Firma Digitale. Prof. Avv. Camillo Sacchetto. (Foro di Alessandria - Università di Torino)

Documenti analoghi
Protocolli di Archiviazione

La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, è un sistema di autenticazione d

FIRMA ELETTRONICA. Il sistema di garanzia è stato individuato nella crittografia in quanto è in grado di assicurare:

Sicurezza della comunicazione tra due entità. Prof.ssa Gaia Maselli

Seminario sulla Crittografia. Corso: T.A.R.I Prof.: Giulio Concas Autore: Ivana Turnu

Le firme elettroniche e i sistemi di firma. Approcci al problema della sicurezza

Crittografia per la sicurezza dei dati

Identificazione, Autenticazione e Firma Digitale. Firma digitale...

Informatica. Crittografia. La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice

Reti di Calcolatori. Crittografia & Java Cryptographic Architecture (JCA) A.A. 2010/2011 Reti di Calcolatori 1 (Es. 6)

Corso di Informatica

Corso di Qualità del Servizio e Sicurezza nelle reti A.A. 2014/2015. Lezione del 11 Maggio 2015

Cormons, settembre ottobre La Firma digitale

Crittografia e firma digitale. Prof. Giuseppe Chiumeo

Dicembre La Firma Digitale

AutoritàEmittente CNS Contraente. Certificatore Accreditato. La firma digitale

Privacy e firma digitale

Livello Applicazioni Elementi di Crittografia

Sistemi Informativi per la Sanità. La Firma Digitale

Il presente documento ha lo scopoo di fornire alcune informazioni sulla CNS, (Cartaa Nazionale dei Servizi), PMI.

Firme elettroniche. Traccia. Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche.

ALGORITMI DI GENERAZIONE DI GRAFI CASUALI PER MODELLARE IL WEB OF TRUST - 1 -

La firma digitale e la posta elettronica certificata

Il valore giuridico del documento elettronico: condizioni e applicazioni

Http e Https. http usa la porta 80. Perciò è nato https - usa la porta 443

LA CONSERVAZIONE SOSTITUTIVA. Erica Manzano - Udine, 17 maggio 2010

Lezione. 4 Il valore giuridico del documento informatico

La sicurezza informatica nello studio del professionista Riservatezza e integrità dei dati giuridici alla luce delle nuove tecnologie

Crittografia: Servizi richiesti

LA CONSERVAZIONE SOSTITUTIVA DEI DOCUMENTI CONTABILI E FISCALI: Tecnologie Processi Organizzazione Il Responsabile della conservazione Sostitutiva

Università degli Studi di Napoli Federico II Servizi per l egovernment. La diffusione della firma digitale in Ateneo

Crittografia a chiave pubblica

RETI DI CALCOLATORI II

La sicurezza del sistema informativo

Università degli Studi di Bergamo Studio Legale Bellofiore. IL COMMERCIO NELL ERA DIGITALE seminario sugli aspetti economici e legali dell'e-commerce

CRITTOGRAFIA: introduzione

Firme elettroniche. Obiettivo. Lezione n. 11. Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche

ITC Mossotti - Novara. Verica di Informatica. Nome e Cognome:... 1) Nella cifratura convenzionale. 2) Nella crittograa a chiave pubblica

Il protocollo SSL! Il protocollo SSL! (Secure Socket Layer)! "Uno dei protocolli più diffusi nelle comunicazioni sicure:!

Sicurezza delle informazioni

L e-government dell ateneo Federico II

Autenticazione, firme digitali e certificati digitali

INFORMATICA. Prof. MARCO CASTIGLIONE ISTITUTO TECNICO STATALE TITO ACERBO - PESCARA

da chi proviene un messaggio?

Privacy e posta elettronica

FIRMA DIGITALE POSTA ELETTRONICA CERTIFICATA

Il documento informatico e le firme elettroniche

Sicurezza nelle reti: protezione della comunicazione

da chi proviene un messaggio?

