Firma digitale: perché è così sicura?

In Italia, la firma digitale tutela il valore probatorio dei documenti. È uno strumento che si sta diffondendo sempre più: ma voi sapete perché è così sicura?

Una coppia di chiavi

Due ricercatori, Diffie ed Hellman, nel 1976 ebbero un’idea sulla crittografia “a chiave pubblica”. Nel 1977, altri tre ricercatori trovarono il modo per riuscire ad applicare questa idea.

I due ricercatori avevano pensato all’associazione di ogni soggetto ad una coppia di chiavi, una privata e una pubblica. La chiave pubblica doveva essere diffusa il più possibile, mentre quella privata doveva essere custodita gelosamente.

Le due chiavi dovevano essere collegate da una relazione matematica: ovvero, se si cifra con una, si decifra con l’altra.

La relazione matematica tra Alice e Bob

Descriviamo questa relazione matematica con un esempio: Alice vuole mandare un messaggio M a Bob, che dovrà essere certo che chi invia il messaggio è proprio Alice. Se con F intendiamo la cifratura del messaggio M inviato a Bob, quest’ultimo riceverà la coppia M’, F’, che coincide con quella inviata.

Bob può verificare se il messaggio arriva dalla vera Alice: potrà decifrare F’ attraverso la chiave pubblica di Alice. In questo modo troverà M’.

La funzione di hashing

Tuttavia, l’idea della relazione matematica tra Alice e Bob non era ancora perfetta. Quindi, si è deciso di introdurre la funzione di hashing.

Una funzione di hashing (o funzione hash) trasforma un documento nella sua impronta, che in questo caso corrisponde ad una sequenza binaria. Se si modifica un documento, avviene una modifica radicale nell’impronta.

Spieghiamo meglio: parliamo di un concentrato di dati, che ha una lunghezza fissa e viene utilizzato per rappresentare parole, dati e messaggi di qualsiasi lunghezza.

Facciamo un esempio pratico: un hacker accede ad un database ed identifica il messaggio “ID Carta di Mario 1234”. È un gioco da ragazzi raccogliere dati e utilizzarlo per sottrarre informazioni. A meno che quel messaggio non sia stato rielaborato con la funzione di hash: l’hacker troverà un codice del tipo “7e07dfgkh3489349bd3923897”. Un’informazione inutile, senza una chiave in grado di decifrarla!

Alla larga dagli impostori

La crittografia a chiave pubblica ha fornito molte soluzioni, anche se ha continuato a soffrire di un problema fondamentale: come possiamo essere sicuri che la chiave pubblica di Alice appartenga veramente ad Alice? Come essere sicuri che dietro non ci sia qualche impostore?

Una possibile soluzione consiste nei certificati digitali, ovvero documenti digitali che sono stati emessi da un’autorità di certificazione. Questi documenti stabiliscono l’associazione tra il soggetto e la chiave pubblica.

Un’autorità di certificazione è un’organizzazione che ha il compito di certificare le chiavi pubbliche. In Italia esiste una lista di autorità di certificazione ufficialmente riconosciute da AgID. Di queste autorità, AgID rende disponibile anche la chiave pubblica.

Compromissione o perdita della chiave privata

Esistono anche circostanze che provocano la revoca delle chiavi. Le chiavi, infatti, non hanno soltanto una scadenza naturale, ma vengono revocate per alcuni motivi specifici, come la compromissione o la perdita della chiave privata.

Per accertare la non revoca di una chiave ci sono due metodi principali, come le CRL (Certificate Revocation Lists) e il protocollo OCSP (Online Certificate Status Protocol). Le prime corrispondono a documenti digitali che vengono emessi periodicamente dall’autorità e che vengono firmati digitalmente dalla stessa.

Il protocollo OCSP, invece, consente di verificare le informazioni in maniera puntuale e istantanea, con una URL contenuta nel certificato che si deve verificare. Questa risorsa non è sempre disponibile, soprattutto nei certificati che sono stati redatti secondo vecchi standard.

Confrontiamo le due impronte

La firma digitale deve essere verificata. AgID ci aiuta, in questo senso, fornendoci una lista di software che consentono di fare la verifica. Sono software commerciali che richiedono l’acquisto del servizio, ma permettono di svolgere l’attività di verifica gratuitamente.

La verifica della firma va fatta precisando che si vuole il controllo del certificato e della non-revoca. Se la verifica non è stata completata con successo, il file sembrerà firmato ma non sapremo mai se la firma è valida o meno.

La verifica consiste nel confrontare due impronte. M, F è la coppia inviata e M’, F’ è quella ricevuta – se corrispondono, tutto va bene! La firma potrà essere accettata e il documento sarà valido. Se l’esito è negativo, invece, la firma non sarà accettata e la validità legale compromessa.

Il tempo è un parametro critico

Alice può firmare oggi e avere la scadenza delle chiavi domani. Se effettuiamo la verifica della firma dopodomani, la domanda sarà: le chiavi erano valide al momento della firma?

Una firma resta valida per sempre, anche oltre la scadenza delle chiavi. Tuttavia, il tempo è un parametro critico. Una firma digitale apposta con un dispositivo indicherà la data del dispositivo, non quella precisa! In questo caso interviene la marcatura temporale, che indica la data e l’ora precisa in cui si appone la firma.

Ti serve una marcatura temporale? Niente paura, Servicematica è qui per te! Dai un’occhiata ai nostri prodotti cliccando qui 🙂

——————————–

LEGGI ANCHE:

Pos obbligatorio: soldi regalati alle banche?

Gli errori da non fare per evitare di perdere clienti importanti

TORNA ALLE NOTIZIE

Iscriviti alla nostra newsletter!

Iscrivendoti al servizio di Newsletter riceverai notizie riguardanti il settore telematico, corsi formativi e le ultime novità riguardanti il tuo lavoro.

Argomenti delle Notizie

Seleziona l'argomento che più ti interessa e leggi le notizie.

Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Cisco
Apple
vmvare
Linux
veeam