Oggi parlermo della firma digitale, uno strumento che permette ai cittadini, ai professionisti ed alle imprese di firmare dei documenti facendoli diventare documenti con valore legale
Il risultato di un procedimento informatico che si basa sui concetti di:
– autenticità , per assicurare e garantire chi è che ha firmato il documento si è assunto anche la responsabilità del suo contenuto,
– integrità , condizione che serve a dimostrare dal momento in cui è stato firmato fino al momento in cui è utilizzato esso non è mai stato modificato,
– non ripudio in quanto chi ha firmato il documento mediante la firma elettronica non può poi disconoscerlo.
Per ottenere questo risultato la firma elettronica si basa sull’utilizzo di strumenti crittografici. Quindi nel sistema della firma digitale ciascun titolare ha assegnate una coppia di chiavi (due numeri binari di lunghezza pari, allo stato dell’arte, almeno a 2048 bit).
L’assegnazione è a carico di un soggetto istituzionalmente qualificato (il certificatore) – in Italia dall’Agenzia per l’Italia Digitale – che emette a favore del titolare un certificato digitale che associa il numero binario di 2048 bit alla sua identità . Questo identifica in modo certo il richiedente le credenziali di sottoscrizione.
Contemporaneamente a questa chiave, detta pubblica perché nota a tutti gli interessati, viene generata un’altra chiave di pari lunghezza che è privata ed a controllo esclusivo del titolare. La chiave è installata in un ambiente sicuro (nella smart card il microchip) e può essere utilizzata solamente tramite una password di sblocco che è nota come PIN.
Per le proprietà matematiche dell’algoritmo (il più diffuso si chiama RSA) quanto viene cifrato con la chiave privata è decifrato con la chiave pubblica e viceversa.
Per firmare, il titolare utilizza un software che iniziata la procedura di firma calcola l’impronta digitale del documento tramite la cosiddetta funzione di hash. A documento diverso corrisponde un’impronta diversa. La lunghezza dell’impronta allo stato dell’arte deve essere di 256 bit.
Predisposta l’impronta, il software di sottoscrizione la invia all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma). Questa per essere attivata deve validare il PIN inserito dal titolare. A questo punto il dispositivo di firma procede alla cifratura dell’impronta del documento con la chiave privata. Il risultato dell’operazione è la firma digitale del documento.
E’ indispensabile associare la firma al documento e questo avviene attraverso specifici formati. Se utilizziamo il PDF il formato è denominato PAdES.
Per verificare la firma, il destinatario utilizza uno specifico software che estrae la chiave pubblica dal certificato del titolare. Spacchetta il file con documento e firma. Ricalcola l’impronta e decifrando con la chiave pubblica la firma del titolare può verificare se l’impronta del mittente e quella ricalcolata dal destinatario sono identiche.
In caso positivo la firma è valida. Nell’altro caso la firma non è valida e bisogna indagare sullo specifico che ha determinato l’errore.
Il procedimento ha anche altre variabili in gioco, come la validità del certificato rispetto al tempo e al titolare (revoca del certificato) ma non sono analizzate in questa sede per semplicità .
Il risultato di un procedimento informatico che si basa sui concetti di:
– autenticità , per assicurare e garantire chi è che ha firmato il documento si è assunto anche la responsabilità del suo contenuto,
– integrità , condizione che serve a dimostrare dal momento in cui è stato firmato fino al momento in cui è utilizzato esso non è mai stato modificato,
– non ripudio in quanto chi ha firmato il documento mediante la firma elettronica non può poi disconoscerlo.
Per ottenere questo risultato la firma elettronica si basa sull’utilizzo di strumenti crittografici. Quindi nel sistema della firma digitale ciascun titolare ha assegnate una coppia di chiavi (due numeri binari di lunghezza pari, allo stato dell’arte, almeno a 2048 bit).
L’assegnazione è a carico di un soggetto istituzionalmente qualificato (il certificatore) – in Italia dall’Agenzia per l’Italia Digitale – che emette a favore del titolare un certificato digitale che associa il numero binario di 2048 bit alla sua identità . Questo identifica in modo certo il richiedente le credenziali di sottoscrizione.
Contemporaneamente a questa chiave, detta pubblica perché nota a tutti gli interessati, viene generata un’altra chiave di pari lunghezza che è privata ed a controllo esclusivo del titolare. La chiave è installata in un ambiente sicuro (nella smart card il microchip) e può essere utilizzata solamente tramite una password di sblocco che è nota come PIN.
Per le proprietà matematiche dell’algoritmo (il più diffuso si chiama RSA) quanto viene cifrato con la chiave privata è decifrato con la chiave pubblica e viceversa.
Per firmare, il titolare utilizza un software che iniziata la procedura di firma calcola l’impronta digitale del documento tramite la cosiddetta funzione di hash. A documento diverso corrisponde un’impronta diversa. La lunghezza dell’impronta allo stato dell’arte deve essere di 256 bit.
Predisposta l’impronta, il software di sottoscrizione la invia all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma). Questa per essere attivata deve validare il PIN inserito dal titolare. A questo punto il dispositivo di firma procede alla cifratura dell’impronta del documento con la chiave privata. Il risultato dell’operazione è la firma digitale del documento.
E’ indispensabile associare la firma al documento e questo avviene attraverso specifici formati. Se utilizziamo il PDF il formato è denominato PAdES.
Per verificare la firma, il destinatario utilizza uno specifico software che estrae la chiave pubblica dal certificato del titolare. Spacchetta il file con documento e firma. Ricalcola l’impronta e decifrando con la chiave pubblica la firma del titolare può verificare se l’impronta del mittente e quella ricalcolata dal destinatario sono identiche.
In caso positivo la firma è valida. Nell’altro caso la firma non è valida e bisogna indagare sullo specifico che ha determinato l’errore.
Il procedimento ha anche altre variabili in gioco, come la validità del certificato rispetto al tempo e al titolare (revoca del certificato) ma non sono analizzate in questa sede per semplicità .