron Rivest (la R di RSA). RSA (Rivest, Shamir and Adleman): algoritmo di criptazione a chiave pubblica. TRIPLE-DES: tecnologia più sicura del DES, poiché gli algoritmi di codifica a 56 bit hanno dei punti deboli. Tale algoritmo esegue tre iterazioni di codifica e decodifica del testo, inoltre è possibile utilizzare la stessa chiave di 56 bit per tutte le iterazioni oppure utilizzare chiavi diverse per ciascuna iterazione. X.500: è una serie di protocolli definiti dalla ISO e dalla ITU per realizzare un sistema di Directory Service aperto multivendor. La famiglia di protocolli X.500 include DAP, DSP e DISP. Il protocollo X.500 è oggi alla sua terza versione. Hash (Hashing): è la trasformazione di una stringa di byte in un valore di grandezza fissa, di solito più piccolo, oppure in una chiave rappresentativa della stringa. MD5: è un algoritmo di codifica dei messaggi che cifra un messaggio di lunghezza arbitraria in 128 bits. MD5 è un algoritmo di crittografia a somma di controllo. SHA (Secure Hash Algorithm): è un algoritmo di codifica dei messaggi che cifra un messaggio di lunghezza arbitraria in 160 bits. SHA è un algoritmo di crittografia a somma di controllo. NIST (National Institute of Standards and Technology). X.509: è lo standard più diffuso per definire i certificati digitali. È largamente utlizzato anche al di fuori di Iso e ITU. Time-stamping (Marca temporale): è la modalità con cui non solo viene firmato digitalmente il contenuto di un messaggio ma anche la data della sua emissione e la data della sua eventuale scadenza. Lo stesso concetto viene applicato anche ai certificati digitali. CCITT (Comitato Consultivo Internazionale di Telegrafia e Telefonia). PDF (Portable Document Format): è una tecnologia sviluppata dalla Adobe ed è molto diffusa per la formattazione dei documenti in modo che possano essere visti e stampati su molteplici piattaforme usando un reader rilasciato gratuitamente dalla Adobe. Directory Service: è il servizio fornito da un Directory Server. API (Application Programming Interface): sono una serie di funzioni che possono venire usate dai programmi per interagire con un servizio o con una libreria. LDAP (Lightweight Directory Access Protocol): è il protocollo Internet che permette di accedere e ricercare informazioni su (numerosi) Directory Server. Giunto oggi alla sua terza versione, LDAP è ancora solo un protocollo di accesso e non un protocollo per realizzare Directory Server distribuiti. Shadow: modalità di configurazione di un Directory Server in cui non si può intervenire con aggiornamenti o modifiche di dati, ma può essere utilizzato solo in lettura dei dati da parte, ad esempio, delle applicazioni. OEMS: Open Enterprise Management System è il termine generico con cui si indicano le piattaforme di management a livello enterprise, basate su standard aperti quali SNMP. LDIF (LDAP Data Interchange Format): è un standard usato per rappresentare in formato testo i dati di un directory accessibile mediante LDAP. A partire da questo formato si possono facilmente caricare i dati in un altro directory LDAP, utilizzando utility di pubblico dominio. PKCS (Public-Key Cryptography System): è un set di protocolli standard informali, sviluppati dalla RSA per rendere possibile lo scambio di informazioni sicure su una rete o informazioni relative ai certificati X.509.

