La firma digitale


Che cos'è la firma digitale? 

Diciamo subito che la firma digitale è l'equivalente informatico della firma autografa e ne ha il medesimo valore legale con in più il vantaggio della totale sicurezza.La firma digitale è una tecnologia di tipo digitale che si realizza attraverso un mezzo informatico come un computer che consente di attribuire integrità, riservatezza e paternità ai documento elettronici prodotti appunto da strumenti informatici.

Nel nostro sistema giuridico, la firma digitale viene definita per la prima volta nel D.P.R. 10 novembre 1997 n° 513, che disciplina "la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici". Lo stesso D.P.R. fa esplicito riferimento a sistemi di chiavi asimmetriche a coppia per la generazione e la verifica della firma digitale.

Le regole tecniche per la "formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici sono descritte nel D.P.C.M. 8 febbraio 1999, che stabilisce tra l'altro quali algoritmi possono essere utilizzati per la generazione e le verifiche delle firme digitali. Lo stesso D.P.C.M. definisce l'impronta, ne disciplina l'uso e i fini della generazione della firma digitale e stabilisce quali algoritmi possono essere utilizzati, dato un documento, per ricavarne l'impronta.

Quando si pensa al futuro, non ci sono dubbi, è necessario mettersi nella prospettiva che la nostra vita sarà molto diversa da quella attuale, almeno per quanto riguarda il rapporto con le varie autorità amministrative e fiscali. Infatti, si va facendo strada sempre di più, l'esigenza di utilizzare dei processi informatici e telematici apparentemente complessi ma infinitamente più efficaci e sicuri di quelli attuali nelle dichiarazioni che il cittadino è costretto a inviare alle autorità competenti. Uno di questi è la cosiddetta "firma digitale". 

Esiste un sito web molto importante, gestito dall'autorità per l'informatica della pubblica amministrazione, chiamato AIPA. Ecco l'indirizzo internet nel quale si possono reperire tutte le più importanti notizie pubblicate in forma ufficiale:

http://www.aipa.it/servizi[3/normativa[4/leggi[1/ 

A un documento informatico può essere apposta una firma particolare chiamata "firma digitale". La firma digitale, basata sulla crittografia,  si è ormai affermata come principale strumento in grado di assicurare l'integrità e la provenienza sicura dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa.

Premesso che ai fini giuridici l'apposizione della firma digitale a un documento equivale alla sottoscrizione prevista per gli atti e i documenti in forma scritta su supporto cartaceo diciamo che la firma digitale è una operazione prevista dalla legge italiana, riconosciuta dal codice civile e perfettamente valida e legittima da tutti i punti di vista.

L'art. 2703 del codice civile riconosce la firma digitale la cui apposizione è autenticata da un notaio o da altro pubblico ufficiale autorizzato.

Funzionamento della firma digitale

Si vuole chiarire ora quali siano le caratteristiche del processo di validazione che viene definito come "il sistema informatico e crittografico in grado di generare e apporre la firma o di verificarne la validità".

I meccanismi di funzionamento della firma digitale, così come prescritta dal nostro ordinamento, poggiano essenzialmente sugli algoritmi crittografici a chiavi pubbliche, detti anche a chiavi asimmetriche poiché utilizzano chiavi diverse per le operazioni di cifratura e decifratura. Le basi di questo sistema sono state poste nel 1976 da due studiosi, Whitfield Diffie e Martin E. Hellan, che elaborarono un protocollo per lo scambio di una chiave segreta sopra un canale pubblico.

La chiave è un nome o una sigla che, una volta digitata ci permette di attivare un complicato algoritmo che andrà a criptare il testo che si vuole rendere illeggibile. Vengono utilizzate due chiavi diverse. Una di queste due chiavi è destinata ad essere resa pubblica con i più diversi mezzi fra i quali anche l'inclusione in database consultabili on-line (key repositories), mentre l'altra deve essere nota solo al titolare.

