Ordine degli Ingegneri Provincia di Latina Commissione dell Ingegneria dell Informazione La Firma Digitale 10/07/2009 Dott. Ing. Jr. Selene Giupponi 1
La Firma Digitale Chi la rilascia come funziona; Come si firma elettronicamente un documento; La marcatura Temporale; Integrità del documento; Differenze tra firma olografa e firma Digitale 10/07/2009 Dott. Ing. Jr. Selene Giupponi 2
La Firma Digitale La Firma Digitale è l'equivalente elettronico di una firma apposta su carta e ne assume lo stesso valore legale. E' associata ad un documento informatico e lo arricchisce di informazioni che ne attestano l'integrità, l'autenticità e la non ripudiabilità dello stesso. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 3
La Firma Digitale Un utente che deve fare una richiesta per una firma digitale deve effettuare la registrazione presso un Ente Certificatore (o CA) con i seguenti scopi: Rendere certa l identità; Instaurare un canale di comunicazione sicuro. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 4
Chi rilascia la Firma Digitale? La Firma Digitale viene rilasciata da un Ente Certificatore. Ruolo Ente Certificatore: Rilascia, gestisce, pubblica e revoca i certificati; Certifica la chiave pubblica di un soggetto; Rende certa l'identità del soggetto fisico che ha generato una firma, assicurando la corrispondenza tra il titolare e la sua chiave pubblica. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 5
Chi rilascia la Firma Digitale? All'atto della registrazione l'ente Certificatore attribuirà all'utente un identificativo (identification number), di cui viene assicurata l'univocità. Attraverso l identification number sarà possibile a chiunque reperire in modo diretto i possessori di firma digitale all'interno di registri pubblici in cui questi sono registrati. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 6
Requisiti per il rilascio I requisiti necessari per richiedere all'ente di Certificazione un dispositivo di firma digitale sono: Aver Compiuto 18 anni; Essere in possesso del Codice Fiscale (o analogo codice identificativo); Essere in possesso di un documento di identità valido; Disporre di una casella di posta elettronica (per tutte le comunicazioni da parte dell'ente Certificatore). 10/07/2009 Dott. Ing. Jr. Selene Giupponi 7
I fattori in gioco: un PC o elaboratore; Componenti del Sistema una smart card che contiene la chiave privata del titolare e il certificato; un lettore/scrittore di smart card che permette la comunicazione della smart card con il computer; un certificato, un documento informatico, una applicazione di posta elettronica, una applicazione di firma: una libreria software per i meccanismi di crittografia; una libreria sw per i driver del lettore/scrittore smart card; una libreria sw per l'applicazione di posta. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 8
Richiesta del Certificato Digitale La certificazione della chiave pubblica ha lo scopo di assicurare, a chiunque riceva un documento correttamente firmato, l'identità del soggetto che ha posto la firma. La richiesta del certificato all'ente Certificatore da parte dell'utente avviene attraverso l'invio della chiave pubblica, generata mediante l'identification number attribuito all'utente nella precedente registrazione presso l'autorità stessa. In questo modo l'utente riceve un certificato che garantisce la provenienza della chiave pubblica attraverso l'intermediazione dell'ente Certificatore. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 9
Il Certificato Digitale L'elemento di rilievo è il certificato digitale di sottoscrizione che l'ente Certificatore rilascia al Titolare di un Dispositivo di firma. Il certificato è un file generato seguendo precisi standards stabiliti per legge, contiene informazioni sull'identità del titolare, sulla chiave pubblica attribuitagli al momento del rilascio, sul periodo di validità del certificato stesso. Nel certificato sono presenti anche i dati dell'ente Certificatore. Il certificato digitale di un titolare, una volta entrato a far parte dell'elenco pubblico dei certificati tenuto dall'ente Certificatore, garantisce la corrispondenza tra la chiave pubblica e l'identità del titolare. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 10
Il Certificato Digitale Validità Una volta emesso, il certificato viene reso pubblico in uno o più registri, ai quali può accedere chiunque abbia bisogno di verificare la validità di una sottoscrizione digitale. Il certificato digitale è un documento di identità nel mondo digitale. Un Certificato ha un periodo di validità, ma prima della scadenza può essere SOSPESO o REVOCATO. La Revoca o Sospensione viene segnalata pubblicando liste di revoca e sospensione. Una Firma Digitale Non è valida se non lo è il suo Certificato. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 11
Cosa può fare un utente ora? Da questo momento, l'utente dispone: Della sua chiave privata con la quale firmerà i messaggi; Della chiave pubblica indicata nei registri o inviabile direttamente al destinatario come allegato del messaggio; Del certificato che attribuisce alla firma validità e provenienza. Ora l'utente è in grado di firmare digitalmente un numero qualunque di documenti, attraverso la chiave privata, durante il periodo di validità della certificazione della corrispondente chiave pubblica. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 12
Come si firma elettronicamente un documento Identificazione e Firma digitale Tre sono le funzioni insite in un processo di firma elettronica: Identificazione Firma Cifratura 10/07/2009 Dott. Ing. Jr. Selene Giupponi 13
