Cos’è la firma digitale

Document Sample
Cos’è la firma digitale Powered By Docstoc
					  Corso di Studi in Informatica Applicata
     Università degli Studi di Catania
            Campus di Comiso




Corso di Sicurezza dei Sistemi Informatici 2
           Prof. Dario Catalano
         Prof. Mario Di Raimondo




        La Firma Digitale in Italia

                Rosario   Sgarlata        matr. A40/000036




                                     Anno accademico 2006/2007
Cos’è la firma digitale?

La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi
asimmetriche, è un sistema di autenticazione di documenti digitali analogo alla firma autografa su
carta. La firma digitale, all’atto pratico, ha ben poco da spartire con la firma a cui siamo abituati.
Il segno grafico che apponiamo in calce al testo, riconosciuto da sempre come indiscutibile prova
della originalità del documento, ha un sapore romantico se confrontato con il processo di
apposizione di una firma digitale. La prima e più importante differenza nell’uso dei due metodi è
che il documento firmato con la penna resta perfettamente leggibile, mentre quello firmato
digitalmente cambia il suo stato, la sua forma, e richiede un programma specializzato per la sua
apertura.

Differenze tra firma digitale e firma convenzionale


                      Firma autografa                     Firma digitale

Creazione             manuale                             mediante algoritmo di creazione

                      sul documento la firma è parte      come allegato il documento firmato è
Apposizione
                      integrante del documento            costituito dalla copia (documento, firma)

                      confronto con una firma             mediante algoritmo di verifica
Verifica
                      autenticata metodo insicuro         pubblicamente noto metodo sicuro

Documento copia distinguibile                             indistinguibile

Validità
                      illimitata                          limitata dalla scadenza
temporale

Automazione dei
                      non possibile                       possibile
processi




La firma digitale è un processo matematico che permette di criptare una rappresentazione univoca
del file, detta “impronta”, e di inserirla nel file stesso trasformandolo in un nuovo tipo di file.
Questa in particolare è la caratteristica che va ben compresa; il risultato del processo di firma
digitale di un file è un altro file, di formato diverso. Ad esempio il file in formato Microsoft Word
“Documento.doc”, al termine del processo di firma diventa il file “Documento.doc.p7m”.
L’estensione “p7m” indica che il file non è più un documento Microsoft Word e quindi non può
più essere aperto da questo programma. Per poterlo leggere è necessario l’uso di un nuovo
programma, facilmente reperibile su internet, prodotto da vari autori. Questo programma ha lo
scopo di estrarre nuovamente il file originale e di confermare l’autenticità dell’autore del
documento.

Il file firmato digitalmente non può essere letto con i sistemi oggi comunemente diffusi. Se, ad
esempio, decidiamo di adottare il formato Portable Document Format (PDF) per pubblicare ed
inviare i nostri documenti è perché si tratta di un formato ormai capillarmente diffuso che
garantisce la leggibilità del documento presso il destinatario. In altre parole non dobbiamo
preoccuparci di accordarci con lui per essere certi che sarà in grado di leggere il nostro file. Il file
firmato non è più in formato PDF, ma in formato “p7m”, uno standard in effetti, ancora poco
diffuso.
Molti destinatari del nostro documento non sapranno come aprire il file e saranno costretti a
procurarsi un prodotto che sia in grado di farlo. Va detto che lo scopo di questa trasformazione
non è nascondere il contenuto del file, tutt’altro: chiunque potrà aprire ed estrarre il file originale,
quindi consultarlo. Il nuovo formato è il risultato di una necessaria trasformazione ai fini di
aggiungere le informazioni che garantiscono l’originalità del file e la sua provenienza.