Qualora si intenda spedire a qualcuno un messaggio cifrato verrà applicata la chiave pubblica del destinatario all'intero messaggio. Il ricevente sarà in grado di leggere il messaggio solo dopo averlo decifrato apponendovi la propria chiave privata.

Quando invece si vuole apporre una firma digitale ad un messaggio, il mittente utilizza invece la propria chiave privata, che non deve essere necessariamente applicata a tutto il testo.

Nel caso di documenti lunghi la cifratura a chiave pubblica può infatti diventare molto lenta e risulta quindi più comodo applicare la chiave ad una parte del documento.

A tale fine viene usata una particolare funzione, chiamata funzione hash inclusa nel software della firma digitale, che comprime il testo in una sorta di "riassunto", che viene anche definito "impronta digitale". La dimensione del riassunto è fissa e molto più piccola di quella del messaggio originale, pertanto la generazione della firma risulta molto più rapida.

Devono essere inoltre rilevabili attraverso la firma digitale gli elementi identificativi del soggetto titolare della firma, del soggetto che la ha certificata e del registro sul quale essa è stata pubblicata (art. 10, comma 7, DPR).

La verifica della firma digitale verrà poi fatta dal destinatario applicando la medesima funzione hash usata nella fase di sottoscrizione in modo da ottenere il valore dell’impronta. Tale valore verrà poi confrontato con quello che si ottiene decodificando la firma digitale stessa applicandovi la chiave pubblica del mittente.

Privati e Pubbliche Amministrazioni [http://www.comune.bologna.it/firma_digitale/guida/index.html ]possono preparare atti, documenti e contratti[ http://www.comune.bologna.it/bologna/firma_digitale/ ] mediante strumenti informatici e telematici, che hanno ora piena rilevanza e validità ad ogni effetto di legge. Il legislatore, infatti, prima con l'art. 15, comma 2, della legge n. 59/1997 (la cosiddetta legge "Bassanini"), poi con il suo regolamento di attuazione (D.P.R. 10 novembre 1997, n. 513) e le specifiche tecniche ministeriali (D.P.C.M. 8 febbraio 1999), infine, a livello europeo, con la Direttiva 31/2000/Ce ha riconosciuto valido l'uso delle tecnologie informatiche per formare, archiviare o trasmettere documenti.

La firma digitale, in sè, è un'idea abbastanza semplice. Per produrla si realizzano una chiave pubblica, che resta negli archivi della società certificatrice e una privata, che viene invece consegnata all'utente dentro una smart card (come il bancomat). Quando l'utente tramite un lettore di smart card (che è necessario acquistare) inserisce la propria chiave privata per un acquisto o per avallare un'operazione, la banca o chi per essa provvede a unire le due chiavi, la pubblica e la privata: se si incastrano l'una con l'altra, l'utente on-line viene identificato con certezza.

I Certificatori

Il certificatore è "il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica , lo pubblica unitamente a quest'ultima, pubblica e aggiorna gli elenchi dei certificati sospesi e revocati" (art. 1 del D. P. R.).

L'attività di certificazione deve essere effettuata da certificatori inclusi. Solo nel caso di chiavi pubbliche relative alle pubbliche amministrazioni, la generazione, conservazione e certificazione di tali chiavi compete direttamente alle amministrazioni stesse (art. 17, comma primo del D. P. R.).

I certificatori sono tenuti a dichiarare preventivamente l'inizio l'attività in un apposito elenco pubblico consultabile in via telematica, predisposto e mantenuto aggiornato dall'AIPA (Autorità per l'informatica nella pubblica amministrazione).

L'art. 8, comma 3 del D. P. R. stabilisce poi i requisiti di cui devono essere dotati i certificatori per esercitare l'attività:

Lo stesso articolo al quarto comma ammette che l'attività di certificazione possa essere svolta anche da un certificatore che abbia ottenuto la licenza o l'autorizzazione da un altro Stato membro dell'Unione europea o dello Spazio economico europeo sulla base di requisiti equivalenti.