16 Marco Pironti La firma elettronica - 16 PKIX: uno standard di rappresentazione dei certificati all interno delle SmartCard S/MIME (Secure Multipurpose Internet Mail Extensions): definisce un modo per rendere i messaggi di posta più sicuri aggiungendo sia la firma digitale sia la criptazione. PEM (Privacy-Enhanced Mail): uno standard Internet per lo scambio di messaggi di posta confidenziali JSSL: implementazione in Java di una libreria SSL CSSL: implementazione in C di una libreria SSL IPSEC: standard di sicurezza per proteggere la riservatezza e l integrità dei pacchetti della rete IP. DAP (Directory Access Protocol): è un protocollo di X.500 usato per accedere ai directory services. PIN (Personal Identification Number): è un insieme di caratteri numerici o alfanumerici che viene consegnato ad una persona per essere usato come identificativo. PCMCIA (Personal Computer Memory Card International Association): indica lo standard di interfacciamento di schede per Personal Computer emesso dalla stessa associazione. Key Escrow: la possibilità di lasciare una chiave segreta in deposito presso una terza parte fidata. PC/SC: lo standard che viene proposto da Microsoft e altri partner per lo scambio di informazioni fra applicazioni e SmartCard; include una standard API di interazione fra applicazioni e SmartCard. DISP (Directory Information Shadowing Protocol): è un protocollo di X.500 usato per propagare da master a shadow le modifiche apportate sui dati del directory. Fault tolerance: la capacità di un sistema di reagire in modo prevedibile, in genere senza smettere di funzionare ma al più degradando le proprie prestazioni (Fail Soft), a guasti e malfunzionamenti di qualsiasi natura. Più è ampio lo spettro dei malfunzionamenti a cui il sistema sa reagire, maggiore è la sua fault tolerance Metadirectory: Una tecnologia che permette sia la costruzione e il mantenimento di un directory che contenga tutte le informazioni di rilevanza aziendale, sia l allineamento di tali informazioni in tutti i database aziendali che dipendono da tali informazioni (fra le altre) per il loro corretto funzionamento. Master: modalità di configurazione di un Directory Server in cui si può intervenire con aggiornamenti o modifiche di dati. HTTPS: HTTP sopra SSL. S-HTTPS: è un altro protocollo che serve a trasmettere dati in modo sicuro su una rete. Dove SSL crea una connessione sicura tra client e server attraverso la quale può essere trasferita qualsiasi quantità di dati, il protocollo S-HTTPS invece è disegnato per trasmettere singoli messaggi in maniera sic ura. Questi due protocolli possono essere visti come complementari piuttosto che come tecnologie competitive. SSL (Secure Sockets Layer): è un protocollo sviluppato dalla Netcsape per trasmettere documenti privati attraverso Internet. SSL lavora usando una chiave privata per autenticare il server o il client e per scambiare una chiave DES con cui criptare i dati che verranno trasferiti attraverso la connessione SSL. Sia Netscape Navigator che Internet Explorer supportano il protocollo SSL, e molti siti Web lo usano per ricevere informazioni confidenziali dai propri utenti. Per convenzione le pagine Web che richiedono l uso del protocollo SSL aprono una connessione con https: invece che con SSO (Single Sign On): vedi SSSO. SSSO (Secure Single Sign On): è la sigla con cui viene identificata la sinergia di tre tipi di necessità. Dalla prospettiva dell utente, SSSO si riferisce alla possibilità di usare un singolo identificativo personale e una singola password per accedere con un singolo controllo a tutte le risorse di cui uno ha i diritti di accesso. Dalla prospettiva dell amministratore, SSSO permette di gestire tutti gli aspetti relativi alla sicurezza di una azienda tramite un unico punto centralizzato. Dalla prospettiva dell azienda, SSSO fornisce la possibilità di proteggere la privacy e l integrità delle transazioni così come fornisce la possibiltà di effettuare transazioni verificabili e non ripudiabili. Robustezza della cifratura: la robustezza della cifratura viene misurata attraverso lo sforzo necessario a rompere un sistema di cifrazione. Normalmente viene classificata attraverso la lunghezza delle chiavi usate per la codifica. La robustezza della cifratura è dipendente dall algoritmo che viene usato. Per esempio, la lunghezza minima accettabile di una chiave per il DES è di 56 bits, mentre la lunghezza minima accettabile per una RSA è di 512 bits. Algoritmo simmetrico: è un algoritmo dove la stessa chiave può essere usata sia per la cifratura che per la decifratura. Algoritmo asimmetrico: è un algoritmo di criptazione che richiede due differenti chiavi per la cifratura e la decifratura. Queste chiavi sono comunemente chiamate chiavi pubbliche e private. Gli algoritmi asimmetrici sono più lenti di quelli simmetrici oltre al fatto che la velocità di cifratura può essere differente dalla velocità della decifratura. Generalmente gli algoritmi asimmetrici vengono usati sia per scambiare delle chiavi di

17 Marco Pironti La firma elettronica - 17 sessione simmetriche o per firmare digitalmente un messaggio. RSA, RPK, e ECC sono esempi di algoritmi asimmetrici Certificato Digitale : è una struttura che serve a legare l identità di un ente o di una persona con la sua relativa chiave pubblica. Una CA emette e firma digitalmente un certificato digitale. Firma Digitale : è un metodo per verificare che un messaggio generato da un mittente non sia modificato durante il suo tragitto. La firma digitale viene tipicamente applicata cifrando un impronta del messaggio con la chiave privata del firmatario. Non-ripudio: è la ragionevole sicurezza che un mittente non possa negare di essere l autore di un messaggio che ha spedito. Il non-ripudio viene realizzato cifrando l impronta del messaggio con la chiave privata dell autore. La chiave pubblica dello stesso autore dovrà essere certificata da una CA riconosciuta. di sessione : è una chiave simmetrica temporanea che è valida solo per un breve periodo. Una chiave di sessione è tipicamente un numero casuale che può essere scelto da una delle due parti della conversazione, da tutte e due le parti o da una terza parte riconosciuta. Smart card: è una periferica non modificabile dove possono essere archiviate informazioni delicate. Tipicamente una smart-card contiene la/le chiave/i privata/e di qualcuno. Possono essere usate anche per cifrare o decifrare i dati all interno della carta stessa. Questo da il notevole vantaggio di non esporre la chiave privata, neanche al proprietario stesso. Le smart-card sono protette da password, in questo modo una applicazione che faccia uso della chiave e delle funzioni di una smart card avrà bisogno del corretto inserimento da parte dell utente della password per sbloccare la carta. FAQ : Frequently Asked Questions = Raccolta delle domande e, ovviamente, delle risposte poste più frequentemente su un certo argomento. Kerberos : servizio di autenticazione e autorizzazione all accesso a risorse su rete, sviluppato all MIT e orientato ad ambiti tipicamente soggetti ad attacchi contro la sicurezza, quali gli ambienti degli studenti universitari. Attualmente sono utilizzate due versioni : le release 4 e 5, rilasciata come standard Internet (RFC 1510) ITU : International Telecommunication Union. Organismo situato a Ginevra, ex CCITT, per l emissione di standard internazionali di telecomunicazioni (protocolli OSI), concordati fra i governi e le compagnie private RFC : Request For Comments = meccanismo di emissione degli standard Internet. Sono documenti il cui codice numerico identifica il particolare standard (protocolli, interfacce, applicazioni, ecc.).

