Glossario
Firma digitale
La firma digitale può essere definita l'equivalente elettronico di una tradizionale firma apposta su carta, assumendone lo stesso valore legale. E' associata stabilmente al documento informatico e lo arricchisce di informazioni che attestano con certezza l'integrità, l'autenticità e la non ripudiabilità dello stesso.
L'elemento di rilievo del sistema firma è rappresentato dal certificato digitale di sottoscrizione rilasciato al titolare di un dispositivo di firma. Il certificato di sottoscrizione è un file generato seguendo precise indicazioni e standard stabiliti per legge (al suo interno sono conservate informazioni che riguardano l'identità del titolare, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso oltre ai dati dell'Ente Certificatore).
Il certificato digitale di un titolare, una volta entrato a far parte dell'elenco pubblico dei certificati tenuto dall'Ente Certificatore, garantisce la corrispondenza tra la chiave pubblica e l'identità del titolare.
(Dal sito di Infocert) La firma digitale è l'equivalente informatico di una tradizionale firma apposta su carta.
La sua funzione è quella di attestare la validità, la veridicità e la paternità di un documento, come una lettera, un atto, un messaggio o, in generale, qualunque file di dati (testo, immagini, musica, ecc.). Come tale, non va confusa con altri oggetti omofoni definiti genericamente "elettronici", come ad esempio la firma autografa scannerizzata e conservata come immagine. La firma digitale è infatti il risultato di una procedura informatica basata su un sistema di codifica crittografica a chiavi asimmetriche (una pubblica e una privata), che consente:
- la sottoscrizione di un documento informatico;
- la verifica, da parte dei destinatari, dell'identità del soggetto firmatario;
- la sicurezza della provenienza del documento;
- la certezza che l'informazione contenuta nel documento non sia stata alterata.
PKI (Public Key Infrastructure)
Una infrastruttura PKI è strutturata gerarchicamente da più CA al cui vertice si trova una CA root che certifica le sub-CA.
Il primo passo per costruire una infrastruttura PKI é creare la CA radice dell'albero, ossia la CA root. Se la CA di root è la radice dell'albero chi le firma il certificato? La risposta è molto semplice: nessuno. LA CA si auto firma il suo certificato. In pratica vengono create le chiavi pubblica e privata, crea la richiesta di rilascio di un certificato e la firma con la sua chiave privata. Da qui si evince la necessità della buona reputazione di una CA: in pratica non c'è nessuna autorità garante dal punto di vista architetturale sopra la CA di root; è necessario quindi passare a forme di garanzia giuridiche.
Gli elementi di una PKI sono:
* Policy di sicurezza che stabilisce i principi su cui si basa l'organizzazione e fornisce informazioni sui livelli di sicurezza che si intende raggiungere.
* Un CPS (Certificate Practice Statement) e' un documento contenente le operazioni procedurali che permettono di raggiungere la sicurezza referenziata nella policy. Tali documenti contengono le procedure applicate per l'emissione di certificati e per la revoca, spiegano come vengono emesse le chiavi, come vengono registrati i certificati, dove vengono archiviati e come vengono resi noti all'utente.
* Un sistema di CA.
* Un sistema di RA
CA (Certification Authority)
Struttura/Ente abilitato a rilasciare un certificato digitale tramite procedura di certificazione.
La validita' dei certificati a chiave pubblica risiede sostanzialmente nella fiducia che la comunita' ripone nell'ente che emette i certificati stessi. Le CA sono organizzazioni che, verificata l'identita' del richiedente emettono il certificato seguendo standard internazionali e conforme alla normativa europea e nazionale in materia. Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa pubblica all'interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare (chiave privata). Una coppia di chiavi può essere attribuita ad un solo titolare.. Viene cosi' autenticata l'associazione utente-chiave pubblica. La CA si preoccupa inoltre di mantenere un archivio delle chiavi pubbliche che sia sicuro, disponibile a tutti e sopratutto protetto da attacchi in scrittura e lettura. Per provare che il certificato e' stato emesso proprio da quella determinata CA essa incorpora la sua firma sul certificato stesso (analogamente al timbro del Comune sulla Carta di identita'). Tale firma e' calcolata criptando il digest del certificato con la chiave privata della CA.
I compiti della CA sono:
- Identificare con certezza la persona che fa richiesta della certificazione della chiave pubblica;
- Rilasciare e rendere pubblico il certificato (firmato con la propria chiave privata);
- Mantenere il registro delle chiavi pubbliche;
- Procedere alla revoca o alla sospensione dei certificati in caso di richeista dell'interessato o in caso di abusi, falsificazioni, ecc - mantenere aggiornata la lista (pubblica) dei certificati sospesi o revocati;
-Rispondere (per via telematica) alle richieste di invio dei certificati.