Valore della sottoscrizione con firma digitale

Con il nuovo D. P. R. viene dato valore di sottoscrizione alla firma digitale apposta in conformità alle disposizioni di legge.

Sul piano giuridico divengono quindi equivalenti le sottoscrizioni eseguite con la firma tradizionale e quelle eseguite mediante firma digitale. Ci chiediamo quindi come vengono rispettate dalla firma digitale le tre funzioni tipicamente attribuite dalla dottrina alla sottoscrizione.

Tali funzioni sono individuate in: funzione indicativa, funzione dichiarativa, funzione probatoria.

Oggi esistono già dei certificatori, uno di questi è il PGP signing party organizzato dal CERT-IT dell'Università statale di Milano. E' necessario però sottolineare che, affinché la certificazione sia valida, è necessario che il certificatore presenti i requisiti richiesti dalla legge e venga quindi inserito nell'elenco ufficiale predisposto dall'AIPA. Qualunque firma digitale apposta mediante chiave non certificata presso un certificatore ufficiale si ha per non apposta secondo il nostro ordinamento. Sarà quindi cura del destinatario verificare che il certificatore del mittente sia presente nell'elenco ufficiale al fine di scongiurare una facile truffa a suoi danni. 

Funzione indicativa

La funzione indicativa della sottoscrizione risiede nella possibilità di identificare la persona che si è resa autore del documento apponendovi la firma.

Per svolgere la funzione indicativa, la firma digitale deve basarsi su un sistema di cifratura a chiavi asimmetriche delle quali una deve essere resa pubblica e l'altra strettamente personale. La chiave pubblica deve inoltre essere certificata da un ente certificatore.

Nel D. P. R.sono state dettate condizioni tassative relative ai requisiti per diventare certificatori e agli obblighi di chi eserciterà tale professione. Poste tali condizioni è possibile quindi pensare a certificatori seri, affidabili e quindi in grado di fornire con certezza l'identità di una persona.

L'operazione più delicata per il certificatore rimarrà quella di "identificare con certezza la persona che fa richiesta della certificazione perché tale identificazione sarà poi valida per tutte le firme che verranno apposte relativamente a quel certificato. 

Funzione dichiarativa

La funzione dichiarativa della sottoscrizione si sostanzia nell'approvazione del contenuto del documento sottoscritto e nell'assunzione della paternità delle dichiarazioni in esso contenute.

La sottoscrizione tradizionale sul documento cartaceo svolge questa funzione perché si presume che, apponendo una firma in calce ad una dichiarazione, non siano praticabili delle aggiunte in epoca posteriore e le eventuali cancellature o modifiche siano riconoscibili, in quanto il supporto utilizzato (la carta) si considera indelebile.

Così come prescritta dal D. P. R. la firma digitale è strutturata in modo tale che l'integrità di una dichiarazione in tal modo sottoscritta risulti rafforzata. Viene, infatti, prescritto l'uso di un sistema di chiavi asimmetriche a coppia nel quale non è possibile modificare neanche un solo bit del documento dopo che vi è stata apposta la chiave di cifratura.

Questa rafforzata integrità del documento si riflette anche in una maggiore certezza della funzione dichiarativa.

Funzione probatoria

La sottoscrizione fa piena prova che il soggetto che è stato riconosciuto come colui che ha apposto la firma ad un documento si assume la paternità delle dichiarazioni in esso contenute.

Essendo questa una funzione che si ottiene con l'unione della funzione indicativa e di quella dichiarativa, essa è soddisfatta qualora nel sottoscrivere un documento si utilizzi la firma digitale in modo conforme a quanto prescritto dal nostro ordinamento.