18 Marco Pironti La firma elettronica - 18 Riferimenti minimali AIPA Info su DS White Paper su PKI-Plus (Baltimore) e IPSEC Riferimenti per standard PKCS Baltimore Isocor Verisign Netscape Developer Center RSA Microsoft Security NCSA - International Computer Security Association CERT : Carnegie Mellon University Coordination Center : Osservatorio sulla sicurezza FAQ sulla sicurezza Fortify : Prodotti ad alta sicurezza Ottimi link per la sicurezza User guide su Kerberos SANS - System Administration Network and Security ITSEC ITU RFC

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Firma digitale INTRODUZIONE

Firma digitale INTRODUZIONE Firma digitale INTRODUZIONE La firma digitale costituisce uno dei dieci obiettivi del Piano per l e-government. Per quanto riguarda la PA, l obiettivo, abilitante allo sviluppo dei servizi on line, si

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

TRASMISSIONE DI DATI VIA INTERNET

TRASMISSIONE DI DATI VIA INTERNET TRASMISSIONE DI DATI VIA INTERNET 2.0 1 11 Sommario SOMMARIO...2 1. STORIA DELLE MODIFICHE...3 2. TRASMISSIONE DATI VIA INTERNET...4 2.1 SCOPO DEL DOCUMENTO...4 2.2 INTRODUZIONE...4 3. FORMATO DEI DOCUMENTI...5

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

PKI PUBLIC KEY INFRASTRUCTURES

PKI PUBLIC KEY INFRASTRUCTURES Premesse PKI PUBLIC KEY INFRASTRUCTURES Problemi Come distribuire in modo sicuro le chiavi pubbliche? Come conservare e proteggere le chiavi private? Come garantire l utilizzo corretto dei meccanismi crittografici?

Dettagli

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo La Firma Digitale La sperimentazione nel Comune di Cuneo Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo Perchè questa presentazione Il Comune di Cuneo, aderente alla RUPAR, ha ricevuto due

Dettagli

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1 Sicurezza: necessità Riservatezza: la comunicazione è stata intercettata? Autenticazione: l utente è veramente chi dice di essere? Autorizzazione: ogni utente può accedere solo alle risorse cui ha diritto.

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

La firma digitale CHE COSA E'?

La firma digitale CHE COSA E'? La firma digitale La Firma Digitale è il risultato di una procedura informatica che garantisce l autenticità e l integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

La Firma Digitale e la Posta Elettronica Certificata. Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006

La Firma Digitale e la Posta Elettronica Certificata. Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006 La Firma Digitale e la Posta Elettronica Certificata Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006 INNOVAZIONE DELLA P.A. Quadro normativo Il Codice dell Amministrazione

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

Certificati di Attributi

Certificati di Attributi Certificati di Attributi Sicurezza dei dati in rete La rete è un mezzo non sicuro I messaggi in rete possono essere intercettati e/o modificati a cura di: R.Gaeta, F.Zottola Sicurezza dei dati in rete

Dettagli

La disciplina normativa della firma digitale

La disciplina normativa della firma digitale ICT E DIRITTO Rubrica a cura di Antonio Piva, David D Agostini Scopo di questa rubrica è di illustrare al lettore, in brevi articoli, le tematiche giuridiche più significative del settore ICT: dalla tutela

Dettagli

CHE COS E LA FIRMA DIGITALE

CHE COS E LA FIRMA DIGITALE CHE COS E LA FIRMA DIGITALE La firma digitale può essere definita l'equivalente elettronico di una tradizionale firma apposta su carta, assumendone lo stesso valore legale. E' associata stabilmente al

Dettagli

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

DOCUMENTO ELETTRONICO E FIRMA DIGITALE DOCUMENTO ELETTRONICO E FIRMA DIGITALE CHE COSA È LA CRITTOGRAFIA LA CRITTOLOGIA È SCIENZA CHE STUDIA LE SCRITTURE SEGRETE 2 CRITTOGRAFIA STUDIA I SISTEMI DI PROTEZIONE DEI MESSAGGI CRITTOANALISI STUDIA

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. INTRODUZIONE ALL ARGOMENTO. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI NETWORK.