Tecnologie abilitanti il processo civile telematico

Crittografia a chiave pubblica. Crittografia a chiave pubblica. Crittografia a chiave pubblica Autenticazione

Elementi di Sicurezza e Privatezza Lezione 5 Protocolli Crittografici (1)

Informatica di base 6/ed

Introduzione alla firma digitale

FIRMA ELETTRONICA AVANZATA

INFORMAZIONI SUL CERTIFICATO DIGITALE

Domande di verifica su crittografia e Firma Digitale Esercitazione 15 Novembre per esame 2014 IC DAC 1 / 15

Sicurezza dei Calcolatori e delle Reti. Introduzione alla crittografia Lez. 2. A.A. 2010/2011 Corso: Sicurezza 1 Danilo Bruschi

Crittografia con Python

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. tecniche crittografiche e protocolli

sia G un gruppo ciclico di ordine n, sia g un generatore di G

Informatica giuridica. Lezione 5 Il valore giuridico del documento informatico

Elementi di Algebra e di Matematica Discreta Cenno di un applicazione alla crittografia

Diritto dei Mezzi di Comunicazione. Indice

Il Codice dell Amministrazione Digitale IL DOCUMENTO INFORMATICO. Prefettura di Reggio Calabria novembre 2010

problema del logaritmo discreto

schema di firma definizione formale

Firme elettroniche e documento informatico

Firma Digitale. Avv. Gianmarco Cenci

firma digitale tra sicurezza per l utente ed esigenza della Rete

Introduzione alla FIRMA DIGITALE

Firma elettronica: come cambierà la gestione dei contratti e dei documenti aziendali con il diffondersi dei nuovi dispositivi di firma

CNS Firma Digitale Carta Nazionale dei Servizi

Distribuzione delle chiavi pubbliche. Gestione delle chiavi. Distribuzione delle chiavi pubbliche

Sicurezza e Crittografia

logaritmo discreto come funzione unidirezionale

Firma digitale e Certificati uno strumento a servizio dell'amministrazione digitale

GLI STRUMENTI DEL PCT: FIRMA DIGITALE E POSTA ELETTRONICA CERTIFICATA

Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Corso di Sicurezza su Reti Uso della crittografia simmetrica

Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Sicurezza su reti Uso della crittografia simmetrica

Elementi di Algebra e di Matematica Discreta Cenno alla crittografia

CODICE DELL AMMINISTRAZIONE DIGITALE D.Lgs. 82/2005 come modificato dal D.Lgs. 235/2010 DOCUMENTO INFORMATICO E FIRME ELETTRONICHE

sia G un gruppo ciclico di ordine n, sia g un generatore di G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y

[PRETTY GOOD PRIVACY]

Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Intercettazione dei dati. Uso della crittografia simmetrica

Comunicazioni e identità sicure: LE CHIAVI PGP E GPG uso e abuso. By Martino Colucci Linux Night 14 Aprile 2010 martyn at ultrapowersystem dot it

Crittografia a chiave pubblica

Michela Rossi La sottoscrizione autografa consiste nella scrittura a mano delnomeedelcognomeincalceadundocumento.

da chi proviene un messaggio?

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Protocollo E-cash ed algoritmo RSA. Carlo Manasse Giulio Baldantoni. Corso di laurea in Informatica. May 10, 2012

Gli strumenti di accesso all e- government. Dalla Carta d Identità Elettronica alla CNS

Esercitazione 2 Certificati

Esercitazione 2 Certificati

Introduzione all'informatica

Informatica. Dipartimento di Economia. Ing. Cristiano Gregnanin. 19 novembre Corso di laurea in Economia

Cenni di crittografia

Transcript:

Firma Digitale Prof. Avv. Camillo Sacchetto (Foro di Alessandria - Università di Torino)

Social Facebook / Linkedin: - Tributario Telematico - Centro Internazionale Diritto Tributario - Sacchetto Cam Twitter: - DirTribTelematico: @TribTelematico - CIDT: @_CIDT

sacchetto.cam@gmail.com

FIRMA DIGITALE: NOZIONI ESSENZIALI INTRODUTTIVE DELLAFIRMADIGITALE

ALGORITMO E CHIAVE Due concetti fondamentali stanno alla base di qualsiasi tecnica crittografica moderna: - algoritmo - chiave. Criptare un testo significa applicare ad esso una funzione matematica (algoritmo di codifica), azionabile mediante un apposito codice (chiave), trasformandolo così in un altro testo, incomprensibile e indecifrabile da parte di chi non possiede la chiave. La funzione è reversibile, per cui l applicazione dello stesso algoritmo e della chiave al testo cifrato (ciphertext) restituisce il testo originale (plaintext).

ALGORITMO E CHIAVE Per rendere più chiaro il discorso possiamo paragonare l algoritmo o metodo di codifica a un lucchetto e le chiavi alle diverse combinazioni. Quando la stessa chiave è usata per criptare e poi per decriptare si parla di sistema simmetrico (ad esempio des - data encryption standard). Se si utilizza un metodo a chiave pubblica ogni soggetto ha una coppia di chiavi Quando l algoritmo richiede l applicazione di chiavi diverse per la criptazione e per la decriptazione, si parla di criptazione asimmetrica o a chiave pubblica (ad esempio RSA).

