Smart Card dell Università di Torino Guida all uso A cura del Servizio Informatico Dipartimento di Chimica Generale e Chimica Organica Luglio 2009
Smart Card dell Università di Torino Guida all uso A cura del Servizio Informatico Dipartimento di Chimica Generale e Chimica Organica Luglio 2009
Indice Indice... 1 Presentazione... 1 1. Firma digitale, Smart Card e certificati digitali... 3 Che cos è la Firma Digitale?... 3 Come è fatta la Smart Card d Ateneo?... 3 Cosa posso fare con la Smart Card d Ateneo?... 5 Caratteristiche tecniche generali della Smart Card di Ateneo... 5 Qualche informazione in più sui certificati digitali... 6 all interno della Smart Card di Ateneo.... 6 Certificato digitale di sottoscrizione: la firma digitale e l identità del suo titolare... 6 Certificato digitale di autenticazione: la firma digitale, i siti web e la posta elettronica... 7 I certificati digitali della Smart Card hanno una scadenza?... 7 Come si rinnovano i certificati digitali?... 8 Come controllo se il rinnovo dei certificati è gratuito o a pagamento?... 8 2. Come installare il sistema di firma digitale... 9 1. Installare il lettore di Smart Card... 9 2. Installare Dike Util e Dike... 9 3. Attivare la Smart Card con Dike Util... 9 Come si collega e come si installa il lettore di Smart Card?... 9 A che cosa servono DikeUtil e DiKe?... 11 Come si installano DikeUtil e DiKe?... 11 Prima di usare la Smart Card ricordati di attivarla. Come si fa?... 17 3. Come importare i certificati digitali.... 19 Configurare il client di posta elettronica... 20 Mozilla Thunderbird 2.0.X... 20 Configurare il browser internet... 24 Mozilla Firefox 3.0.X... 25 Microsoft Internet Explorer 6.0 o superiore... 28 4. Autenticazione sul Portale d Ateneo Unito.it... 32 mediante Smart Card... 32 Autenticazione con Mozilla Firefox 3.0.X... 32 Autenticazione con Internet Explorer 6.0 o superiore... 34 5. E-mail con la firma digitale: cosa vuol dire, come si fa e come si verificano... 36
Cosa sono le e-mail con la firma digitale?... 36 Apporre la firma digitale sulle e-mail... 36 Mozilla Thunderbird 2.0.X... 37 Microsoft Outlook 2003... 40 Gestione certificati: certificati altrui... 41 Mozilla Thunderbird 2.0.X... 41 Microsoft Outlook 2003... 42 6. Cifrare le e-mail: cosa vuol dire e come si fa... 45 Cosa sono le e-mail cifrate?... 45 Come si fa a cifrare le e-mail?... 45 Mozilla Thunderbird 2.0.X... 46 Microsoft Outlook 2003... 47 7. Documenti firmati: cosa sono, come si creano e come si verificano... 49 Le caratteristiche di un documento firmato... 49 Su quali formati di file posso apporre la firma digitale?... 50 Come si firma un documento informatico?... 50 Come si verifica la firma digitale associata ad un documento?... 54 Verificare un file firmato tramite il software Dike (verifica offline)... 54 Verificare un file firmato tramite il sito web di InfoCert (verifica online)... 56 8. Documenti marcati: cosa sono, come si creano e come si verificano... 58 Le caratteristiche di un documento con marca temporale... 58 Su quali formati di file posso apporre la marca temporale?... 58 Come si appone la marca temporale su un documento informatico?... 59 Come si verifica una marca temporale associata ad un documento informatico?... 61 Verificare un file firmato tramite il software Dike (verifica offline)... 62 Verificare un file marcato tramite il sito web di InfoCert (verifica online)... 63 9. Cambio e sblocco del PIN... 65 Che cos è il PIN?... 65 Che cos è il PUK?... 65 Che cos'è il Codice di Emergenza o ERC?... 65 Cambio PIN... 66 Sblocco PIN... 68 Conclusioni... 69 La firma digitale e la legge italiana... 69 Appendice... 70 Come posso aggiornare i software Dike e DikeUtil installati sulla mia macchina?... 70 Come posso disinstallare i software Dike e DikeUtil?... 70 2
Come posso controllare quale sistema operativo è installato sulla mia macchina?... 71 Alcuni errori noti durante la firma e la cifratura delle e-mail... 71 1) Errore nell invio di un messaggio cifrato con Mozilla Thunderbird... 71 2) Errore nell invio di un messaggio firmato e cifrato con Mozilla Thunderbird... 71 3) Errore nell invio di un messaggio cifrato con Microsoft Outlook... 72 3
Presentazione Gentile Collega o Studente / Egregio Collega o Studente, a distanza di un anno dal rilascio delle Smart Card universitarie, il Servizio Informatico del Dipartimento di Chimica Generale e Chimica Organica propone una guida all'uso per descrivere le varie caratteristiche e funzioni di un dispositivo complesso come quello della firma digitale. Ci occuperemo tanto di argomenti di carattere generale, come ad esempio che cosa sono i certificati digitali e di che tipo sono, quanto di aspetti di carattere specifico, come ad esempio che cos'è e come si usa il sistema di firma e autenticazione digitale universitario. Come ci renderemo conto consultando questa guida, le applicazioni di questo dispositivo sono numerose. Possiamo usare questo strumento per interagire con diversi enti pubblici e privati, e allo stesso tempo configurare numerosi software per interagire con la Smart Card, come ad esempio i browser internet o i client di posta elettronica. Si tratta di una materia vasta dove gli aggiornamenti sono frequenti. Pertanto abbiamo scelto di circoscrivere il più possibile gli argomenti e le varie applicazioni. Gli ambiti su cui ci siamo concentrati sono tre. Il primo riguarda la firma digitale, la Smart Card e i certificati digitali. Siamo partiti da alcune definizioni generali per arrivare a descrivere più da vicino il contenuto del "kit" che l'università ha distribuito. Nella seconda parte ci siamo occupati di descrivere come installare il dispositivo della firma digitale, costituito dal lettore e dai due software per la gestione della Smart Card. Abbiamo anche descritto quali sono le prime operazioni da fare una volta installato il sistema. Abbiamo trattato alcuni utilizzi e applicazioni della Smart Card nelle restanti parti di questa guida. In particolare ci siamo occupati di come configurare un client di posta elettronica per firmare e cifrare le nostre mail e di come configurare due browser internet per effettuare un'autenticazione sicura con Smart Card al Portale d'ateneo (www.unito.it). Un ultima precisazione. Questa guida non è stata progettata come un manuale da leggere dall'inizio alla fine, ma come un'insieme organico di articoli brevi che si occupano di 1