Dettagli

LA FIRMA DIGITALE. Estratto dal sito web del Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA) 1

LA FIRMA DIGITALE. Estratto dal sito web del Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA) 1 LA FIRMA DIGITALE Estratto dal sito web del Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA) 1 COPYRIGHT NOTES: I contenuti del sito codice di script, grafica, testi, tabelle,

Dettagli

RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08

RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08 RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08 Informativa da leggere attentamente prima di richiedere la smart - card Cos'è la firma digitale? Secondo il dettato dell' art. 1 del dpr 445/2000 "

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

Tecnologie abilitanti il processo civile telematico

Tecnologie abilitanti il processo civile telematico Tecnologie abilitanti il processo civile telematico Monica Palmirani Traccia Identificazione digitale Certificato su smart card di autenticazione Documento digitale Console per creare documenti in formato

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! Marco Mezzalama Politecnico di Torino collegamenti e transazioni

Dettagli

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6 Approcci al problema della sicurezza 114 Sistemi informativi in rete e sicurezza 4.6 Accessi non autorizzati Hacker: coloro che si avvalgono delle proprie conoscenze informatiche e di tecnologia delle

Dettagli

Scambio delle chiavi. mercoledì 7 dicembre 2011

Scambio delle chiavi. mercoledì 7 dicembre 2011 Scambio delle chiavi 1 mercoledì 7 dicembre 2011 Distribuzione della chiave Dati due terminali A e B, si possono avere varie alternative per la distribuzione delle chiavi. 1. A sceglie una chiave e la

Dettagli

Capitolo 8 La sicurezza nelle reti

Capitolo 8 La sicurezza nelle reti Capitolo 8 La sicurezza nelle reti Reti di calcolatori e Internet: Un approccio top-down 4 a edizione Jim Kurose, Keith Ross Pearson Paravia Bruno Mondadori Spa 2008 Capitolo 8: La sicurezza nelle reti

Dettagli

Lezione 7 Sicurezza delle informazioni

Lezione 7 Sicurezza delle informazioni Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Perchè utilizzare un'autorità di certificazione

Perchè utilizzare un'autorità di certificazione Una generica autorità di certificazione (Certification Authority o più brevemente CA) è costituita principalmente attorno ad un pacchetto software che memorizza i certificati, contenenti le chiavi pubbliche

Dettagli

Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata

Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE - Visto l articolo 17

Dettagli

PEC e Firma Digitale. Relatore dott. Andrea Mazzini

PEC e Firma Digitale. Relatore dott. Andrea Mazzini PEC e Firma Digitale Relatore dott. Andrea Mazzini PEC Posta Elettronica Certificata PEC e Firma Digitale - 2 PEC Posta Elettronica Certificata La posta elettronica certificata è un sistema attraverso

Dettagli

Firma digitale: aspetti tecnologici e normativi. Milano,

Firma digitale: aspetti tecnologici e normativi. Milano, Firma digitale: aspetti tecnologici e normativi Milano, Premessa digitale Il presente documento ha la finalità di supportare le Amministrazioni che intendono dotare il proprio personale di digitale, illustrando

Dettagli

Crittografia. Appunti a cura del prof. Ing. Mario Catalano

Crittografia. Appunti a cura del prof. Ing. Mario Catalano Crittografia Appunti a cura del prof. Ing. Mario Catalano La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice. Solitamente, i meccanismi crittografici

Dettagli

CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA

CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA SU COSA SI BASANO I CERTIFICATI DIGITALI...2 Che cos è la Crittografia? E come viene applicata?...2 Crittografia a chiave simmetrica o segreta......2

Dettagli

LA FIRMA DIGITALE E LA POSTA ELETTRONICA CERTIFICATA Dario Obizzi

LA FIRMA DIGITALE E LA POSTA ELETTRONICA CERTIFICATA Dario Obizzi LA FIRMA DIGITALE E LA POSTA ELETTRONICA CERTIFICATA Dario Obizzi Premessa L utilizzo sempre più diffuso delle nuove tecnologie e quindi di elaboratori e di sistemi informatici e telematici ha creato profondi,

Dettagli

Autorità per l informatica nella Pubblica Amministrazione. La firma digitale: i servizi per gli utenti. Seminari di sensibilizzazione

