 |
|
|
|
|
|
| |
|
Il ruolo della Certification Authority | |
|
Il ruolo dell'Autorità di certificazione (Certification Authority) è quello di garante della corrispondenza tra l'identità del titolare del certificato e la coppia di chiavi (pubblica e privata) cui il certificato si riferisce. Il sistema in oggetto utilizza una infrastruttura di fiducia basata su un sistema di crittografia a doppia chiave, in cui una delle due chiavi viene resa pubblica all'interno del certificato, mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare. È evidente che si tratta di un ruolo estremamente delicato, che deve essere svolto da soggetti super partes e di comprovata affidabilità (trusted third party). Le CA sono enti pubblici o privati che svolgono la funzione di identificare il titolare della coppia di chiavi, rilasciare il certificato con i dati del soggetto e la sua chiave pubblica, e pubblicare lo stesso certificato in rete con un accesso on-line attivo e consultabile continuamente. Sono inoltre tenuti ad aggiornare tale registro dei certificati, insieme a quello che contiene la lista dei certificati revocati o sospesi (Certificate Revocation List- CRL). Tale aspetto è infatti sostanziale per un buon utilizzo del servizio, in quanto si possono verificare situazioni in cui si ritiene opportuno interrompere o sospendere la validità del certificato (sospetti o certezze di compromissione della chiave privata, rottura o perdita della smart card, variazione di dati inseriti nel certificato, come l'e-mail, e simili). Il governo italiano è stato il primo a livello europeo, e tra i primi a livello mondiale a darsi una regolamentazione normativa a riguardo, definendo le regole tecniche e logistiche per realizzare una infrastruttura che potesse rilasciare certificati digitali che avessero, ai sensi di legge, la stessa validità di una firma autografa. La scelta che è stata presa ed indicata nel DPCM 8/02/1999 prevede che quei certificati che ricadono sotto tale normativa, che di seguito definiremo @Sign, devono essere rilasciati da specifiche CA iscritte nell'Elenco Pubblico dei Certificatori dall'Autorità per l'Informatica nella Pubblica Amministrazione (AIPA). |
|
Le CA iscritte nell'Elenco Pubblico dei Certificatori devono garantire specifiche disposizioni sulla sicurezza di tali sistemi. L'obbligo per legge di rilasciare i certificati @Sign esclusivamente su smart card, e con un processo di personalizzazione teso a controllare l'utilizzo di smart card corrispondenti a specifici requisiti di certificazione (ITSEC - Information Technology Security Evaluation Criteria), corrisponde pienamente all'esigenza di sicurezza necessaria per rendere il servizio affidabile nel tempo. La normativa attuale prevede dunque che l'Ente (pubblico o privato) che voglia essere iscritto nell'Elenco Pubblico dei Certificatori ne faccia formale richiesta fornendo all'AIPA tutta la documentazione descritta nella Circolare AIPA n. 26. Se l'AIPA ritiene soddisfatti i requisiti di sicurezza, di infrastrutture tecniche disponibili e di garanzie dell'Ente, in base alle condizioni espresse nella sopra citata circolare deciderà favorevolmente o meno circa la sua iscrizione all'Elenco Pubblico dei Certificatori. Una volta avvenuta tale iscrizione, l'Ente è in grado di rilasciare certificati digitali @Sign firmandoli con la propria firma digitale autocertificata. Per verificare la validità e corrispondenza alla CA della firma digitale, è sufficiente andare nel sito dell'AIPA, www.aipa.it, e scorrere l'Elenco Pubblico dei Certificatori, che avrà nel suo interno, oltre all'indicazione dell'Ente certificatore, anche la pubblicazione del suo certificato digitale. |