argomenti circoscritti; quindi, se un argomento di interesse si trova al fondo della guida, non c è bisogno di conoscere gli argomenti che la precedono. In caso fosse necessario aver letto alcune parti, verrà di volta in volta segnalato in modo esplicito con dei rimandi precisi. 2
1. Firma digitale, Smart Card e certificati digitali Che cos è la Firma Digitale? La firma digitale può essere definita l'equivalente elettronico di una tradizionale firma apposta su carta; già in diversi ambiti ha assunto lo stesso valore legale. Può essere associata a un documento informatico e fornisce diverse informazioni che attestano con certezza l'integrità e l'autenticità di quel documento. Il dispositivo di firma (cioè la Smart Card con i suoi certificati digitali) è un apparato elettronico in grado di conservare in modo sicuro le chiavi private del titolare e di generare al suo interno la firma digitale 1. Come è fatta la Smart Card d Ateneo? La Smart Card adottata dall Ateneo si presenta come una normale tessera, dalle dimensioni di un bancomat, con una banda magnetica sul retro (punto 1 figura 1.2) e un microchip sul lato anteriore (punto 1 della figura 1.1). 2 1 3 2 4 Figura 1.1 La Smart Card d Ateneo: lato anteriore 1. Microchip - 2. Numero di matricola, Cognome e Nome titolare Smart Card - 3. Fotografia del titolare Smart Card - 4. Enti sostenitori del progetto 1 Da https://www.firma.infocert.it/cosa/index.php 2 Da Progetto Smart Card Università Piemontesi a cura della Divisione Sistemi Informativi dell Università di Torino 3
1 Figura 1.2 La Smart Card d Ateneo: lato posteriore 1. Banda magnetica La banda magnetica permette di accedere alle strutture universitarie, di utilizzare i box self-service per gli studenti e di registrare le entrate e le uscite per il personale universitario. Il microchip crittografico contiene un certificato di autenticazione digitale e un certificato di sottoscrizione digitale, può essere usato per l accesso e il pagamento del servizio di ristorazione dell'edisu Piemonte e conserva al suo interno dati individuali cifrati, quali nominativo, codice fiscale, matricola, anno accademico di iscrizione. Sul lato anteriore della tessera sono anche presenti la fotografia del titolare e alcuni suoi dati personali, come nome e cognome e numero di matricola, per il riconoscimento a vista (punto 2 della figura 1.1). Infine, va segnalato il fatto che la Smart Card è equipaggiata con tecnologia Radio Frequency Identification (RFID), un sistema che permette metodi di identificazione a radiofrequenza. Grazie a questo sistema è possibile inserire nella Smart Card servizi aggiuntivi come un abbonamento del Gruppo Torinese Trasporti (GTT). Come si può immaginare da queste caratteristiche, non si tratta di una normale tessera magnetica, poiché mette a nostra disposizione funzionalità innovative in continua evoluzione. 4
Cosa posso fare con la Smart Card d Ateneo? Come detto all inizio, all interno della Smart Card, sono memorizzati i certificati digitali con cui puoi firmare e-mail e documenti, ma anche collegarti in modo sicuro ai servizi universitari, effettuando l accesso al portale Unito.it sia dall interno della rete universitaria sia dall esterno. 3 Inoltre puoi usarla per usufruire e pagare i servizi delle mense universitarie e dei locali convenzionati con l Edisu Piemonte. Se hai intenzione di abbonarti ai servizi del Gruppo Torinese Trasporti potrai utilizzare la Smart Card anche come abbonamento GTT, grazie all apposito dispositivo wireless di cui è provvista. La Smart Card d Ateneo è conforme allo standard previsto a livello nazionale (denominato Carta Nazionale dei Servizi ). Ragionando in prospettiva, è probabile che sempre più aziende offriranno i loro servizi attraverso questo standard, dando la possibilità di usare la Smart Card per un numero di servizi via-via crescenti. L unica limitazione è data dalla capacità di memorizzazione del microchip integrato (34 KB). Caratteristiche tecniche generali della Smart Card di Ateneo Per completezza riportiamo alcuni dati tecnici della Smart Card d Ateneo. Si precisa comunque che non è necessario conoscerli per usarla in modo corretto. 4 Tipo dispositivo: Smart Card di tipo CNS (Carta Nazionale dei Servizi) sbloccabile mediante il tool Dike Util Produttore: ST Incard Modello: InCrypto34 V2 Numero di serie: 1204... Chip: STMicroelectronics (CC EAL4+ secondo Protection Profile CWA 14169) Memoria: EEPROM 34KB Sistema operativo: InCrypto34 V2 3 Da Progetto Smart Card Università Piemontesi a cura della Divisione Sistemi Informativi dell Università di Torino, pag. 3 4 Da https://www.firma.infocert.it/pdf/caratteristiche%20generali%20dispositivi%20firma_infocert_feb08.pdf 5
Massimo numero di tentativi per l inserimento del PIN: 3 Pin: 8 digit Librerie: disponibili in ambienti Windows/Linux/Mac Massimo numero di certificati caricabili all interno: 3 Numero di rinnovi dei certificati: illimitato Qualche informazione in più sui certificati digitali all interno della Smart Card di Ateneo. La tua Smart Card contiene due tipi di certificati digitali, uno di sottoscrizione e l altro di autenticazione. Senza avere le pretesa di approfondire gli aspetti più specialistici, proviamo a capire che cosa sono e cosa fanno questi certificati. Certificato digitale di sottoscrizione: la firma digitale e l identità del suo titolare Il certificato di sottoscrizione è un file generato seguendo precise indicazioni e standard stabiliti per legge. 5 Nel caso dell Università di Torino, questo certificato viene rilasciato da InfoCert, in qualità di Ente Certificatore, al titolare di una Smart Card. Al suo interno sono conservate informazioni che riguardano l'identità del titolare, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso, oltre ai dati dell'ente Certificatore. Il certificato digitale di un titolare viene registrato in un elenco pubblico dei certificati tenuto dall'ente Certificatore. In questo modo si garantisce la corrispondenza tra la chiave pubblica e l'identità del titolare. Grazie a questo meccanismo di controllo pubblico, puoi verificare la validità di un documento firmato e reperire informazioni sul firmatario di un documento informatico. 6 5 Si rimanda alle Conclusioni di questa guida per i riferimenti normativi in materia, pag. 70 6 Da https://www.firma.infocert.it/cosa/index.php 6