Autorità per l informatica nella Pubblica Amministrazione. La firma digitale: i servizi per gli utenti. Seminari di sensibilizzazione Autorità per l informatica nella Pubblica Amministrazione La firma digitale: i servizi per gli utenti Seminari di sensibilizzazione Roma, 19 febbraio 2001 Sommario Generalità: normativa, crittografia,

Dettagli

Benvenuti. Luca Biffi, Direttore Supporto Tecnico di Achab supporto@achab.it. Achab techjam Gateway PEC per MDaemon

Benvenuti. Luca Biffi, Direttore Supporto Tecnico di Achab supporto@achab.it. Achab techjam Gateway PEC per MDaemon Benvenuti Luca Biffi, Direttore Supporto Tecnico di Achab supporto@achab.it Achab techjam Gateway PEC per MDaemon Protocolli di sicurezza per la posta elettronica... inclusa la PEC Achab 2 Agenda Acronimi

Dettagli

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1 Internet Cos è Il Web La posta elettronica www.vincenzocalabro.it 1 Cos è E una RETE di RETI, pubblica. Non è una rete di calcolatori. I computer che si collegano ad Internet, devono prima essere collegati

Dettagli

Firma Digitale. Firma digitale Definizione. SeQ dei servizi su internet. 2009 Università degli Studi di Pavia, C.Parisi 1

Firma Digitale. Firma digitale Definizione. SeQ dei servizi su internet. 2009 Università degli Studi di Pavia, C.Parisi 1 Firma Digitale Definizione La definizione di firma digitale è contenuta nel Dlgs. del 4/04/2006 n.159 che integra il Codice dell amministrazione digitale in vigore dal 1/01/2006. è un particolare tipo

Dettagli

RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte

RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte Pag. 1 di 17 SOMMARIO 1. PREMESSE...2 2. IL...2 3. VERIFICA DELLA VERSIONE CORRETTA

Dettagli

La firma digitale. Come firmare i documenti informatici MANUALE

La firma digitale. Come firmare i documenti informatici MANUALE Come firmare i documenti informatici MANUALE Sommario Premessa Questo breve manuale intende diffondere al personale e a tutti gli utenti della CCIAA l utilizzo PREMESSA - Le firme elettroniche degli strumenti

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Crittografia Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Elementi di crittografia Crittografia: procedimento

Dettagli

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Serve a garantire la nostra privacy nell era era della comunicazione digitale. La crittografia di Antonio Cilli 1. La crittografia, perché? 2. Crittografia asimmetrica 3. Firma digitale 4. Documento elettronico 5. Autorità di certificazione 6. Certificati digitali 7. Requisiti di

Dettagli

MANUALE UTENTE INTERNET - ISTRUZIONI TECNICHE PER L UTILIZZO DEL SERVIZIO

MANUALE UTENTE INTERNET - ISTRUZIONI TECNICHE PER L UTILIZZO DEL SERVIZIO Rev. n 02 Pag. 1 di 25 SERVIZIO DI CERTIFICAZIONE TERNA L UTILIZZO DEL SERVIZIO Storia delle revisioni Rev. n Data Descrizione 01 23/08/2010 Prima emissione del documento. 02 24/09/2010 Aggiornamento printscreen

Dettagli

Bancaidentity SERVIZIO DI FIRMA DIGITALE MANUALE CLIENTE

Bancaidentity SERVIZIO DI FIRMA DIGITALE MANUALE CLIENTE Bancaidentity SERVIZIO DI FIRMA DIGITALE MANUALE CLIENTE 1 INDICE 1. PRESENTAZIONE DEL SERVIZIO 3 2. FUNZIONALITÀ DI PRIMO ACCESSO 4 2.1 Test configurazione postazione e prova di firma 5 2.2 Cambio PIN

Dettagli

Documento di presentazione. Posta Elettronica Certificata Firma digitale

Documento di presentazione. Posta Elettronica Certificata Firma digitale Posta Elettronica Certificata Firma digitale LUGLIO 2007 INDICE Introduzione... 3 1 La Posta Elettronica Certificata... 4 1.1 Funzionalità...4 1.2 Benefici...5 1.3 Quando usare la PEC...6 1.4 Requisiti

Dettagli

Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici. Decreto 23 gennaio 2004. art.. 1) Definizioni (art(

Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici. Decreto 23 gennaio 2004. art.. 1) Definizioni (art( Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici Decreto 23 gennaio 2004 Ministero dell economia e delle finanze Dipartimento politiche fiscali Ufficio tecnologie informatiche

Dettagli

Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa

Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa Il crittanalista.... il secondo mestiere più vecchio del mondo! Crittografia Attenzione! Asterix ci ascolta!