Le caratteristiche di un documento firmato

Le caratteristiche salienti di un documento informatico firmato digitalmente sono:
Autenticità: certezza dell'identità del sottoscrittore.
Integrità: garanzia che il documento informatico non è stato manomesso dopo la sua
sottoscrizione.
Non ripudio: la firma digitale si presume riconducibile al titolare del dispositivo di firma, salvo
che sia data prova contraria.
Valore legale: il documento informatico sottoscritto con firma digitale soddisfa il requisito legale
della forma scritta se formato nel rispetto dell'articolo 71 del D.Lgs 7 marzo 2005, n. 82-CAD
che garantisca l'identificabilità dell'autore e l'integrità del documento.
Marcatura temporale: data e ora certi

Il servizio di marcatura temporale di un documento informatico, consiste nella generazione, da
parte di una Terza Parte Fidata, di una firma digitale del documento (anche aggiuntiva rispetto a
quella del sottoscrittore) cui è associata l'informazione relativa ad una data e ad un'ora certa. Un
file marcato temporalmente ha estensione .m7m: al suo interno contiene il documento del quale
si è chiesta la validazione temporale e la marca emessa dall'Ente Certificatore.
Per esempio il tempo cui fanno riferimento le marche temporali di InfoCamere, è riferito al
Tempo Universale Coordinato, ed è assicurato da un ricevitore radio sintonizzato con il segnale
emesso dall'Istituto Elettrotecnico Nazionale Galileo Ferraris.
La marcatura temporale di un documento informatico può essere effettuata utilizzando il software
di firma/verifica fornito da InfoCamere, che consente di eseguirne anche un immediato controllo.


La crittografia asimmetrica per la firma digitale


La crittografia asimmetrica, detta anche a chiave pubblica, è forse la più grande rivoluzione
dell'intera storia della crittografia; questa interessa l'aritmetica modulare, l'esponenziazione e
grandi numeri primi di migliaia di cifre. Ciascuna parte interessata nello scambio di messaggi
possiede una coppia di chiavi una pubblica e una privata.
La chiave pubblica, come è intuibile, viene resa disponibile a tutti, pubblicata in internet o
inserita nelle e-mail; quella privata è segreta e quindi deve essere conservata in modo sicuro.
Un’utente Alice che vuole mandare un messaggio cifrato ad un utente Bob non deve fare altro
che reperire la chiave pubblica di Bob, cifrare con questa il messaggio ed inviarlo al destinatario.
L'utente Bob può così decifrare il messaggio con la sua chiave privata, l'unica in grado di dare un
significato ai dati cifrati.
La firma elettronica si basa sulla crittografia a chiave pubblica; l'unica differenza è che le chiavi
vengono usate in modo inverso al caso sopra descritto: si cifrano i messaggi con la chiave privata
e si decifrano con la chiave pubblica.
Un messaggio cifrato (firmato) dall'utente Alice con la sua chiave privata può essere decifrato
(verificato) da tutti coloro che conoscono la chiave pubblica di Alice. In realtà, ciò che viene
cifrato con la chiave privata è il valore hash del messaggio. Questo valore cifrato viene inviato al
destinatario insieme al file originale, rendendo possibile il processo di verifica.
La firma digitale applicata ad un file garantisce ai dati i seguenti servizi:
     Integrità: assicura che un messaggio venga trasmesso senza subire modifiche da parte di
        terzi non autorizzati;
     Autenticazione: assicura che l'origine di un messaggio sia correttamente identificata e che
        non sia stata falsificata;
     Non-ripudiabilità: assicura che né un mittente né un destinatario possano negare di aver
        trasmesso o ricevuto un messaggio.
Le smart card
Il punto debole della crittografia a chiave asimmetrica sta nella memorizzazione sicura della
chiave privata. Se un utente malintenzionato venisse a conoscenza di questa potrebbe decifrare
tutte le informazioni vanificando così tutti i nostri sforzi.
Le smart card sono un’ottima soluzione a questo problema grazie alle caratteristiche di protezione
dei dati intrinseche del microchip ed alla presenza di un coprocessore crittografico che gli
consentono di eseguire le principali funzioni crittografiche senza far uscire la chiave privata dal
dispositivo; esse sono un mezzo adeguato per proteggere le informazioni personali da utilizzare
nella firma digitale.
Fino a poco tempo fa la programmazione di smart card era ristretta ad un numero limitato di
programmatori che sviluppavano applicazioni per hardware mirate, ma negli ultimi anni c'è stata
una crescita grazie alla nascita di gruppi di lavoro portati avanti dalle aziende del settore; questi
hanno dato vita a vari standards tra i quali ISO7816, PC/SM, OpenCard, EMV e PKCS#11.