Certificato digitale di autenticazione: la firma digitale, i siti web e la posta elettronica Il certificato di autenticazione è un file che permette di firmare la propria posta elettronica o di autenticarsi sui siti web, in modalità sicura. Nel caso dell Università di Torino, questo certificato viene rilasciato da InfoCert, in qualità di Ente Certificatore, al titolare di una Smart Card. Per maggiore chiarezza, riportiamo alcuni esempi che verranno ripresi nel dettaglio nelle parti seguenti di questa guida. Quando accedi a un sito web come il Portale d Ateneo (www.unito.it) tramite Smart Card, ha luogo il processo di autenticazione. Si svolge in due direzioni: il computer dell utente (tramite il suo browser internet) si accerta dell'identità del server che, a sua volta, controlla l'identità della persona che si sta autenticando. Effettuata l autenticazione il server consentirà all utente di accedere ad aree di informazioni riservate. Tutti i dati scambiati sono cifrati. Per firmare un messaggio di posta elettronica dovrai associare il certificato digitale al messaggio stesso; in questo modo permetti a chi riceve il messaggio di stabilire con certezza la sua provenienza: a ogni messaggio vengono associati i dati del mittente e quelli dell'ente Certificatore che ha rilasciato il certificato utilizzato. Tutti i dati scambiati sono cifrati. 7 Per completezza si segnala che il processo di autenticazione supportato dalla Smart Card d Ateneo utilizza i protocolli di posta S/MIME e quelli di accesso sicuro SSL. I certificati digitali della Smart Card hanno una scadenza? I certificati digitali di sottoscrizione e autenticazione emessi da InfoCert sono validi per tre anni dalla data di emissione. Per rinnovare i certificati è necessario effettuare la richiesta prima della loro scadenza. Oltre tale data non potrai rinnovare i certificati e dovrai richiedere che vengano emessi dei nuovi certificati. 8 7 Da https://www.firma.infocert.it/cosa/autenticazione.php 8 Da https://www.firma.infocert.it/utenti/rinnovo.php 7
Come si rinnovano i certificati digitali? Potrai richiedere il rinnovo dei certificati gli ultimi 90 giorni prima della loro scadenza e hai tempo fino al giorno antecedente la data di scadenza. 9 I certificati si rinnovano usando il software DikeUtil, fornito insieme al kit della Smart Card consegnato dall Università. Puoi scaricare gratuitamente una versione aggiornata dal sito di InfoCert alla pagina https://www.firma.infocert.it/installazione/installazione_dikeutil.php. Una volta installato DikeUtil, avviarlo e controllare che sia aggiornato. Premere il pulsante Rinnovo Certificati del menù e seguire la procedura guidata. 10 Attenzione: prima di iniziare la procedura di rinnovo controlla se il sistema operativo installato sulla tua macchina è aggiornato. Se non lo fosse, fai in modo di installare i service pack adeguati: il service pack 2 per Windows Vista, il service pack 3 per Windows XP e il service pack 4 per Windows 2000. Come controllo se il rinnovo dei certificati è gratuito o a pagamento? Usa la procedure di aggiornamento indicata in questa guida. Il controllo avviene in modo automatico sulla base delle disposizioni dell'ufficio di Registrazione che ha effettuato il rilascio, nel nostro caso l Ufficio dell Amministrazione Centrale dell Università che ha consegnato la Smart Card. 9 Da https://www.firma.infocert.it/utenti/rinnovo.php 10 Fare riferimento alla sezione "Come installare il sistema di firma (digitale) di questa guida, pagg. 9-18 8
2. Come installare il sistema di firma digitale Quando ci riferiamo al dispositivo o sistema di firma (digitale) stiamo parlando della Smart Card e dei certificati digitali contenuti al suo interno. La sua installazione si svolge in tre fasi, piuttosto brevi, ma che vanno eseguite nell esatto ordine con cui sono esposte in questa guida. 11 1. Installare il lettore di Smart Card 12 Collega il lettore al computer e installa i driver, cioè il software che permette al computer di comandare il lettore e rende utilizzabile la Smart Card. 2. Installare Dike Util e Dike 13 DikeUtil è il software gratuito per la gestione completa della Smart Card. Dike è il software gratuito che permette di svolgere le normali operazioni con la Smart Card, come apporre e verificare una firma digitale o una marca temporale. 3. Attivare la Smart Card con Dike Util 14 Ognuna di queste procedure viene descritta in modo dettagliato in questo capitolo. Attenzione: se dopo la prima installazione del sistema di firma digitale, si effettuano dei cambiamenti alla configurazione hardware o software della propria macchina, potrebbe essere necessario effettuare nuovamente l'installazione delle varie componenti. Come si collega e come si installa il lettore di Smart Card? Il primo passo da effettuare è l'installazione del lettore, che permetterà alla Smart Card di essere letta dal sistema operativo installato. 15 InfoCert garantisce piena compatibilità fra il modello di lettore bit4id minilector USB U38 consegnato e Windows XP service pack 2. 11 Da https://www.firma.infocert.it/installazione/index.php 12 Fare riferimento alla sezione " Come si collega e come si installa il lettore di Smart Card?, pagg. 9-11 13 Fare riferimento alla sezione " Come si installano DikeUtil e DiKe?" di questa guida, pagg. 11-17 14 Fare riferimento alla sezione " Prima di usare la Smart Card ricordati di attivarla. Come si fa?" di questa guida, pagg. 17-18 15 Da https://www.firma.infocert.it/installazione/lettore.php 9
Dopo aver scaricato il driver del lettore di Smart Card dal sito di InfoCert alla pagina https://www.firma.infocert.it/installazione/lettore.php, clicca sul file <setup.exe> che si trova dentro il pacchetto di file appena scaricato e avvia la procedura guidata di installazione. Se hai selezionato il file corretto dovrebbe apparire una finestra come quella nell immagine seguente. Terminata la procedura di installazione, collega il connettore USB del cavo del lettore a una porta USB del computer. Se l installazione ha avuto successo, Windows XP dovrebbe riconoscere il lettore. Ora puoi procedere con l installazione dei software DikeUtil e Dike. 10