PRINCIPALI SISTEMI DI CRITTOGRAFIA CRITTOGRAFIA A CHIAVE PRIVATA La stessa chiave viene usata per la codifica o la decodifica. Detta anche crittografia SIMMETRICA. Usata per proteggere dati memorizzati su hard disk o per codificare dati scambiati su una linea tra due computer. CRITTOGRAFIA A CHIAVE PUBBLICA Utilizza due chiavi: A CHIAVE PRIVATA: usata per codificare il messaggio A CHIAVE PUBBLICA: per decodificarlo Detta anche crittografia ASIMMETRICA: usata per firma digitale, o per meccanismi di autenticazione Esistono anche sistemi ibridi pubblico/privato

CRITTOGRAFIA NEGLI USA Negli USA la crittografia forte è considerata una tecnologia militare e deve sottostare all ITAR, un ente dell esercito. Negli USA l ITAR vieta l esportazione di sistemi crittografici con chiavi troppo lunghe (40 bit se simmetrico, 512 bit se asimmetrico). RSA consiglia per utenze domestiche chiavi a 80 bit se simmetrico e 768 se asimmetrico. Solo recentemente deroghe in casi particolari all uso del DES 56 bit.

CRITTOGRAFIA A CHIAVE PRIVATA CODIFICA DECODIFICA Testo codificato Testo codificato

CRITTOGRAFIA A CHIAVE PUBBLICA Testo in chiaro Testo in chiaro CODIFICA con chiave Privata A DECODIFICA Con chiave pubblica di A Testo codificato Testo codificato

CONDIZIONI DA RISPETTARE NELLA CRITTOGRAFIA PUBBLICA Chiave di codifica e di decodifica devono essere diverse Ricavare la chiave privata dalla chiave pubblica e dal testo cifrato deve essere molto difficile Conoscendo le chiavi, deve essere molto facile cifrare e decifrare un messaggio

RSA E l algoritmo più conosciuto e più usato nella crittografia a chiave pubblica Prende il nome dai suoi inventori che lo realizzarono nel 1977 Coperto da brevetto solo negli Stati Uniti Utilizzato oggi per: - Autenticazione dei dati - Non ripudio - Controllo di integrità E poco diffuso per obiettivi di confidenzialità perché è più lento rispetto ad altri sistemi

REQUISITI DELLA CRITTOGRAFIA Per essere robusto un sistema deve: - Basarsi su una elevata dimensione della chiave - Basarsi su una notevole difficoltà d inversione della chiave di codifica. Sono due i requisiti imprescindibili: - l invulnerabilità, cioè la capacità di resistere a tentativi di decodifica messi in atto da persone non autorizzate, - la facilità di utilizzo.

ROBUSTEZZA DI UN SISTEMA CRITTOGRAFICO E la capacità di un sistema di resistere agli attacchi. Dipende da: - Segretezza della chiave - Difficoltà di indovinare o trovare la chiave (attacco di forza bruta) - Difficoltà di invertire l algoritmo. - La difficoltà di decrittare un file a partire dalla decodifica di parte di esso (Know text attack) - L esistenza di proprietà ricorrenti e conosciute all interno del messaggio (es. II GM) - La resistenza a tutti i tipi di attacchi conosciuti

ATTACCHI AL SISTEMA RSA Mirano a: - Ricostruire la chiave privata - Decodificare il messaggio RSA non è efficace su messaggi piccoli Guessed plaintext attack: - Suppongo il contenuto di un messaggio - Codifico il messaggio supposto con la chiave pubblica - Lo confronto con il messaggio originale - Si contrasta aggiungendo parti casuali al messaggio Chosen-plaintext attack: - L attaccante fingendosi membro del gruppo chiuso si fa cifrare un suo messaggio - Ottenuto il testo crittato lo studia per ricavare la chiave

GLI ATTACCHI AI SISTEMI CRITTOGRAFICI Distruzione completa dei dati Intrusioni nel sistema per catturare le chiavi di crittografia Decodifica del metodo di crittografia Intrusioni per catturare il messaggio prima o dopo la codifica In conclusione necessità di inquadrare la tecnica crittografica in un SISTEMA DI SICUREZZA GLOBALE