Questa parte riguarda gli standard utilizzati per implementare i vari processi di firma e verifica.
     PKCS : in crittografia PKCS si riferisce ad un gruppo di Standard Crittografici a Chiave
        Pubblica (Public Key Cryptografiphy Standards) divisi e pubblicati dai Laboratori RSA in
        California. RSA Security ha il compito di sfornare standard basati sull'algoritmo di
        cifratura a chiave asimmetrica RSA. Vi sono ben 15 standard, se ne citano solamente
        alcuni.
     PKCS#1: definisce le linee guida per l'implementazione del sistema crittografico a chiave
        pubblica basato su RSA.
     PKCS#7: definisce principalmente una struttura per incapsulare dati ai quali sono stati
        applicate trasformazioni crittografiche. E' divenuto lo standard di S/MIME; i dati
       contenuti al suo interno possono essere di differenti tipi; quello che andremo ad usare nel
       caso di file firmati è SignedData.
    PKCS#11: questo standard è stato progettato per definire una interfaccia di
       programmazione ad alto livello in grado di essere indipendente dal tipo di hardware
       crittografico utilizzato attraverso la presentazione alle applicazioni di un dispositivo
       astratto chiamato Cryptographic Token.
    S/MIME: MIME è lo standard internet per il formato delle e-mail che fornisce
       meccanismi che consentono di inviare altri tipi di informazioni oltre ai semplici caratteri
       ASCII a 7 bit. S/MIME è lo standard internet per i dati crittografati e/o firmati incapsulati
       in MIME. S/MIME utilizza PKCS#7 per applicare funzioni crittografiche. Per garantire
       una certa interoperabilità tra mittenti e destinatari sono state definite nuove entità MIME
       che supportano PKCS#7: quello che a noi interessa è il file con estensione "p7m", cioè
       application/pkcs7-mime, lo standard per i file Firmati (SignedData).
    X.509: Il termine certificato X.509 si riferisce generalmente al profilo di certificato PKI e
       di revoca del certificato (CRL) dell'IETF (Internet Engineering Task Force, comunità
       aperta di tecnici ). Una PKI è un’infrastruttura che provvede ai servizi di crittografia a
       chiave pubblica. Nel sistema X.509, una CA rilascia un certificato che accoppia una
       chiave pubblica ad un Nome. I certificati X.509 sono descritti indipendentemente dalla
       piattaforma usando la codifica ANS.1 (è una codifica per rappresentare le strutture dati in
       sistemi eterogenei). X.509 include anche gli standard per le implementazioni di
       Certificate Revocation List (CRL).




Algoritmo di Hash

Hash (“to hash” sminuzzare, pasticciare) è una funzione univoca operante in un solo senso (ossia,
che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una
stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di “impronta
digitale del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest.




Risultato dei primi quattro byte della funzione hash SHA1.



L'algoritmo di "Hash" (Secure Hash Algoritm, SHA1) elabora qualunque mole di bit (in
informatica si dice “digerisce tutto ciò che gli viene dato in pasto”). Si tratta di un algoritmo che
soddisfa i seguenti requisiti:

    Restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi
       dimensione (può essere un file ma anche una stringa). L'output è detto impronta del file.
    La stringa di output è univoca per ogni documento e ne è un identificatore. Perciò,
       l'algoritmo è utilizzabile per la firma digitale.
    L'algoritmo non è invertibile, ossia non è possibile ricostruire il documento originale a
       partire dalla stringa che viene restituita in output.

SHA-l elabora i dati in input a blocchi di 512 bit e genera dei message digest di 160 bit.

Il message digest è una funzione hash che applicata ad un messaggio produce una sequenza di
lunghezza fissa legata univocamente con il messaggio; non è praticamente possibile creare due
message digest identici da due messaggi diversi.
Il ricevente, dopo aver decifrato con la chiave pubblica il message digest, calcola un nuovo
message digest sul messaggio in chiaro e se questo coincide con quello inviatogli la verifica ha
successo.
Nasce adesso un ulteriore problema, ovvero di come il ricevente possa essere sicuro che la chiave
pubblica in suo possesso sia realmente quella del mittente. Questo problema è risolto dai
certificati, ovvero i documenti che attestano il legame tra un soggetto e la sua chiave pubblica.