Identificazione L'identificazione: Indica con certezza chi è il mittente di un messaggio o documento elettronico. In molte occasioni è indispensabile che le due parti in comunicazione conoscano la controparte remota. L'identificazione elettronica rende possibile identificare un utente, un cliente, un partner grazie a strumenti elettronici. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 14
La Firma: La Firma garantisce che il documento non è stato modificato dopo la sua sottoscrizione e gli dà uno status legale. E importante che le informazioni siano originali, non modificate durante la trasmissione, accidentalmente o intenzionalmente. La firma elettronica permette al mittente di firmare il messaggio cosicché il destinatario possa sapere con certezza chi l ha spedito e che l informazione non è stata alterata. Ciò tra l altro impedisce che il mittente possa in seguito disconoscere la paternità del documento (non ripudiabilità). 10/07/2009 Dott. Ing. Jr. Selene Giupponi 15
La Cifratura La Cifratura (funzione facoltativa): viene usata per proteggere le informazioni da occhi diversi dal destinatario, sia quando vengono registrate che trasmesse. Il rendere informazioni riservate disponibili solo a un certo numero di ben definite persone è stato praticato per millenni. Gli imperatori romani proteggevano con cifratura i messaggi che inviavano o che venivano scambiati tra le truppe. Nel loro caso, il mezzo di trasporto era un corriere, che portava il messaggio scritto su una pergamena; e la cifratura consisteva nel famoso codice Romano, che sostituiva le lettere del messaggio con altre, precedentemente concordate. Oggi fortunatamente disponiamo di strumenti ben più sofisticati. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 16
La Cifratura Una firma digitale non procura riservatezza ad un documento se il documento stesso è in chiaro. Per ottenere ciò il mittente dovrà, dopo aver apposto la firma, cifrare il messaggio prima della sua spedizione, utilizzando la chiave pubblica del destinatario. Solo il destinatario potrà decifrare il documento perchè solo lui può disporre della chiave privata adatta ad aprire il documento solo a lui destinato. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 17
La marcatura temporale Un altro dei fattori che fanno sicura e affidabile la firma digitale è la marca temporale. La marcatura temporale garantisce data e ora certi per un documento informatico al momento dell'apposizione. Il servizio di marcatura temporale di un documento informatico, consiste nella generazione, da parte di una Terza Parte Fidata, di una firma digitale del documento (anche aggiuntiva rispetto a quella del sottoscrittore) cui è associata l'informazione relativa ad una data e ad un'ora certa. Un file marcato temporalmente (con estensione.m7m): al suo interno contiene il documento del quale si è chiesta la validazione temporale e la marca emessa dall' Ente Certificatore. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 18
La marcatura temporale perché è importante? Nell'ambiente digitale è importante assegnare una data e un'ora certa ad un documento per mostrare quando è stato scritto e firmato (pensate ad esempio la partecipazione a gare e concorsi). La marca temporale convalida il documento, anche certificando che l'id del suo firmatario era valido al momento della firma. L'uso della marca temporale non tocca il contenuto del documento né modifica la sua firma Il tempo, cui fanno riferimento le marche temporali è riferito al Tempo Universale Coordinato, ed è assicurato da un ricevitore radio sintonizzato con il segnale emesso dall'istituto Nazionale di Ricerca Metrologica. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 19
La marcatura temporale Caratteristiche Le caratteristiche della marcatura temporale: Mantiene la validità del documento oltre la validità del certificato; Prova l'esistenza di un documento ad un determinato istante. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 20
Integrità del documento e altre caratteristiche Le caratteristiche salienti di un documento informatico firmato digitalmente sono: Integrità: Garanzia che il documento informatico non è stato manomesso dopo la sua sottoscrizione; Autenticità: certezza dell'identità del sottoscrittore; Non ripudio: la firma digitale si presume riconducibile al titolare del dispositivo di firma, salvo che sia data prova contraria; Valore legale: il documento informatico sottoscritto con firma digitale soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche stabilite dalla legge che garantiscono l'identificabilità dell'autore e l'integrità del documento. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 21
Firma Olografa e Firma Digitale Firma Olografa: Riconducibile al soggetto direttamente; Legata al documento attraverso il supporto; Verifica diretta e soggettiva (attraverso il campione); Facilmente contraffabile, ma falso riconoscibile; Autentica per impedire il ripudio; Valida all'infinito. Firma Digitale: Riconducibile al soggetto solo attraverso il possesso di un PIN segreto; Legata al contenuto del documento; Verifica indiretta e oggettiva (tramite una terza Parte Fidata); Non contraffabile senza il PIN segreto, ma falso irriconoscibile; Ripudio impossibile; Limiti Temporali di validità. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 22
Conclusioni Questa è stata una presentazione del potenziale presente e futuro di uno strumento capace di generare risparmi per amministrazioni, imprese e cittadini. 10/07/2009 Dott. Ing. Jr. Selene Giupponi 23
Ordine degli Ingegneri Provincia di Latina Commissione Informazione Grazie per l'attenzione! Selene Giupponi 06/9698203 334/9014758 ing.giupponi@gmail.com 10/07/2009 Dott. Ing. Jr. Selene Giupponi 24