Le CA possono avere una struttura gerarchica in cui vi e' una sola root CA oppure le CA possono aver fiducia tra loro.
RA (Registration Authority)
Una Registration Authority (RA) è una persona di fiducia della CA, che ha il compito di fare da tramite tra le richieste degli utenti e la CA stessa.
La RA costituisce il contatto diretto tra la CA e l'entita' che richiede il certificato.
La RA si occupa di verificare l'identita' del soggetto richiedente tramite l'identificazione fisica associata ad un documento oppure tramite altri criteri di controllo. Dopo aver ricevuto una richiesta dalla RA (percio' valida) la CA genera il certificato e lo firma con la sua chiave privata. La CA ora inviera' il certificato al richiedente o alla RA.
Certificate Policy e CPS (Certificate Policy Statement)
La Certificate Policy definisce le modalità e le politiche operative di un'Autorità di Certificazione e viene pubblicata nella forma di CPS (Certificate Policy Statement). La Certificate Policy costituisce il vero cuore di una CA, perché in base ad essa gli utenti decidono se considerare affidabili o meno i certificati rilasciati dall'Autorità
Certificati digitali a chiave pubblica
La sicurezza dei sistemi a chiave pubblica e' basata sulla segretezza della chiave privata; è indispensabile che il destinatario conosca la chiave pubblica associata. Un certificato a chiave pubblica stabilisce un legame tra la chiave pubblica e l'identita' della persona tramite alcuni attributi in suo possesso. Tale certificato assicura che la chiave pubblica in questione appartiene proprio a quella entita' e che tale entita' possiede la corrispondente chiave privata. I certificati sono emessi secondo standard internazionali X.509.
L'uso della crittografia a chiave pubblica per mezzo di certificati digitali X.509 consente di migliorare la sicurezza delle comunicazioni telematiche, intesa come confidenzialità, garanzia di integrità e identificazione degli interlocutori (persone o macchine).
Tale tecnologia è richiesta da protocolli affermati, come SSL per le connessioni di rete, S/MIME per la posta elettronica, ed è prevista per la firma digitale, la CIE (Carta d'Identità elettronica) e la carta nazionale dei servizi.
Fra le possibili applicazioni:
* transazioni HTTP con siti web con identificazone del server e, eventualmente, del client e trasmissione dei dati in forma criptata
* firma elettronica dei messaggi e-mail con possibilità di garantire autenticità dell'intelocutore, la riservatezza e l'integrità del contenuto.
Per il rilascio e la gestione di certificati X.509 è necessario disporre di una CA (Certification Authority) e di una Certificate Policy (CP).
CRL (Certificate Revocation List)
Durante tutto il periodo di validita' di un certificato la CA che lo ha emesso fornisce informazioni riguardanti il suo stato. Vi sono vari motivi per i quali una CA puo' revocare un certificato cioe' interrompere prematuramente la sua validita'. La CRL contiene data e ora di pubblicazione, nome della CA che l'ha emessa, numero seriale di tutti i certificati revocati non ancora scaduti (expired). Ogni volta che viene richiesto un certificato deve essere controllato che il suo numero seriale non sia nella CRL.
CARTA NAZIONALE DEI SERVIZI (CNS)
La Carta Nazionale dei Servizi o CNS è un dispositivo informatico (nel caso di Unimore, una smartcard) che consente l'identificazione certa dell'utente in rete e permette di accedere come cittadino ai siti web delle pubbliche amministrazioni (ASL, Agenzia delle Entrate, ...).
Il certificato digitale CNS è l'equivalente elettronico di un documento d'identità (come il passaporto o la carta d'identità) e identifica in maniera digitale una persona fisica o un'entità. Viene emesso da un'apposita Autorità di certificazione (Certification Authority - CA) riconosciuta secondo standard internazionali, la quale garantisce la validità delle informazioni riportate nel certificato. Come i documenti cartacei, anche il certificato digitale ha una validità temporale (3 anni) al di fuori della quale risulterà scaduto.
CERTIFICATO DI FIRMA DIGITALE REMOTA
La firma remota ottimizza le funzionalità del servizio di Firma Digitale, rendendo l'utilizzatore completamente libero da qualsiasi vincolo legato all'installazione di hardware. Il certificato utente per la firma digitale risiede su un server remoto sicuro (basato su un HSM - Hardware Security Module) nel quale viene conservata la chiave privata insieme al certificato di firma. La firma avviene mediante accesso al server remoto con username, password e codice OTP.