I Certificati Digitali e le liste di Revoca

La verifica di una firma digitale apposta su un documento non ci rende abbastanza sicuri della
provenienza del messaggio; se la verifica ha successo un utente ha la certezza che il messaggio è
autentico ed integro, ovvero che il messaggio proviene veramente dalla chiave privata che ha
firmato il messaggio, ma non ha la certezza che una parte malintenzionata non abbia utilizzato
una falsa coppia di chiavi per impersonare qualcun altro.
Per esempio potrebbe accadere che un malintenzionato utilizzi un indirizzo e-mail rubato come
proprio identificativo associando ad esso una coppia di chiavi falsa.
Nascono per questo motivo dei documenti che associano l'identità di una parte ad una coppia di
chiavi e delle strutture che emettano e siano in grado di verificare questi documenti. Stiamo
parlando dei Certificati elettronici e dei Certificatori (Certification Authority).
Per certificatore si intende un’autorità di fiducia che genera certificati e attesta le identità e le
chiavi pubbliche di coloro per cui questi sono stati emessi. In pratica un certificato elettronico
consiste nelle informazioni personali del proprietario (nome, cognome, ecc..) e la sua chiave
pubblica, il tutto cifrato con la chiave privata dell'ente certificatore.
Il certificato contiene anche la data di scadenza (periodo di validità), un numero seriale ed il
nome dell'ente Certificatore che lo ha rilasciato.




Ecco quali sono i passi che si devono effettuare con successo per poter verificare la firma apposta
su di un messaggio:
     reperire da una fonte sicura la chiave pubblica del certificatore e del firmatario del
        messaggio (la chiave pubblica del firmatario può essere ottenuta dal certificato);
     decifrare con la chiave pubblica del certificatore il certificato verificando che esso
        appartenga ad una Autorità di Certificazione inclusa nell'elenco dei Certificatori, che non
        sia scaduto e non sia sospeso o revocato;
     decifrare con la chiave pubblica del mittente il messaggio firmato (verifica della firma del
        messaggio) e controllare che questo coincida con quello inviato;
     verificare la corrispondenza tra i dati (identità-chiavi) del certificato e i dati del mittente
        del messaggio.
Un modo sicuro per autenticare una firma è quello di includere al messaggio più certificati: colui
che riceve il messaggio, essendo in possesso delle chiavi pubbliche della CA (ottenute da una
fonte sicura) decifra prima i certificati ed in seguito il messaggio.
Una firma può essere autenticata da una terza parte, la quale può a sua volta essere ulteriormente
autenticata. Questo meccanismo gerarchico termina nella parte più alta della catena con una
Certification Authority. A volte questo complesso meccanismo non viene usato ed è sostituito da
una catena a due livelli: certificatori e utenti (è il caso dell'Italia).


In Italia non esiste un organismo gerarchico per la sottoscrizione dei Certificati digitali. Non
esiste una Certification Authority che assegna certificati ad altre sub-CA; la struttura si limita a
due livelli:
     Autorità di Certificazione
     Possessori dei certificati
Al vertice vi è il presidente del CNIPA (Centro Nazionale per l'Informatica nella Pubblica
Amministrazione) che ha rilasciato un elenco di Autorità Accreditate per distribuire certificati
firmati con la propria chiave privata.
La chiave pubblica del presidente del CNIPA è stata opportunamente pubblicata nella gazzetta
ufficiale.
Vediamo adesso un esempio: il nostro obiettivo è quello di verificare la firma ed il certificato di
Rosario Sgarlata rilasciato dal “Certificatore XXX”.
Il Certificatore XXX ha, a sua volta, un proprio certificato; questo certificato è self-signed,
ovvero dichiara che il proprio certificato è valido (“sicuro”).
Questa sarebbe una contraddizione se il certificato di "Certificatore XXX" non fosse presente
nella lista delle Autorità Accreditate rilasciata da CNIPA (non ci possiamo fidare a priori del
Certificatore XXX).
Ecco i passi che si devono effettuare per verificare la firma ed il certificato di Rosario Sgarlata:
    Verificare che la firma di Rosario Sgarlata sia corretta (decifrare la firma con la chiave
       pubblica di Rosario Sgarlata e verificare che il messaggio corrisponda con quello inviato).
    Scaricare la lista di certificati rilasciata dal CNIPA.
    Verificare la correttezza della firma della lista (lista firmata dal Presidente del CINPA).
    Controllare che l'impronta digitale della chiave pubblica dal Presidente CINPA
       corrisponda a quella pubblicata nella gazzetta ufficiale.
    Individuare all'interno della lista di Autorità scaricata dal CNIPA quella che ha rilasciato il
       certificato a Rosario Sgarlata, prenderne la chiave pubblica ed usarla per verificare il
       certificato.
    Scaricare la lista CRL del certificatore che ha rilasciato il certificato di Rosario Sgarlata.
    Verificare le informazioni di Revoca del Certificato di Rosario Sgarlata.