A che cosa servono DikeUtil e DiKe? La Smart Card viene gestita da un software chiamato DikeUtil, che permette di attivarla, di leggere, verificare o rinnovare i certificati digitali al suo interno, e di gestire il PIN (impostazione, cambio e sblocco). 16 Una volta installato DikeUtil, puoi scaricare e installare DiKe (gratuito) e/o DiKePRO (a pagamento). DiKe è il software che consente di apporre e verificare una o più firme digitali su qualunque tipo di file, nonché verificare e apporre marcature temporali. DiKePRO è il software ideale per chi utilizza la firma digitale per elevati volumi di documenti. Attenzione: prima di installare la nuova versione di Dike, è opportuno disinstallare la versione precedente. 17 Come si installano DikeUtil e DiKe? Per installare DikeUtil occorre scaricare gratuitamente la versione aggiornata del software DikeUtil dal sito di InfoCert alla pagina https://www.firma.infocert.it/installazione/installazione_dikeutil.php e fare riferimento al Manuale di installazione DikeUtil (pdf - 911 KB) disponibile alla pagina https://www.firma.infocert.it/pdf/ Manuale%20Utente%20Dike%20Util_060308.pdf. 18 Attenzione: DikeUtil funziona solo con sistemi operativi Microsoft. Di seguito vengono descritti i passaggi principali per l installazione del software. Per cominciare avvia il programma <DikeUtil.exe>. Se hai selezionato il file corretto dovrebbe apparire una finestra come quella nell immagine seguente. 16 Da https://www.firma.infocert.it/installazione/software.php 17 Fare riferimento alla sezione "Come posso disinstallare i software Dike e DikeUtil?" di questa guida, pagg. 71-72 18 Da https://www.firma.infocert.it/installazione/installazione_dike Util.php 11
Dopo aver cliccato su <Avanti>, verrà chiesto di accettare il contratto di licenza d uso. Scegliere l opzione <Accetto> e poi cliccare sul pulsante <Avanti>. Nella videata seguente vengono chiesti alcuni dati sull utente; bisogna anche scegliere se installare il programma solo per l utente in uso o per tutti gli utenti della macchina. 12
Nelle due schermate successive, verrà chiesto di premere su <Avanti> e poi su <Installa> per avviare la procedura. Al termine dell installazione, clicca sul bottone Fine per uscire dalla procedura guidata. Se il programma ti chiedesse di riavviare il sistema, salva i dati e chiudi tutte le finestre aperte, poi riavvia la macchina. 13
Prima di procedere all'installazione di DiKe si ricorda che dalla versione numero 4 per eseguire operazioni come l'attivazione e la verifica della Smart Card, la verifica dei certificati, il cambio/sblocco/impostazione del PIN, il rinnovo dei certificati digitali, occorre utilizzare DikeUtil, non più Dike. Si consiglia di scaricare, oltre a DiKe, anche tale applicazione. La versione 4 è stata realizzata per rendere il software DiKe completamente compatibile con Microsoft Windows Vista. Per installare DiKe occorre scaricare gratuitamente il software DiKe dal sito di InfoCert alla pagina https://www.firma.infocert.it/installazione/installazione_dike.php. Dopo aver preso visione della licenza d uso, alla pagina https://www.firma.infocert.it/pdf/licenzadikef.pdf, fare riferimento al Manuale per l installazione di Dike (pdf - 951 KB) alla pagina https://www.firma.infocert.it/pdf/manuale%20utente%20dike%20util_060308.pdf, e al Manuale Utente DiKe (pdf 214 KB) alla pagina https://www.firma.infocert.it/pdf/ Manuale%20Utente%20DiKe%20v.%205.0.pdf. Attenzione: prima di installare Dike, occorre disinstallare la versione precedente del programma. Attenzione: la chiave di attivazione, da utilizzare quando richiesta, si trova nel file <Licenza.txt>. Di seguito vengono descritti i passaggi principali per l installazione del software. Avvia il setup del programma cliccando sul file <Dike 4.X.X.exe>. Se hai selezionato il file corretto dovrebbe apparire una finestra come quella nell immagine seguente. 14
Dopo aver cliccato su <Avanti>, verrà chiesto di accettare il contratto di licenza d uso. Scegliere l opzione <Accetto> e poi cliccare il pulsante <Avanti>. Nella videata seguente vengono chiesti alcuni dati sull utente; bisogna anche scegliere se installare il programma solo per l utente in uso o per tutti gli utenti della macchina. 15
Nelle due schermate successive, verrà chiesto di premere su <Avanti> e poi su <Installa> per avviare la procedura. Al termine dell installazione, clicca sul bottone Fine per uscire dalla procedura guidata. Se il programma ti chiedesse di riavviare il sistema, salva i dati e chiudi tutte le finestre aperte, poi riavvia la macchina. 16
Prima di usare la Smart Card ricordati di attivarla. Come si fa? La prima volta che inserisci la Smart Card dentro il lettore, dovrai ricordarti di attivarla usando il programma Dike Util. Dal menù Start > Programmi > InfoCert S.p.A. apri il programma Dike Util. Seleziona il lettore da usare, nel nostro caso è <ACS ACR38U 0>, e clicca su <OK>. Una volta aperto il programma DikeUtil, inserisci la tua Smart Card dentro il lettore, con il microchip dorato all interno del lettore rivolto verso l altro (la tua foto deve essere visibile all esterno). Nella finestra del programma scegliere la voce <Attivazione Smart Card>. Si apre una piccola finestra per l attivazione del PIN. Compila entrambi i campi. Nel campo <PUK di firma> immetti il codice PUK, mentre nel campo <PIN> digita il codice PIN, entrambi contenuti nella busta sigillata di InfoCert consegnata al momento del rilascio della Smart Card. Una volta inseriti i due codici, dai la conferma dell operazione con il pulsante <Ok>. Se in entrambi i campi hai inserito i codici corretti, dovresti ricevere il seguente messaggio Attivazione del PIN eseguita correttamente. 17
Confermando con il pulsante <OK> la procedura di attivazione termina. 18