In queste condizioni i documenti elettronici sono utilizzati come se fossero documenti cartacei a tutti gli effetti con una firma autografa scritta con la penna. Ma sia chiaro che la firma digitale non è un segno, magari colorato, come quello che si mette su una ricevuta postale!

La firma digitale non costa molto: appena qualche euro.

La normativa inerente alla firma digitale si può trovare al link dell'A.I.P.A. che è l'Autorità per l'Informatica nella Pubblica Amministrazione : http://www.aipa.it

Le norme sulla firma digitale

Sono elencate nella seguente tabella.

Circolare n. 27 del 16 Febbraio 2001 Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni.
Deliberazione n.51 del 23 Novembre 2000 Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dell’art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
Circ. n. 26 del 13 Luglio 2000 Art. 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: elenco delle Società individuate dall’Autorità per l’informatica nella Pubblica Amministrazione, alla data del 6 luglio 2000, ai fini dell’attività di certificazione.
Circ. n. 24 del 19 Giugno 2000 (G.U. 30 giugno 2000, Serie generale n. 151) Art. 16, comma 1, dell’allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale del 15 aprile 1999, serie generale, n. 87 – Linee guida per l'interoperabilità tra i certificatori iscritti nell’elenco pubblico di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
Circ. n. 22 del 26 Luglio 1999 (G.U. 2 agosto 1999, serie generale n.179) Art. 16, comma 1, dell’allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale del 15 aprile 1999, serie generale, n. 87 – Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
D.C.M. 8 Febbraio 1999 (G.U. n.87 del 15 Aprile 1999) Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
DPR 10 Novembre 1997, n.513 (G.U. n.60 del 13 Marzo 1998) Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59.
Legge 15 marzo 1997 n.59 (Suppl. ord. n.56 alla G.U. n. 63 del 17 Marzo Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa.
Come si usa la Firma digitale

Ecco un semplice esempio di come si usa la firma digitale nello scambio di documenti tra due utenti del servizio o tra un utente e un Pubblico Ufficiale  come un Notaio:

Aspetti teorici

  1. Il mittente A scrive (adoperando un comune editor di testo) un documento per un destinatario B.
  2. Il mittente A, per essere sicuro che il documento non venga manipolato durante la spedizione,  codifica il documento con un algoritmo di hashing, che dà come risultato un piccolo numero di caratteri (digest).
  3. A questo punto il mittente A cifra questo risultato con la propria chiave privata (nota soltanto a lui), firmando, di fatto, il messaggio.
  4. Affinché solo il destinatario B possa leggere il contenuto di tale messaggio, il mittente A lo codifica ulteriormente usando la chiave di sessione (ovvero con un algoritmo simmetrico)
  5. Il mittente A spedisce il messaggio così ottenuto tramite un normale sistema di posta elettronica.
  6. Il destinatario B riceve il messaggio con il suo normale client di posta elettronica. Ciò gli consente di visualizzare il contenuto del messaggio.
  7. Per essere sicuro che il mittente sia effettivamente A, il destinatario B decritta il documento con la chiave pubblica di A.
  8. In questo modo in destinatario B è anche certo che il messaggio non sia stato alterato durante il suo ‘viaggio’, e per verificare ciò ‘ricalcola’, sempre automaticamente, il contenuto dello stesso con l’algoritmo di hashing di cui al punto 2. Se il risultato di tale operazione è lo stesso spedito dal mittente  A, il destinatario B può essere sicuro dell’integrità del documento che ha ricevuto.

N.B. La validità del servizio di Firma Digitale è garantita dalla presenza di un Ente Certificatore (il Comune ), che assicura la corrispondenza tra chiave pubblica e identità anagrafica degli utenti, attraverso dei Certificati Elettronici.

 

Firme digitali

La firma digitale di un documento è il risultato dell'applicazione di una funzione matematica di tipo hash al documento stesso. 