Le CRL (Certificate Revocation List) sono delle liste di certificati che hanno perso la loro validità
prima del periodo di scadenza poiché ad esempio il proprietario di questi comunica che la sua
chiave è stata compromessa. Le CRL sono distribuite nel formato standard X.509 e vengono
aggiornate periodicamente. I certificati all'interno sono identificati tramite il Serial Number e
rimossi quando raggiungono la data di scadenza (i certificati che raggiungono la data di scadenza
non vengono inseriti nelle CRL).
La legge in campo di Firma Digitale impone ai Certificatori di mettere a disposizione una lista di
revoca CRL per poter controllare le varie informazioni sullo stato dei Certificati che gli stessi
hanno rilasciato.
Proviamo ad aprire un certificato di un Ente Certificatore ed andiamo a guardare i vari campi;
noteremo che vi sono dei campi (sono delle estensioni) nei quali sono indicati i vari punti di
distribuzione delle Liste dei Certificati Revocati. In ogni certificato il certificatore dichiara
l'indirizzo internet dove, nel caso di revoca o sospensione del certificato, inserirà l'informazione.
I vari software per la firma Digitale non fanno altro che, una volta verificato il certificato,
collegarsi all'URL dichiarato e controllare le informazioni sulla revoca. Questi sono gli obblighi
che i certificatori hanno.



Centro Nazionale per l'Informatica nella Pubblica Amministrazione

Il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA), è un ente
pubblico italiano che opera presso la Presidenza del Consiglio dei Ministri per l'attuazione delle
politiche del Ministro per l'Innovazione e le tecnologie, dotato di autonomia tecnica, funzionale,
amministrativa, contabile e finanziaria e con indipendenza di giudizio.

È stato istituito dal Decreto Legislativo 30 giugno 2003, n. 196 (Codice per la protezione dei dati
personali) in sostituzione dell'Autorità per l'informatica nella Pubblica Amministrazione (AIPA),
della quale conserva le attribuzioni. Ad esso sono stati inoltre attribuiti dal Decreto Legislativo 5
dicembre 2003, n. 343 i compiti, le funzioni e le attività esercitati dal Centro Tecnico per la Rete
Unitaria della Pubblica Amministrazione (RUPA), comprese le risorse finanziarie e strumentali,
nonché quelle umane.

Secondo la norma, "il Centro è organo collegiale costituito dal presidente e da quattro membri,
scelti tra persone dotate di alta e riconosciuta competenza e professionalità e di indiscussa
moralità e indipendenza. Il presidente è nominato con decreto del presidente del Consiglio dei
Ministri, previa deliberazione del Consiglio dei Ministri. Entro quindici giorni dalla nomina del
presidente, su proposta di quest'ultimo, il Presidente del Consiglio dei Ministri nomina con
proprio decreto, previa deliberazione del Consiglio dei Ministri, gli altri quattro membri".