3. Come importare i certificati digitali Per alcuni utilizzi della firma digitale, come ad esempio firmare e cifrare la posta elettronica oppure autenticarsi su alcuni siti web come il Portale d Ateneo (www.unito.it), è necessario importare all'interno del proprio computer il certificato presente nella Smart Card e quello dell Ente Certificatore, nel nostro caso InfoCert. Le procedure necessarie vengono descritte in modo dettagliato in questo capitolo. Attenzione: se dopo la prima installazione del sistema di firma digitale, si effettuano dei cambiamenti alla configurazione hardware o software della propria macchina, potrebbe essere necessario importare una seconda volta i certificati digitali. Prima di trattare gli argomenti di questa sezione, riprendiamo la distinzione fra i due certificati contenuti nella Smart Card, introdotta nel primo capitolo della guida. Il certificato di sottoscrizione (vedi figura 3.1) riportato sulla Smart Card con il nome scritto in chiaro (NOME COGNOME) serve per firmare i documenti, mentre quello di autenticazione, riportato sulla Smart Card con il codice fiscale, serve per la firma delle mail e l autenticazione sul Portale. I tuoi certificati si dovrebbero presentare in questo modo: Sottoscrizione Autenticazione Figura 3.1 I certificati di sottoscrizione e autenticazione all interno della Smart Card Per approfondimenti sui certificati digitali si rimanda ai punti 9 e 10 della sezione FAQ Generali sulla firma digitale all interno del sito del produttore (InfoCert) all indirizzo https://www.firma.infocert.it/utilita/generali.php. 19
In generale, per qualsiasi programma di posta elettronica o browser internet utilizzati è necessario scaricare il certificato root della Certification Authority, in questo caso InfoCert, e salvarlo sul proprio computer. Il certificato è un file presente sul sito di InfoCert, denominato <Certificato CA InfoCert Servizi di Certificazione> (CER - 1 KB) reperibile alla pagina https://www.firma.infocert.it/ installazione/certificato.php. Se visiti la pagina con Internet Explorer è sufficiente cliccare sul link al certificato e il download comincerà automaticamente. Con altri browser come Mozilla Firefox dovrai posizionarti sul link al certificato, cliccare con il tasto destro del mouse e scegliere l opzione Salva destinazione come o Salva oggetto con nome Al termine del download, non importa con quale browser è stato effettuato, verifica che il file del certificato abbia estensione <.cer>; se non fosse così il certificato non sarà utilizzabile durante le procedure descritte in questo capitolo. Prima di proseguire controlla anche di aver installato correttamente il lettore di Smart Card e i software di firma digitale Dike e DikeUtil, come descritto nella parti precedenti di questa guida. Al termine di questi controlli, puoi passare a configurare i programmi che intendi utilizzare con la Smart Card, come i client di posta elettronica e i browser internet. Nella pagine seguenti vengono indicate le procedure per configurare in modo corretto Mozilla Thunderbird 2.0, Microsoft Outlook 2003, Mozilla Firefox 3.0 e Internet Explorer 6.0 o superiore. Attenzione: anche se alcune procedure possono sembrare simili, in realtà variano a seconda del programma utilizzato. Configurare il client di posta elettronica Un client è un software per visualizzare e gestire la posta elettronica sul proprio computer. Mozilla Thunderbird 2.0.X Di seguito si riporta la procedura per configurare il client di posta Mozilla Thunderbird all utilizzo dei certificati per la firma digitale. Apri il programma Mozilla Thunderbird. Dal menu <Strumenti> scegli 20
<Opzioni> e nella finestra che si apre seleziona la voce <Avanzate> e la scheda <Certificati>. Nella scheda <Certificati> cliccare sul bottone <Dispositivi di sicurezza>. Clicca poi sul bottone <Carica>. Inserisci ora un valore a scelta nel campo <Nome modulo>. Si suggerisce di usare un etichetta che identifichi facilmente il tipo di Smart Card utilizzato, ad esempio Smart Card Unito. 21
Nel campo <Nome file modulo> inserisci il valore <incryptoki2.dll> (senza I segni < >); puoi fare copia e incolla direttamente da qui. Conferma le impostazioni cliccando su <OK> e attendi qualche secondo che venga richiesta una conferma. Conferma di nuovo cliccando sul bottone <OK> e vedrai apparire un messaggio di conferma dell operazione. 22
Chiudi prima la finestra di conferma cliccando sul bottone <OK> e dopo la finestra <Gestione dispositivi> aperta all inizio della procedura usando sempre il tasto <OK>. Dovresti essere ritornato nel pannello <Certificati> della voce <Avanzate> del menù <Opzioni>. Ora hai abilitato il programma a utilizzare la Smart Card. L ultimo passo da compiere è importare il certificato digitale che verrà usato per le operazioni di firma. Rimanendo nella scheda <Certificati> della finestra delle opzioni <Avanzate>, clicca sul bottone <Mostra certificati> e seleziona la scheda <Autorità>. Clicca su <Importa> per importare i certificati della Certification Authority Infocamere Servizi di Certificazione. 23
Seleziona ora la directory in cui sono stati scaricati i certificati root. Quindi, seleziona il file contenente il certificato <InfoCamere_Servizi_di_Certificazione.cer> e clicca su <Apri>. Nella finestra che si apre, metti un segno di spunta sulle voci <Dai fiducia a questa CA > per tutti gli scopi indicati e poi clicca su <OK>. Clicca altre due volte sul pulsante <OK> per chiudere la finestra <Gestione Certificati> e la finestra <Opzioni>. Terminata questa procedura è possibile utilizzare il certificato digitale appena importato per configurare il client di posta alla firma delle e-mail, come illustrato nel capitolo 5 di questa guida. Configurare il browser internet Il browser è il programma che consente di visualizzare e interagire con le pagine web di un sito presente su internet (o all'interno di una rete locale ) e con le informazioni contenute al loro interno. Prima di procedere verificare di aver scaricato i certificati root della Certification Authority InfoCert Servizi di Certificazione, di aver installato il lettore di Smart Card, di aver installato il programma Dike. Fare riferimento alle parti precedenti di questa guida per maggiori informazioni su queste operazioni. 24
Si precisa che la procedura di configurazione varia a seconda del programma utilizzato. In questa guida viene descritta la procedura per configurare Mozilla Firefox 3.0 e Internet Explorer 6 (o superiore). Mozilla Firefox 3.0.X Per utilizzare il browser internet Mozilla Firefox 3.0 per la navigazione SSL (autenticazione sicura, firma su moduli online...) seguire la procedure seguente. Apri il programma Mozilla Firefox. Dal menu <Strumenti> scegli <Opzioni> e nella finestra che si apre seleziona la voce <Avanzate> e la scheda <Cifratura>. Nella scheda <Cifratura> clicca sul bottone <Dispositivi di sicurezza>. Nella finestra che si apre cliccare sul bottone <Carica>. 25