FIRMA DIGITALE: SUO FUNZIONAMENTO

DEFINIZIONE secondo lo standard ISO7498-2 L INSIEME DEI DATI, AGGIUNTI AD UNA UNITA DI REGISTRAZIONE O AD UNA TRASFORMAZIONE CRITTOGRAFICA DI QUESTA, IN GRADO DI FORNIRE AL DESTINATARIO LA PROVA DELL ORIGINE E DELLA INTEGRITA DELL UNITA DI REGISTRAZIONE E DI PROTEGGERLA DALLA CONTRAFFAZIONE DI CHIUNQUE, INCLUSO IL DESTINATARIO

LA FIRMA DIGITALE E UNA INFORMAZIONE AGGIUNTA AD UN DOCUMENTO INFORMATICO AUTENTICAZIONE: il documento proviene effettivamente da colui che lo ha sottoscritto INTEGRITA : il documento non ha subito modifiche durante la trasmissione NON-RIPUDIO: il mittente non può negare di aver trasmesso, il destinatario non può negare di aver ricevuto

LA FIRMA DIGITALE FIRMA AUTOGRAFA: è intimamente legata all identità di colui che firma, in quanto la grafia è un elemento identificativo della persona FIRMA DIGITALE : è legata al testo a cui è apposta, ma può essere fisicamente separata senza che per questo venga meno il legame esistente: - a testi uguali corrispondono firme uguali - a testi diversi corrispondono firme diverse - E replicabile - Non è possibile trasferirla da un documento all altro

LA FIRMA DIGITALE FIRMA AUTOGRAFA: è intimamente legata all identità di colui che firma, in quanto la grafia è un elemento identificativo della persona FIRMA DIGITALE -> problema del legame alla persona Il legame tra firma e persona è garantito da una entità super partes che agisce secondo precise procedure AUTORITA DI CERTIFICAZIONE o CA (Certification Authority)

L AUTORITA DI CERTIFICAZIONE IL COMPITO DELLA CA è di - Stabilire - Garantire - Rendere pubblica L ASSOCIAZIONE tra FIRMA DIGITALE e SOGGETTO

AZIONI PRELIMINARI Registrazione dell utente presso una CA Generazione della coppia di chiavi KS + KP Certificazione della chiave pubblica Registrazione della chiave pubblica

IL RILASCIO DEI DISPOSITIVI La richiesta di registrazione viene redatta per iscritto e per l'identificazione occorrono un documento di riconoscimento (carta di identità o passaporto) e gli estremi del codice fiscale, nonché la documentazione comprovante il possesso del ruolo dichiarato; alle relative operazioni possono presenziare personalmente il richiedente o i referenti dell'amministrazione che svolgono il ruolo di interfaccia.

RICHIEDERE UNA FIRMA DIGITALE CONTATTARE UN FORNITORE ISCRITTO ALL ALBO CA (vedi elenco sito CNIPA) COMPILARE MODULO DI RICHIESTA CON DATI PERSONALI ED EVENTUALMENTE QUALIFICA E RUOLO L INCARICATO DELLA CA IDENTIFICA LA PERSONA E CONSEGNA UNA CHIAVE CONTRASSEGNATA DA UN NUMERO LA PERSONA ATTIVA LA CHIAVE ATTRAVERSO IL SERVIZIO DELLA CA

GLI STRUMENTI PER FIRMARE APPARATO ELETTRONICO CONTENENTE CERTIFICATO LETTORE SOFTWARE FIRMA/VERIFICA

IL DISPOSITIVO DI FIRMA E un apparato elettronico programmabile solo all origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e di generare al suo interno le firme digitali Oggi: Smart card, scheda PCMCIA, scheda telefonino Domani:? Nelle carte a microprocessore vengono scritti alcuni dati (identificativo del produttore, numero di matricola, ecc.) che poi non possono in alcun modo essere cancellati o modificati.

INSTALLAZIONE SOFTWARE LA CA FORNISCE UN SUO SOFTWARE PER LA FIRMA DIGITALE SI ACQUISTA UN PRODOTTO DI TERZE PARTI SI USA UNA APPLICAZIONE DELL ENTE NB: possono esistere problemi di compatibilità tra software di CA e dispositivi di firma di altre CA

MECCANISMO DELLA FIRMA DIGITALE MESSAGGIO ALGORITMO FUNZIONE DI HASH IMPRONTA ALGORITMO DI CODIFICA CHIAVE PRIVATA KS SPEDITO AL DESTINATARIO FIRMA DIGITALE + MESSAGGIO

L APPOSIZIONE DELLA FIRMA DIGITALE Il mittente seleziona il documento che vuole firmare ad es. "lettera.doc"; Il software di firma: - elabora il documento (tramite la funzione di hash) e ne A genera l'impronta, - cifra l impronta usando la chiave privata dell'utente, - crea la busta "lettera.doc.p7m" contenente il documento, A firma, certificato di sottoscrizione il mittente spedisce la busta.