I suoi compiti istituzionali sono anch'essi definiti dalla legge:

        Dettare norme tecniche e criteri in tema di pianificazione, progettazione,
           realizzazione, gestione, mantenimento dei sistemi informativi automatizzati delle
           amministrazioni e delle loro interconnessioni, nonché della loro qualità e relativi
           aspetti organizzativi; dettare criteri tecnici riguardanti la sicurezza dei sistemi.
 Coordinare, attraverso la redazione di un piano triennale annualmente riveduto, i
   progetti e i principali interventi di sviluppo e gestione dei sistemi informativi
   automatizzati delle amministrazioni.
 Promuovere, d'intesa e con la partecipazione anche finanziaria delle amministrazioni
   interessate, progetti intersettoriali e di infrastruttura informatica e telematica previsti
   dal piano triennale e sovrintendere alla realizzazione dei medesimi anche quando
   coinvolgano apparati amministrativi non statali, mediante procedimenti fondati su
   intese da raggiungere tramite conferenze di servizi, ai sensi della normativa vigente.
 Verificare periodicamente, d'intesa con le amministrazioni interessate, i risultati
   conseguiti nelle singole amministrazioni, con particolare riguardo ai costi e benefici
   dei sistemi informativi automatizzati, anche mediante l'adozione di metriche di
   valutazione dell'efficacia, dell'efficienza e della qualità.
 Definire indirizzi e direttive per la predisposizione dei piani di formazione del
   personale in materia di sistemi informativi automatizzati e di programmi per il
   reclutamento di specialisti, nonché orientare i progetti generali di formazione del
   personale della pubblica amministrazione verso l'utilizzo di tecnologie informatiche,
   d'intesa con la Scuola superiore della pubblica amministrazione.
 Fornire consulenza al Presidente del Consiglio dei Ministri per la valutazione di
   progetti di legge in materia di sistemi informativi automatizzati.
 Nelle materie di propria competenza e per gli aspetti tecnico-operativi, curare i
   rapporti con gli organi delle Comunità europee e partecipare ad organismi comunitari
   ed internazionali, in base a designazione del Presidente del Consiglio dei Ministri.
 Proporre al Presidente del Consiglio dei Ministri l'adozione di raccomandazioni e di
   atti d'indirizzo alle regioni, agli enti locali e ai rispettivi enti strumentali o vigilati ed
   ai concessionari di pubblici servizi.
 Comporre e risolvere contrasti operativi tra le amministrazioni concernenti i sistemi
   informativi automatizzati.
 Esercitare ogni altra funzione utile ad ottenere il più razionale impiego dei sistemi
   informativi, anche al fine di eliminare duplicazioni e sovrapposizioni di realizzazioni
   informatiche.
Il valore legale della firma digitale in Italia

La firma digitale ha trovato l’impianto legislativo necessario per il proprio utilizzo con la
pubblicazione, in data 15 aprile 1999, delle regole tecniche costituite dal DPCM 8 febbraio 1999
(oggi sostituito dal DPCM 13 gennaio 2004).
In data 27 gennaio 2000 veniva incluso, nell’elenco pubblico dei certificatori, il primo soggetto
autorizzato a rilasciare dispositivi di firma digitale utilizzabili per poter sottoscrivere documenti
informatici con la medesima validità giuridica della firma autografa. Un richiamo ben preciso
all’articolo 2702 del codice civile ne sanciva, infatti, la validità giuridica, prevedendo appunto
che “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l'ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce
la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”
Quindi la firma digitale era giuridicamente valida, fatta salva la possibilità per il presunto
sottoscrittore di disconoscerne la paternità. In tale evenienza era la controparte, e non il
sottoscrittore, a doverne dimostrare la reale paternità.
Diversamente se una firma è “legalmente considerata come riconosciuta”, ed è il caso ad
esempio di una firma autenticata da un pubblico ufficiale, è il sottoscrittore che, per vederne nulli
gli effetti, deve intentare una querela di falso.
Con il recepimento della Direttiva europea sulle firme elettroniche 1999/93/CE le cose sono
cambiate.
Difatti, già il primo provvedimento legislativo, il DLGS 23 gennaio 2002, n.10, modificando
l’articolo 10 “ Forma ed efficacia del documento informatico” del DPR 28 dicembre 2000, n.445
dove era confluito il DPR 10 novembre 1997, n.513 – modificava, rafforzandolo, il valore
giuridico di una sottoscrizione effettuata con firma digitale. Detto articolo, al comma 3, prescrive
che “ Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di
firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata
mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a
querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto ”
Quindi, la sottoscrizione con firma digitale “forte” deve possedere le seguenti caratteristiche:
è una firma elettronica avanzata, è basata su un certificato qualificato, è generata per mezzo di un
dispositivo sicuro per la generazione delle firme.
Ad essa viene data la medesima validità giuridica di una firma autografa autenticata da un
pubblico ufficiale.
A tutte le altre possibili tipologie di firme elettroniche (firme “leggere”), cioè quelle cui mancano
uno o più delle tre caratteristiche indicate nel periodo precedente, viene esplicitamente conferito
valore probatorio.
In un procedimento legale tali firme elettroniche dovranno essere, di volta in volta, analizzate dal
giudice, che deciderà se ammetterle quali prove in giudizio.
Questa previsione, che è stata resa esplicita per recepire senza dubbio alcuno quanto prescritto
dalla Direttiva europea, era già presente nel nostro codice civile in quanto, lo stesso, prevede che
nessuna prova in giudizio possa essere ricusata a priori.