Inserisci ora un valore a scelta nel campo <Nome modulo>. Si suggerisce di usare un etichetta che identifichi facilmente il tipo di Smart Card utilizzato, ad esempio Smart Card Unito. Nel campo <Nome file modulo> inserisci il valore <incryptoki2.dll> (senza I segni < >); puoi fare copia e incolla direttamente da qui. Conferma le impostazioni cliccando su <OK> e attendi che venga richiesta una conferma. 26
Conferma di nuovo cliccando sul bottone <OK> e vedrai apparire un messaggio di conferma dell operazione Chiudi prima la finestra di conferma cliccando sul bottone <OK> e dopo la finestra <Gestione dispositivi> aperta all inizio della procedura usando sempre il tasto <OK>. Dovresti essere ritornato nel pannello <Certificati> della voce <Avanzate> del menù <Opzioni>. Ora hai abilitato il programma a utilizzare la Smart Card. L ultimo passo da compiere è importare il certificato digitale che verrà usato per le operazioni di firma. Rimanendo nella scheda <Cifratura> della finestra delle Opzioni <Avanzate>, clicca sul bottone <Mostra certificati> e seleziona la scheda <Autorità>. 27
Clicca su <Importa> per importare i certificati della Certification Authority Infocamere Servizi di Certificazione. Seleziona ora la directory in cui sono stati scaricati i certificati root. Quindi, seleziona il file contenente il certificato <InfoCamere_Servizi_di_Certificazione.cer> e clicca su <Apri>. Nella finestra che si apre, metti un segno di spunta sulle voci <Dai fiducia a questa CA > per tutti gli scopi indicati e poi clicca su <OK>. Clicca altre due volte sul pulsante <OK> per chiudere la finestra <Gestione Certificati> e la finestra <Opzioni>. Terminata questa procedura è possibile configurare il browser internet per la navigazione protetta mediante il protocollo SSL. Microsoft Internet Explorer 6.0 o superiore Per utilizzare il browser internet di Microsoft per la navigazione SSL (autenticazione sicura, firma su moduli online...) occorre prima installare il modulo CSP (Cryptograpic Service Provider), componente indispensabile per importare il certificato di autenticazione nell archivio di Microsoft. I CSP sono diversi a seconda del modello di Smart Card. Visita la pagina https://www.firma.infocert.it/installazione/certificato3.php e scarica il kit CSP relativo ai 28
dispositivi con numero di serie iniziale 1204. Segui poi le indicazioni del file <Installazione CSP X.X.XX.X.doc> presente all interno dell archivio scaricato. Di seguito si riportano comunque i passi principali della procedura di installazione del kit CSP. I sistemi operativi supportati sono Windows 2000 Service Pack 4, Windows XP Service Pack 2 e Windows Vista. Prima di procedere, chiudi tutte le applicazioni attive ed elimina dalla memoria di Internet Explorer i certificati precedentemente installati. Apri il browser seleziona il menù <Strumenti >, poi <Opzioni Internet> e la scheda <Contenuto>. Seleziona il bottone <Certificati>. Clicca sulla scheda <Personale> e seleziona tutti i certificati precedentemente importati con vecchie versioni di CSP. Clicca su <Rimuovi> per eliminarli tutti. Verrà visualizzato il messaggio Impossibile decrittare dati crittografati con i certificati. Eliminare i certificati?. Conferma l operazione cliccando su <Sì>. Al termine di questa prima fase, chiudere Internet Explorer. Prima di installare il nuovo CSP disinstallare eventuali versioni precedenti del programma. Dal menù <Avvio/Start> di Windows, scegli <Impostazioni>, poi <Pannello di controllo> e infine <Installazione applicazioni>. Seleziona <SysGillo CSP PKCS11> o <Bit4id Universal Middleware for Incard> (a 29
seconda della versione presente sul computer). Disinstallali, cliccando sul bottone <Rimuovi>. A questo punto si può procedere con l installazione del nuovo CSP. Chiudi tutte le applicazioni attive e lancia il programma <bit4id_ipki_1.1.11.0-infocert.exe> presente all interno dell archivio.zip scaricato in precedenza dal sito di InfoCert. Nella finestra col messaggio di benvenuto cliccare su <Avanti>. Leggere attentamente le condizioni d uso, selezionare la casella di accettazione del contratto e cliccare su <Installa>. Al termine dell installazione verrà richiesto il riavvio del computer. Cliccare su <Sì>. 30
A differenza delle precedenti, questa versione di CSP non necessita di un pre-caricamento del certificato personale nell archivio di Microsoft. E sufficiente inserire la Smart Card quando necessario e il certificato viene messo a disposizione del browser in modo automatico. Per l accesso alla chiave privata viene richiesto ovviamente il PIN. Quando la Smart Card viene estratta dal lettore scompariranno dalla cache anche i riferimenti al certificato personale. L installazione mette a disposizione anche il programma di utilità Bit4id Smart Card Manager per funzioni di cambio/sblocco PIN e per informazioni sulla Smart Card. Questo programma si trova in Avvio > Programmi > Bit4Id > Universal Middleware for Incard. Attenzione: per le funzioni di cambio/sblocco PIN, le informazioni sulla Smart Card e sui certificati digitale si invita a usare l applicazione DikeUtil, come descritto nel capitolo 9. 19 19 Fare riferimento alla sezione " Cambio e sblocco del PIN" di questa guida, pagg. 66-69 31
4. Autenticazione sul Portale d Ateneo Unito.it mediante Smart Card Una volta importato il certificato digitale e configurato il proprio browser internet correttamente, è possibile effettuare l autenticazione al Portale d Ateneo Unito.it con la Smart Card. In generale ci sono due modalità d accesso, una mediante nome utente e password (le cosiddette credenziali d accreditamento SCU) e l altra tramite il certificato digitale rilasciato da Infocert (la Smart Card). Nel primo caso si può trovare supporto tecnico alla pagina http://www.unito.it/istruzioni_personale.htm. Nel secondo caso è necessario fare riferimento alle indicazioni contenute nella Guida Operativa della Divisione Sistemi Informativi. 20 Di seguito si riportano i passi principali della procedura da seguire per effettuare l autenticazione al Portale Unito.it con Mozilla Firefox e Internet Explorer. Autenticazione con Mozilla Firefox 3.0.X Inserisci la Smart Card nel lettore e collegati alla home page del Portale d Ateneo http://www.unito.it/. Clicca sulla scritta <Accedi con Smart Card> (indicata dalla freccia nella figura seguente). Dopo aver cliccato, il Sistema informatico d Ateneo ti guiderà attraverso il processo di autenticazione. 20 Guida Operativa, Divisione Sistemi Informativi, Università di Torino, 2008, pp. 37-40, da http://fire.rettorato.unito.it/intranet/public/doc/go-smart Card-UNITO-V00.pdf 32