Dettagli

LegalCert Family: soluzioni per la firma digitale. LegalCert FIRMA DIGITALE E SICUREZZA FAMILY

LegalCert Family: soluzioni per la firma digitale. LegalCert FIRMA DIGITALE E SICUREZZA FAMILY LegalCert Family: soluzioni per la firma digitale LegalCert FAMILY FIRMA DIGITALE E SICUREZZA L innovazione al servizio delle informazioni. Autentiche, integre, sicure. E con valore legale. LegalCert Family:

Dettagli

Cifratura a chiave pubblica Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Cifratura a chiave pubblica Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Cifratura a chiave pubblica Crittografia a chiave privata Chiave singola Crittografia simmetrica La stessa chiave è utilizzata sia per la cifratura che per la decifratura dei messaggi La chiave rappresenta

Dettagli

Crittografia e Protocolli di Sicurezza

Crittografia e Protocolli di Sicurezza Crittografia e Protocolli di Sicurezza Ing. Emilio Spinicci 07/04/2004 1 Argomenti della lezione Introduzione Principi di Crittografia Protocolli di Sicurezza Attacchi ai Protocolli di Sicurezza 07/04/2004

Dettagli

AWN ArchiWorld Network * * * * * FD Firma Digitale PEC Posta Elettronica Certificata CARATTERISTICHE E FUNZIONALITÀ

AWN ArchiWorld Network * * * * * FD Firma Digitale PEC Posta Elettronica Certificata CARATTERISTICHE E FUNZIONALITÀ Pag. 1 / 9 * * * * * FD Firma Digitale PEC Posta Elettronica Certificata Roma, rev. 1 13 marzo 2008 INDICE 1. FD > Caratteristiche...2 1.1 Note generali...2 1.2 La normativa di riferimento...2 2. FD >

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

GARR CERTIFICATION AUTHORITY. VII Workshop GARR Roma 16 Novembre 2006 Barbara Monticini

GARR CERTIFICATION AUTHORITY. VII Workshop GARR Roma 16 Novembre 2006 Barbara Monticini GARR CERTIFICATION AUTHORITY VII Workshop GARR Roma 16 Novembre 2006 Barbara Monticini Agenda Overview Sezione dedicata agli Utenti Sezione dedicata alle Registration Authority Terena Server Certificate

Dettagli

PIATTAFORMA TELEMATICA INTEGRATA REGIONE SICILIANA. Componente Autonoma Firma Digitale - Rimodulazione Manuale di Esercizio

PIATTAFORMA TELEMATICA INTEGRATA REGIONE SICILIANA. Componente Autonoma Firma Digitale - Rimodulazione Manuale di Esercizio PIATTAFORMA TELEMATICA INTEGRATA REGIONE SICILIANA Componente Autonoma Firma Digitale - Rimodulazione Manuale di Esercizio Redatto da: Eleonora Bordino 09/01/2012 Verificato da: Pierluigi Trombetti 09/01/2012

Dettagli

NOTA INFORMATIVA PER L UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA FIRMA GRAFOMETRICA AI SENSI DELL ART. 57 COMMI 1 E 3 DEL DPCM DEL 22/02/2013

NOTA INFORMATIVA PER L UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA FIRMA GRAFOMETRICA AI SENSI DELL ART. 57 COMMI 1 E 3 DEL DPCM DEL 22/02/2013 NOTA INFORMATIVA PER L UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA FIRMA GRAFOMETRICA AI SENSI DELL ART. 57 COMMI 1 E 3 DEL DPCM DEL 22/02/2013 1. INFORMAZIONI GENERALI (ART. 57 COMMA 1 LETTERE B), C) DPCM

Dettagli

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I. Università degli studi di Catania Pubblica Amministrazione digitale Elementi tecnici sulla firma digitale Ignazio Zangara Agatino Di Bella Area della Formazione Gestione dell archivio (novembre dicembre

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

FONDAMENTI DI DIRITTO DELL INFORMATICA

FONDAMENTI DI DIRITTO DELL INFORMATICA MASSIMO FARINA 141 5.2.3 La firma digitale e la crittografia asimmetrica Per comprendere gli aspetti legati alla tecnologia sulla quale si basa il sistema di firma digitale è necessario considerare, come

Dettagli

Certificati digitali con CAcert Un'autorità di certificazione no-profit

Certificati digitali con CAcert Un'autorità di certificazione no-profit Certificati digitali con CAcert Un'autorità di certificazione no-profit Davide Cerri Associazione di Promozione Sociale LOLUG Gruppo Utenti Linux Lodi davide@lolug.net 11 novembre 2008 Crittografia asimmetrica:

Dettagli

Firme elettroniche. Obiettivo. Lezione n. 11. Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche

Firme elettroniche. Obiettivo. Lezione n. 11. Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche Firme elettroniche Lezione n. 11 Obiettivo Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche Firme elettroniche: due aspetti che convivono la definizione tecnologica:

Dettagli

Manuale Utente del Portale CA per il Titolare di Carta SISS

Manuale Utente del Portale CA per il Titolare di Carta SISS - Carta SISS Manuale Utente del Portale CA per il Titolare di Carta SISS Codice del Documento: CRS-CA-MES#02 Revisione del Documento: 1.0 Data di Revisione: 05-09-2014 Page 1 of 28 Cronologia delle Revisioni

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

Manuale Utente del Portale CA. Firma Digitale su CNS/CRS

Manuale Utente del Portale CA. Firma Digitale su CNS/CRS - Carta Regionale dei Servizi e Certificati Qualificati di Firma Digitale Manuale Utente del Portale CA Firma Digitale su CNS/CRS Codice del Documento: CRS-CA-MES#01 Revisione del Documento: 1.0 Data di

Dettagli

Posta Elettronica Certificata e Firma Digitale. CST Monterraneo, 9 Febbraio 2011

Posta Elettronica Certificata e Firma Digitale. CST Monterraneo, 9 Febbraio 2011 Posta Elettronica Certificata e Firma Digitale CST Monterraneo, 9 Febbraio 2011 Agenda Posta Elettronica Certificata Cos è Riferimenti normativi Soggetti Flusso dei messaggi Vantaggi PEC nella Pubblica

Dettagli

Firma digitale e PEC: facili e sicure

Firma digitale e PEC: facili e sicure Firma digitale e PEC: facili e sicure Trento, 23 Novembre 2012 Ing. Andrea Gelpi Commissione Ingegneria dell'informazione Ordine degli Ingegneri della Provincia di Trento Firma Digitale La Firma digitale

Dettagli

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows - Carta Regionale dei Servizi e Certificati Qualificati di Firma Digitale Manuale Utente del Portale CA Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS Sistema Operativo Windows Codice del

Dettagli

Cenni di crittografia. Luca Anselma anselma@di.unito.it

Cenni di crittografia. Luca Anselma anselma@di.unito.it Cenni di crittografia Luca Anselma anselma@di.unito.it 1 Cos è la crittografia Dal greco κρυπτός e γράφειν, scrittura nascosta È la tecnica di nascondere informazioni Due tipi di cifratura: Simmetrica

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

L ufficio senza carta: ora si può

L ufficio senza carta: ora si può Organizzazione L ufficio senza carta: ora si può Renata Bortolin Negli ultimi anni, abbiamo assistito al susseguirsi di annunci di leggi che semplificano i procedimenti amministrativi, fiscali e tributari

Dettagli

AZIENDA PUBBLICA DI SERVIZI ALLA PERSONA SOLIDARIETA - MONS. D. CADORE. Allegato allo schema di convenzione per la gestione del

AZIENDA PUBBLICA DI SERVIZI ALLA PERSONA SOLIDARIETA - MONS. D. CADORE. Allegato allo schema di convenzione per la gestione del AZIENDA PUBBLICA DI SERVIZI ALLA PERSONA SOLIDARIETA - MONS. D. CADORE ALLEGATO A) ALLA DELIBERAZIONE C.D.A N. 10 IN DATA 15.04.2016 Allegato allo schema di convenzione per la gestione del Servizio di

Dettagli

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO Andrea Marin Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO a.a. 2013/2014 Section 1 Introduzione Parliamo di acquisti online quando a seguito

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 4, crittografia asimmetrica. Crittografia asimmetrica (a chiave pubblica)

Sicurezza nelle applicazioni multimediali: lezione 4, crittografia asimmetrica. Crittografia asimmetrica (a chiave pubblica) Crittografia asimmetrica (a chiave pubblica) Problemi legati alla crittografia simmetrica Il principale problema della crittografia simmetrica sta nella necessità di disporre di un canale sicuro per la

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! collegamenti e transazioni sicure Il contesto applicativo Commercio

Dettagli

La disciplina della firma digitale

La disciplina della firma digitale La disciplina della firma digitale La «firma digitale» è un software, cioè un programma informatico che permette al suo titolare di firmare dei documenti informatici (files) ed, in questo modo, attribuire

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. ENTRUST/PKI 6.0 MANUALE PER L UTENTE. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI

Dettagli

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante Sicurezza digitale requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza soddisfatti mediante crittografia = codifica dei dati in forma illeggibile per assicurare

Dettagli

L'ARCHIVIO DIGITALE Documento Elettronico e Firma Digitale

L'ARCHIVIO DIGITALE Documento Elettronico e Firma Digitale L'ARCHIVIO DIGITALE Documento Elettronico e Firma Digitale Docente: http:// massimo@massimofarina.it 1 Documento Elettronico & Firma Digitale La forma elettronica Forma libera e Forma vincolata Firma elettronica

Dettagli

(estratto da) 3. Firma digitale, posta elettronica certificata e dematerializzazione Daniela Redolfi