Firme “leggere” e firme “forti”
Anche se è utilizzato correntemente, all’interno della Direttiva non compare mai il concetto di
firma “leggera”, né quello di firma “forte”. Queste definizioni sono state introdotte dagli addetti
ai lavori per sopperire alla mancanza di una definizione esplicita di altre tipologie di firma.
Queste tipologie sono introdotte nell’articolo 5 della Direttiva. In particolare il primo comma di
questo articolo introduce la tipologia di firma più importante dal punto di vista legale perché
equivalente alla sottoscrizione autografa. Spesso ci si riferisce ad essa con il termine firma
“forte”.
La firma “forte” è anch’essa nei termini presentati, un principio giuridico, ma vediamo come può
essere realizzata praticamente.
Detta firma è una firma elettronica avanzata perché così si deduce dalla definizione. Essa
soddisfa specifiche caratteristiche derivanti dal certificatore. Questo è il soggetto che certifica le
chiavi mediante le quali la firma è stata generata. Inoltre, deve essere apposta con strumenti sicuri
come ad esempio una smart card.
Riassumendo: affinché la firma apposta possa essere considerata equivalente ad una firma
autografa deve essere basata su un sistema a chiavi asimmetriche e generata con chiavi certificate
con le modalità previste dalla Direttiva
Norme di riferimento
Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445
Direttiva europea 1999/93/CE sulle firme elettroniche
Decreto legislativo 23 gennaio 2002, n. 10
Decreto del Presidente della Repubblica 7 aprile 2003, n. 137
Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004
DELIBERAZIONE n 4 del 17 febbraio 2005 CINPA “Regole per il riconoscimento e la verifica
del documento informatico”. (G.U. 3 marzo 2005, n. 51)

Definizioni

Certificato qualificato: Insieme di informazioni che creano una stretta ed affidabile correlazione
fra una chiave pubblica e i dati che identificano il Titolare. Sono certificati elettronici conformi ai
requisiti di cui all'allegato I della direttiva n. 1999/93/CE, rilasciati da certificatori che
rispondono ai requisiti di cui all'allegato II della medesima direttiva.

Chiave privata: La chiave della coppia utilizzata nel processo di sottoscrizione di un documento
informatico.

Chiave pubblica: La chiave della coppia utilizzata da chiunque esegua la verifica di una firma
Digitale.

Dispositivo di firma: Insieme di dispositivi hardware e software che consentono di sottoscrivere
con firma digitale documenti informatici.

Documento informatico: E’ costituito da qualunque oggetto informatico (file) che contenga atti,
fatti o dati giuridicamente rilevanti.

Firma digitale: è un particolare tipo di firma elettronica qualificata basata su un sistema di
chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la
chiave privata e al destinatario tramite la chiave pubblica,rispettivamente, di rendere manifesta e
di verificare la provenienza e l’integrità di un documento informatico o di un insieme di
documenti informatici.

Firma elettronica L’insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica

SSCD Acronimo inglese (Secure Signature Creation Device) di “dispositivo sicuro per
la creazione della firma”. È un dispositivo che soddisfa particolari requisiti di sicurezza.
I più utilizzati sono costituiti da smartcard.

Titolare Il soggetto cui sono attribuite le firme digitali generate attraverso una
determinata chiave associata ad un determinato certificato

				
DOCUMENT INFO
Shared By:
Categories:
Stats:
views:42
posted:5/20/2010
language:Italian
pages:16