Inserisci il tuo PIN di otto cifre indicato nella busta ricevuta in dotazione con la Smart Card e premi <OK>. A questo punto dovrai scegliere il certificato che corrisponde al tuo e cliccare su <OK> (in caso questa richiesta venga ulteriormente ripetuta: cliccare nuovamente su <OK>). 33
La procedura di autenticazione è terminata e si dovrebbe aprire la tua home page MyUnito. Autenticazione con Internet Explorer 6.0 o superiore Inserisci la Smart Card nel lettore e collegati alla home page del Portale d Ateneo http://www.unito.it/. Clicca sulla voce <Accedi con Smart Card> (la stessa indicate nella figura del paragrafo precedente). Una volta aperta la finestra <Scelta certificato digitale> verifica che il codice fiscale corrisponda al tuo quindi cliccare su <OK>. 34
Inserisci il tuo PIN di otto cifre indicato nella busta ricevuta in dotazione con la Smart Card e premi <OK>. La procedura di autenticazione è terminata e si dovrebbe aprire la tua home page MyUnito. 35
5. E-mail con la firma digitale: cosa vuol dire, come si creano e come si verificano Una volta importato il certificato digitale all interno del client di posta elettronica installato sulla propria macchina, è possibile apporre la firma digitale sulle e-mail che inviamo e verificare la validità della firma su quelle che riceviamo. 21 Cosa sono le e-mail con la firma digitale? Come si fa a firmare un messaggio di posta elettronica prima di inviarlo? Come si verificano i messaggi di posta elettronica ricevuti? Cosa sono le e-mail con la firma digitale? I messaggi di posta elettronica con la firma digitale si trattano esattamente come le e-mail comuni. La firma digitale consente di proteggere il nostro messaggio, facendo in modo che venga letto solo da destinatari prestabiliti da noi. Permette anche al destinatario di controllare in modo certo chi è il vero autore di un messaggio e l ora e il giorno esatti in cui è stato creato. Apporre la firma digitale sulle e-mail Per firmare un messaggio di posta elettronica sono richiesti la Smart Card rilasciata dall Università, il lettore di Smart Card e il file contenente il certificato dell Ente certificatore InfoCert. Prima di iniziare questa procedura è necessario aver configurato correttamente il proprio browser internet e il client di posta elettronica. Per maggiori informazioni su queste operazioni consultare le parti precedenti di questa guida. 22 Per firmare i propri messaggi di posta elettronica fare riferimento alla Guida Operativa della Divisione Sistemi Informativi. 23 21 Da https://www.firma.infocert.it/guida/firmare_email.php ; https://www.firma.infocert.it/guida/verificare_email.php 22 Fare riferimento alla sezione " Come importare i certificati digitali" di questa guida, pagg.19-32 23 Guida Operativa, Divisione Sistemi Informativi, Università di Torino, 2008, pp. 55-63, da http://fire.rettorato.unito.it/intranet/public/doc/go-smart Card-UNITO-V00.pdf 36
Attenzione: si tenga presente che il sistema della firma digitale delle e-mail può funzionare solo se il destinatario ha installato sulla propria macchina il certificato root rilasciato da Infocert, inserendolo tra quelli delle autorità di certificazione attendibili, e ha inserito il certificato del mittente tra quelli riconosciuti. Di seguito si riportano i passi principali della procedura da eseguire per due i programmi di posta elettronica più diffusi nel nostro Dipartimento: Mozilla Thunderbird e Microsoft Outlook. Mozilla Thunderbird 2.0.X Di seguito si riporta la procedura per firmare le e-mail con il client di posta Mozilla Thunderbird 2.0.X. La prima volta che si invia un messaggio di posta firmato, è necessario eseguire un operazione preliminare. Aprire il menù <Strumenti> scegliere <Impostazioni account >, e selezionare la voce <Sicurezza>. Quindi, verificare che i campi delle sezioni <Firma digitale> e <Cifratura> contengano dei valori. Figura 5.1 Finestra Impostazioni Account: Sicurezza di Mozilla Thunderbird 2.0.X Se non contengono valori (come mostrato nella figura 5.1) è possibile proseguire la procedura di firma delle e-mail. Se invece contengono valori occorre prima rimuovere le scelte fatte in precedenza. 37
Attenzione: il segno di spunta nella casella <Apponi una firma digitale ai messaggi> indica al programma di firmare tutti i messaggi di posta in uscita. Si consiglia di lasciare vuota tale casella; è possibile scegliere di volta in volta quando firmare i propri messaggi, a meno che si abbia intenzione di inviare sempre il proprio certificato. Per approfondimenti vedere i punti 9 e 10 delle FAQ Generali sulla firma digitale all indirizzo https://www.firma.infocert.it/utilita/generali.php Fatte queste premesse, vediamo come firmare un messaggio di posta elettronica. Verificare che la Smart Card sia correttamente inserita nel lettore, quindi selezionare il menù <Sicurezza> e poi la voce <Apponi firma digitale>. Sempre dal menù Sicurezza verificare che sia presente il segno di spunta sulla voce <Apponi firma digitale>. Arrivati a questo punto della procedura è possibile inviare la mail. Premere il pulsante <Invia>; apparirà la finestra per l immissione del PIN della tua Smart Card. 38
Immetti il PIN e clicca sul bottone <OK>. Per verificare se la procedura ha avuto successo, andare nella cartella della posta inviata e selezionare il messaggio appena spedito. Se è contrassegnato da un icona raffigurante una busta chiusa con un sigillo di ceralacca, significa che è stato firmato correttamente. 39
