Posta Elettronica Certificata & Firma Digitale
Introduzione Sicurezza nelle comunicazioni digitali Obbligo per Professionisti (entro 1 anno) e Aziende (3 anni) di dotarsi di caselle di Posta Elettronica Certificata e comunicarle Cosa serve? Come si usa? Ma cosa ci guadagno io?
Programma Cosa significa sicurezza nella comunicazione digitale Come funziona la P.E.C. Come funziona la Firma Elettronica Spero di dir tutto entro 30-40 min. Domande & Risposte
Di cosa stiamo parlando? Valore legale alla posta elettronica Sono normali applicazioni per PC Reader e-mail Word PC email Adobe Acrobat Firma digitale WEB PEC Word Virus Hackers Spam
Sicurezza nella corrispondenza: la Lettera Raccomandata A.R. Il documento è imbustato e consegnato Il vettore (poste) lo prende in consegna e rilascia una (prima) ricevuta Trasportato al punto di consegna e consegnato al destinatario Una seconda ricevuta viene firmata dal destinatario e rispedita al mittente La PEC non è altro che tutto questo in versione digitale!
Chiavi crittografiche asimmetriche La Certification Authority genera le chiavi crittografiche pubblica e privata per ogni persona richiedente (fisica o giuridica) e gliele consegna previa identificazione con metodi tradizionali La Chiave Privata non deve assolutamente essere ceduta o distribuita, di solito è memorizzata in una smartcard o un token (simile ad una SIM dei telefonini). Chiave Pubblica Chiunque può verificare la validità della chiave pubblica direttamente presso la CA e quindi assicurarsi dell identità del mittente. La Chiave Pubblica è liberamente distribuita (normalmente via email o tramite un keyserver web mantenuto dalla stessa CA)
Chiavi crittografiche asimmetriche: principio di funzionamento File generico su PC. (Es..DOC,.PDF,.ODT,.XLS,.PPT,.DWG,.AVI,.EML,.JPG, ecc.). La firma con chiave privata genera l impronta digitale crittografata che viene allegata al file, cui è aggiunta l estensione.p7m La chiave pubblica consente di decrittare l impronta digitale che viene confrontata con quella ricalcolata al volo dal ricevente con lo stesso algoritmo Il documento può essere crittografato con la chiave pubblica ma potrà essere riconvertito in chiaro solo con la chiave privata del destinatario, in questo modo la trasmissione dei dati è sicura in quanto nessuno che intercetti il file crittografato può leggerlo se non possiede la chiave privata.
Chiavi crittografiche asimmetriche Si parte da un qualsiasi documento informatico (testo, foglio elettronico, email, disegno cad, file multimediale, ecc.) Es.: FILE.TXT Dal file il programma di firma estrae un impronta digitale, unica per il documento ma da cui non lo si può ricostruire L impronta digitale viene crittografata con la chiave privata dell autore. Tutto il file è compresso insieme alla firma in un altro file Es.: FILE.TXT.P7M Chiavi crittografiche privata e pubblica Il ruolo dei certificatori Un file firmato NON è segreto! Solo la firma è crittografata, non il file! La firma include il riferimento al certificatore per verificarne la validità Si può verificare un file firmato gratis on line
Schema di funzionamento della Posta Elettronica Certificata Il mittente scrive il messaggio Il messaggio è controllato e imbustato dal gestore della casella PEC del mittente che manda una prima ricevuta di accettazione L inoltro del messaggio tra i gestori della PEC avviene tramite internet come per la e- mail ordinaria Appena scaricato il messaggio, la ricevuta di consegna è inviata al mittente dal gestore del destinatario Il messaggio è aperto, controllato e re-imbustato dal gestore della casella PEC del destinatario che manda una ricevuta di presa in carico al gestore del mittente Il destinatario riceve il messaggio Il messaggio è depositato nella casella PEC del destinatario in attesa che questi si colleghi per scaricare la posta con il suo e-mail reader (Outlook, Thunderbird, Eudora, ecc.)
Cosa prescrive la legge? Legge n. 2 del 28/1/09 Conversione in legge decreto n. 185 del 29/11/08 Decreto Anticrisi - Art. 16 7. I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6 entro un anno dalla data di entrata in vigore del presente decreto. Gli ordini e i collegi pubblicano in un elenco riservato,consultabile in via telematica esclusivamente dalle pubbliche amministrazioni,i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.
Cosa garantisce la PEC? Metodi sicuri di trattamento e inoltro del messaggio Integrità del contenuto rispetto al momento in cui è stato affidato al vettore Identità del mittente Identità del destinatario Indicazione dei tempi di trattamento del messaggio
Cosa NON garantisce la PEC? Se il destinatario tiene il PC spento e/o non scarica la posta dal server: Non riceverà mai il messaggio Il mittente resta indefinitamente in attesa I messaggi di ricevuta possono andare persi Il livello di sicurezza è quindi paragonabile alla corrispondenza cartacea (in realtà un po maggiore ed a più buon mercato)
Quali alternative ci sono alla PEC? Certificati S/MIME (Secure Multimedia Internet Mail Extensions) Firmano digitalmente il messaggio già a livello di PC utilizzatore (ma non gli eventuali allegati) Due Certification Authority: GlobalTrust e Thawte (gratis per uso personale)
E la firma digitale? Equivalente alla firma scritta, deve garantire per il documento firmato: Autenticità Integrità Non Ripudiabilità Chiavetta USB con un lettore di token, che contiene la chiave privata. Il software consente di firmare qualsiasi documento Standard mondiale già operativo
PEC e Firma digitale: Concetti affini e complementari Il massimo vantaggio si ottiene dalla somma dei due Valore legale sia all inoltro delle mail che ai documenti allegati Eliminazione di carta e soprattutto risparmio di TANTO tempo La PA DEVE accettare i documenti firmati digitalmente.
Da chi compro questi servizi? Gli elenchi aggiornati sono sul sito CNIPA Gli Ordini Professionali si stanno muovendo in ordine sparso stipulando convenzioni con alcuni Provider Il CNI sta valutando le opzioni disponibili e si attendono comunicazioni Le Poste Italiane hanno un prodotto interessante (PosteKey)
Per passare notti insonni. CNIPA (www.cnipa.gov.it) Wikipedia (poteva mancare?) www.ilsoftware.it Siti web dei certificatori (poste.it, aruba.it, infocert.it, ecc.) La situazione è fluida Google forever!
Grazie per l attenzione!