Per essere utile, però, la funzione hash deve soddisfare a due importanti proprietà:

  • In primo luogo, deve essere difficile trovare due documenti che possiedono lo stessa valore di hash. 

  • In secondo luogo, dato un valore di hash deve essere difficile recuperare il documento che ha prodotto quel valore. 

Alcuni algoritmi a chiave pubblica possono venire usati per firmare documenti da criptare. Colui che firma, cripta il documento con la propria chiave privata. Chiunque voglia controllare la firma e vedere il documento usa semplicemente la chiave pubblica del firmatario per decifrare il documento. Questo algoritmo effettivamente soddisfa alle due proprietà richieste da una buona funzione hash, ma, in pratica, è troppo lento per risultare utilizzabile. 

Un'alternativa consiste nell'utilizzare funzioni di hash pensate specificamente per soddisfare a queste due importanti proprietà. SHA e MD5 sono due esempi di tali algoritmi. 

Utilizzando un algoritmo di questi, un documento viene firmato applicando la funzione di hash ed il valore restituito rappresenta la firma. Un'altra persona può controllare la firma applicando la stessa funzione di hash alla propria copia del documento e confrontando il valore di hash ottenuto con quello del documento originale. Se coincidono, può essere praticamente certo che i documenti sono identici. 

Ovviamente ora il problema consiste nell'usare una funzione di hash per firme digitali senza permettere ad un malintenzionato di interferire con il controllo della firma. Se documento e firma sono spediti in chiaro, un malintenzionato potrebbe infatti modificare il documento e generare la corrispondente firma senza che il destinatario ne venga a conoscenza.   Con il nostro algoritmo, infatti, solo la chiave di sessione per l'algoritmo simmetrico viene criptata usando la chiave privata del firmatario. Chiunque è in grado di usare la chiave pubblica per recuperare la chiave di sessione. Perciò sarebbe banale per un malintenzionato recuperare tale chiave di sessione e usarla per criptare documenti modificati e firme da spedire ad altri in nome del mittente. 

Un algoritmo valido è quello che usa un algoritmo a chiave pubblica per cifrare solo la firma. In particolare, il valore di hash viene criptato usando la chiave privata del firmatario permettendo a chiunque di controllare la firma usando la corrispondente chiave pubblica. Il documento firmato può essere spedito usando qualsiasi altro algoritmo di cifratura, compreso nessuno se si tratta di un documento pubblico. Se il documento venisse modificato, il controllo della firma fallirebbe, ma ciò è quello a cui serve il controllo della firma. Il Digital Signature Standard (DSA) è un algoritmo per la firma a chiave pubblica che funziona come appena descritto. 

Aspetti operativi

Chi intende utilizzare lo strumento software+hardware per firmare digitalmente un documento deve dotarsi dei seguenti elementi:

  1. una smart card

  2. una periferica hardware che permetta con una connessione la lettura della smart card la quale contiene la firma privata dell'utente

  3. il software di firma e di verifica

 

Come si firma? Ecco una serie di azioni standard per firmare un documento:
  1. il programma software presenta due schede. Una per la formazione di un documento digitale e l'altra per la verifica di un documento ricevuto.
  2. per firmare un documento sarà sufficiente selezionare il certificato che si vuole utilizzare che in genere sarà uno solo residente nella smart card.
  3. il sistema richiederà a questo punto all'utente di digitare un codice pin.
  4. una volta digitato il codice pin il documento verrà firmato. In realtà il file originario verrà lasciato tale e quale come era mentre verrà creato un nuovo file  (avente una estensione diversa da .doc o .txt) che è il documento originario più la firma di colui che l'ha apposta sullo stesso documento.

Lavoro eseguito da:

1.     Altarocca Francesco

2.     Astri Francesco

3.     Boschi Davide

4.     Camponeschi Andrea

5.     Giovannelli Luca

6.     Marogna Edoardo

7.     Montemaggiori Andrea

8.     Perna Massimo


Torna alla Home Page