Microsoft Outlook 2003 Di seguito si riporta la procedura per firmare le e-mail con il client di posta Microsoft Outlook 2003. Verificare che la Smart Card sia correttamente inserita nel lettore, quindi, prima di inviare la e-mail, cliccare sull icona raffigurante la busta con la coccarda. Dopo aver attivato questa opzione, è possibile inviare la mail. Outlook richiede di inserire il PIN della Smart Card; inserirlo e cliccare su <OK>. Per verificare l esito dell operazione, visualizzare il messaggio appena inviato dalla cartella <Posta Inviata> e cliccare sull icona della coccarda giallo-rossa. La finestra che si apre contiene delle informazioni sulla firma. Se compare la finestra seguente significa che la mail è stata firmata in modo corretto. 40
Gestione certificati: certificati altrui Come detto all inizio del paragrafo, il sistema della firma digitale delle e-mail può funzionare solo se il destinatario ha installato sulla propria macchina il certificato root rilasciato da Infocert, inserendolo tra quelli delle autorità di certificazione attendibili, e ha inserito il certificato dei propri contatti tra quelli riconosciuti. L insieme di questi controlli e procedure viene denominata Gestione dei certificati altrui. Mozilla Thunderbird 2.0.X Di seguito si riporta la procedura per gestire i certificati con il client di posta Mozilla Thunderbird 2.0.X. Dal menù <Strumenti> scegliere <Impostazioni account> e selezionare la voce <Sicurezza> relativa all account personale. Cliccare sul pulsante <Visualizza certificati>. 41
Nella la finestra <Gestione Certificati> visualizzare la scheda <Certificati altrui>. Selezionare il certificato che si vuole gestire e scegliere <Modifica>. Modificare le impostazioni di affidabilità contrassegnando con un segno di spunta la voce: Dai fiducia all autenticità di questo certificato, quindi scegliere <OK>. Per ottenere posta elettronica firmata e cifrata, ripetere questa procedura per ogni destinatario e per ogni suo certificato. Microsoft Outlook 2003 Di seguito si riporta la procedura per gestire i certificati con il client di posta Microsoft Outlook 2003. Nella cartella della <Posta in arrivo> aprire il messaggio firmato che il 42
nostro contatto ci ha inviato. Nella finestra del messaggio dovrebbe comparire l icona di una coccarda giallo-rossa. Cliccare sull icona per aprire la finestra <Firma digitale> e cliccare sul bottone <Dettagli>. Nella finestra <Proprietà protezione dei messaggi> selezionare il firmatario. Cliccare sul bottone <Modifica fiducia > per aprire la finestra <Visualizza certificato>. 43
Verifica che il certificato sia considerato attendibile per <Crittografia e autenticazione posta elettronica>. Se non fosse così, nel riquadro in basso <Modifica attendibilità> seleziona la voce <Considera il certificato attendibile>. 44
6. Cifrare le e-mail: cosa vuol dire e come si creano Una volta importato il certificato digitale all interno del client di posta elettronica installato sulla propria macchina, è possibile cifrare le e-mail che inviamo. Cosa sono le e-mail cifrate? Come si fa a cifrare un messaggio di posta elettronica prima di inviarlo? Cosa sono le e-mail cifrate? I messaggi di posta elettronica cifrati sono messaggi codificati secondo determinati meccanismi che impediscono di leggere il loro contenuto da coloro che non sono autorizzati. Le tecniche di cifratura o codifica (e di decodifica) dipendono dal dispositivo di firma digitale utilizzato. Come si fa a cifrare le e-mail? Per inviare correttamente un messaggio di posta cifrato è necessario disporre di un certificato valido e attendibile del destinatario. Per scambiare posta cifrata con un contatto per la prima volta è necessario richiedergli di inviarci un messaggio di posta elettronica firmato (con firma digitale); in modo da inserire il suo certificato tra quelli riconosciuti dal nostro programma di posta. Occorre eseguire questa procedura per ogni contatto con cui si vuole scambiare posta cifrata. Per maggiori dettagli sulla procedura si faccia riferimento al paragrafo Gestione dei certificati altrui nel capitolo relativo alla firma digitale delle e-mail. 24 Per cifrare i propri messaggi di posta elettronica fare riferimento alla Guida Operativa della Divisione Sistemi Informativi. 25 24 Fare riferimento alla sezione "..." di questa guida, pagg. XX-XX 25 Guida Operativa, Divisione Sistemi Informativi, Università di Torino, 2008, pp. 66-72, da http://fire.rettorato.unito.it/intranet/public/doc/go-smart Card-UNITO-V00.pdf 45
Di seguito si riportano i passi principali della procedura da eseguire per due i programmi di posta elettronica più diffusi nel nostro Dipartimento: Mozilla Thunderbird e Microsoft Outlook. Mozilla Thunderbird 2.0.X Di seguito si riporta la procedura per cifrare le e-mail con il client di posta Mozilla Thunderbird 2.0.X. Componi un messaggio di posta e prima di inviarlo, accertati che la Smart Card sia correttamente inserita nel lettore; quindi clicca sul bottone <Sicurezza> e scegli la voce <Cifra questo messaggio> dal menù a discesa che appare. È consigliabile scegliere anche l opzione <Apponi firma digitale> Verificare, cliccando nuovamente il bottone <Sicurezza>, che sia presente il segno di spunta su <Cifra questo messaggio> ed eventualmente anche su <Apponi firma digitale>. 46
Ora è possibile inviare il messaggio cifrato. Dopo aver premuto il pulsante <Invia> apparirà la finestra per l immissione del PIN. Immettere il proprio PIN e scegliere <OK>. Per verificare se la procedura ha avuto successo, andare nella cartella della posta inviata e selezionare il messaggio appena spedito. Se è contrassegnato da un icona di una busta chiusa con un sigillo di ceralacca e da un icona di un lucchetto, significa che è stato firmato e cifrato correttamente. Microsoft Outlook 2003 Di seguito si riporta la procedura per cifrare le e-mail con il client di posta Microsoft Outlook 2003. Componi un messaggio di posta e prima di inviarlo, accertati che la Smart Card sia correttamente inserita nel lettore; quindi clicca sulle icone raffiguranti la busta con la coccarda e la busta con il lucchetto. Ora è possibile inviare il messaggio. 47
Per verificare se la procedura ha avuto successo, vai nella cartella della posta inviata e seleziona il messaggio appena spedito. Se è contrassegnato da un icona di una coccarda rossa e da un icona di un lucchetto, significa che è stato firmato e cifrato correttamente. 48