(estratto da) 3. Firma digitale, posta elettronica certificata e dematerializzazione Daniela Redolfi (estratto da) 3. Firma digitale, posta elettronica certificata e dematerializzazione Daniela Redolfi (...) 3.2 Elementi della tecnologia e aspetti legali Il documento cartaceo sottoscritto possiede alcuni

Dettagli

Manuale d uso firmaok!gold

Manuale d uso firmaok!gold 1 Manuale d uso firmaok!gold 2 Sommario Introduzione... 4 La sicurezza della propria postazione... 5 Meccanismi di sicurezza applicati a FirmaOK!gold... 6 Archivio certificati... 6 Verifica dell integrità

Dettagli

PkBox Concetti Generali. Vers.1.0.6

PkBox Concetti Generali. Vers.1.0.6 PkBox Concetti Generali Vers.1.0.6 18 aprile 2013 Le informazioni contenute in questo documento sono da considerarsi CONFIDENZIALI e non possono essere utilizzate o riprodotte - sia in parte che interamente

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

La firma digitale e le sue possibili applicazioni

La firma digitale e le sue possibili applicazioni Il documento informatico e la firma digitale nelle applicazioni pratiche La firma digitale e le sue possibili applicazioni dott. Enrico Zimuel (enrico@zimuel.it) Pescara, 15 febbraio 2008 Centro Studi

Dettagli

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale 2008 Gennaio SUAP On Line i pre-requsiti informatici: La firma digitale 1 La firma digitale Indice La firma digitale La firma digitale: destinatario 2 La firma digitale Cos è La Firma Digitale è il risultato

Dettagli

Ordine degli Ingegneri Provincia di Latina Commissione dell Ingegneria dell Informazione

Ordine degli Ingegneri Provincia di Latina Commissione dell Ingegneria dell Informazione Ordine degli Ingegneri Provincia di Latina Commissione dell Ingegneria dell Informazione La Firma Digitale 10/07/2009 Dott. Ing. Jr. Selene Giupponi 1 La Firma Digitale Chi la rilascia come funziona; Come

Dettagli

Crittografia. Ringraziamenti. Scopo della crittografia. Privatezza

Crittografia. Ringraziamenti. Scopo della crittografia. Privatezza Crittografia Ringraziamenti prof. Francesco Dalla Libera Corso di Commercio Elettronico, Dipartimento di Informatica, Università Ca' Foscari di Venezia. Moreno Marzolla Dipartimento di Informatica Università

Dettagli

Crittografia e Sicurezza Informatica

Crittografia e Sicurezza Informatica Corso di Sistemi di Elaborazione delle Inforazioni Corso di Laurea in Infermieristica Corso di Laurea in Tecniche di Radiologia Medica, per Immagini e Radioterapia Università degli Studi di Messina Anno

Dettagli

Elementi di Crittografia e Firma digitale

Elementi di Crittografia e Firma digitale Elementi di Crittografia e Firma digitale Appunti della lezione del Prof. Stefano Russo docente di Informatica giuridica alla LUISS Guido Carli 1 FIRMA DIGITALE come fenomeno tecnico-giuridico La firma

Dettagli

DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE

DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE Prof. Stefano Pigliapoco DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE s.pigliapoco@unimc.it Codice dell amministrazione digitale Il codice dell amministrazione digitale (Co.A.Di.) è contenuto

Dettagli

Sapienza - Università di Roma Facoltà di Medicina e Psicologia. Corso di Laurea in. Tecniche di Radiologia Medica, per Immagini e Radioterapia

Sapienza - Università di Roma Facoltà di Medicina e Psicologia. Corso di Laurea in. Tecniche di Radiologia Medica, per Immagini e Radioterapia Sapienza - Università di Roma Facoltà di Medicina e Psicologia Corso di Laurea in Tecniche di Radiologia Medica, per Immagini e Radioterapia Viterbo e Sora Informatica ed Archiviazione Sistemi di archiviazione

Dettagli

I flussi di ieri e di oggi

I flussi di ieri e di oggi I flussi di ieri e di oggi Si crea il documento ieri si firma si spedisce si protocolla si archivia si conserva oggi Firma digitale Posta Elettronica (Certificata) Protocollo informatico Conserv. a norma

Dettagli

INDICE. 1 Scopo del documento... 2. 2 Passi da seguire... 3. 3 Materiale consegnato al momento dell abilitazione... 6

INDICE. 1 Scopo del documento... 2. 2 Passi da seguire... 3. 3 Materiale consegnato al momento dell abilitazione... 6 11 gennaio 2007 INDICE 1 Scopo del documento... 2 2 Passi da seguire... 3 3 Materiale consegnato al momento dell abilitazione... 6 4 Caratteristiche minime della postazione... 7 5 Virtual Machine Java...

Dettagli