LA FIRMA DIGITALE E GLI ENTI CERTIFICATORI

La firma digitale, equivalente elettronico della firma autografa su carta, è associata

stabilmente al documento elettronico sulla quale è apposta e ne attesta con certezza
l’integrità, l’autenticità e la non ripudiabilità. La firma digitale si basa su un sistema di
codifica crittografica a chiavi asimmetriche e per essere generata è necessario un kit
(dispositivo + software). Il kit può essere una smart card, token USB o Business Key. Gli
enti certificatori, accertano l’identità del richiedente e con il dispositivo l’utente riceve un
codice segreto (PIN). Durante l’apposizione della firma il file viene “incapsulato” in una
“busta crittografica”. Il file firmato si può salvare in tre formati:

 pkcs#7 (p7m): in uso dal 1999 ed è quello che le Pubbliche Amministrazioni sono
obbligate ad accettare.
 PDF.
 XML.

Il file firmato digitalmente deve essere validato dall’ente certificatore prima dell’invio. Con
il certificato il destinatario ottiene la chiave pubblica sicura per verificare identità del
mittente e integrità del documento. L’ente certificatore (CA Certification Authority)
garantisce l’identità del proprietario del certificato firmandone le chiavi pubblica e privata
con la propria chiave privata: in questo modo ne rende impossibile per chiunque la
manomissione. I dati contenuti nel certificato sono i seguenti:

 dati del proprietario (nome, cognome, data di nascita e la chiave pubblica);

 dati del certificato (la data di scadenza e il numero di serie del certificato);
 dati della Certification Authority (la ragione sociale del certificatore, il codice
identificativo del titolare presso il certificatore e la firma digitale).

Le pratiche relative all’identificazione dell’utente prima della emissione del certificato

vengono fatte dalla Registration Authority che svolge le necessarie indagini e attiva le
relative procedure per l’identificazione certa del richiedente.

L’algoritmo di apposizione della firma digitale prevede la creazione di un’impronta

(message digest) attraverso la funzione di hash. Una funzione di hash (one way hash)
trasforma un testo normale di lunghezza arbitraria in una stringa di lunghezza 128 o 160
bit, che “sintetizza” il messaggio in una sua impronta digitale unica:

 è sempre facile calcolare il valore di hash di un messaggio;

  è impossibile risalire al messaggio partendo da un dato valore di hash;
 è poco probabile che due messaggi diversi abbiano la stessa sintesi (collisione
hash).

Il message digest consiste quindi in una stringa di bit ricavata dal messaggio attraverso
un procedimento semplice ma non invertibile. Le funzioni Hash più note sono MD5 e SHA:
MD5 è uno standard per Internet, è più insicuro ma veloce, mentre SHA è uno standard
governativo USA, molto più sicuro ma lento.

PGP (Pretty Good Privacy) è uno dei più celebri software per la crittografia a chiave
pubblica utilizzato soprattutto per codificare le email. Unisce crittografia asimmetrica (RSA)
e crittografia simmetrica (IDEA): si utilizza RSA per la codifica/decodifica e trasmissione
della chiave simmetrica utilizzata per cifrare il messaggio vero e proprio e IDEA per cifrare
il messaggio.

1. Il mittente genera una chiave;

2. si procura la chiave pubblica RSA del destinatario;
3. utilizza la chiave pubblica per codificare la chiave simmetrica IDEA;
4. cifra il messaggio attraverso l’uso dell’algoritmo simmetrico IDEA.
5. il destinatario usa la sua chiave privata RSA per decifrare la chiave IDEA;
6. usa questa chiave IDEA per decifrare il messaggio vero e proprio.