LE FUNZIONI DI HASH Hash, nella sua accezione più comune, si riferisce ad una funzione univoca operante in un solo senso (ossia, che non può essere invertita) atta alla trasformazione di un testo in chiaro e di lunghezza arbitraria in una stringa di lunghezza relativamente limitata Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta "valore di hash" o "checksum crittografico".

LE FUNZIONI DI HASH Le funzioni hash svolgono un ruolo essenziale nella crittografia: sono utili in quanto permettono di verificare l'integrità del messaggio stesso, poiché anche una minima variazione sconvolgerebbe il checksum, rivelando la tentata modifica La lunghezza dei valori di hash varia a seconda delle funzioni (od algoritmi) di hash utilizzate. I valori più comuni e comunemente adottati sono di 128 bit, ed offrono una buona affidabilità in uno spazio relativamente ridotto

HASH e DIGEST Il DIGEST o impronta è una specie di riassunto matematico del messaggio, che si ricava applicando ad esso una funzione di hash (message digest algorithm o funzione di contrazione), mediante la quale si ottiene una stringa di caratteri di dimensioni fisse e di lunghezza inferiore alla chiave di cifratura (es 128 bit). Effettuando questa compressione del messaggio si ha una quasi totale perdita delle informazioni

HASH e DIGEST Non è un problema, poiché il testo sottoscritto viene trasmesso in chiaro, quindi non c è la necessità di ricostruirlo dal crittogramma. L impronta consente la autenticazione da parte di una terza parte senza che questa prenda visione del documento

UN DOCUMENTO FIRMATO

MECCANISMO DELLA FIRMA DIGITALE FIRMA DIGITALE MESSAGGIO DAL MITTENTE ALGORITMO CHIAVE PUBBLICA ALGORITMO DI DECODIFICA IMPRONTA IMPRONTA VERIFICA

LA VERIFICA DI UN DOCUMENTO FIRMATO Il destinatario seleziona la busta, ad es. "lettera.doc.p7m Il software: - estrae la chiave pubblica del mittente dal certificato di sottoscrizione e la usa per decifrare la firma digitale ed ottenere l impronta che il mittente aveva calcolato per il documento - calcola a sua volta l impronta del documento (con lo stesso algoritmo del mittente)

LA VERIFICA DI UN DOCUMENTO FIRMATO confronta le due impronte: se sono uguali significa che il documento è integro l'identità del mittente è garantita dal successo dell'operazione di decifratura per estrarre l impronta, perché era stata cifrata con l'unica chiave privata corrispondente a quella pubblica contenuta nel certificato;

FALSIFICAZIONE DELLE FIRME DIGITALI E POSSIBILE SFRUTTA IL CHOSEN MESSAGE ATTACK

DIFFERENZE TRA FIRMA DIGITALE E FIRMA CONVENZIONALE

LA VALIDAZIONE TEMPORALE Serve ad attribuire a un documento certezza circa il momento in cui questo è stato redatto ed è divenuto valido Serve ad evitare che la persona che ha generato un documento firmato lo sostituisca a distanza di tempo con un altro contraffatto Si ricorre pertanto ad una terza parte fidata, la CA LA CA appone una data e un ora a un documento informatico e sigilla il tutto con la firma digitale

LA MARCATURA TEMPORALE DA LA CERTEZZA DEL MOMENTO IN CUI IL DOCUMENTO E STATO REDATTO ED E DIVENTATO VALIDO ANCHE QUI LA CA FA DA ENTE DI GARANZIA LA MARCATURA VIENE APPORTATA ALL IMPRONTA E NON AL MESSAGGIO -> L IMPRONTA VIENE MARCATA

LA MARCATURA DI UN DOCUMENTO L utente invia al certificatore l impronta di un documento (e non anche il documento, per motivi di riservatezza); Il certificatore aggiunge all'impronta del documento la data e l'ora (timestamping), ottenendo l'impronta marcata che cifra con la propria chiave privata dando origine alla marca temporale; Il certificatore invia la marca temporale all utente, che può allegarla al documento.

MECCANISMO DELLA MARCATURA MITTENTE MITTENTE DATA e ORA REINVIO AL MITTENTE INVIO AL SERVER DELL ENTE CERT SERVIZIO DI MARCATURA TEMPORALE MESSAGE DIGEST CON DATA E ORA CODIFICATO CHIAVE PRIVATA

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

Firma digitale attraverso portale SIDI

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back