 |
|
|
|
|
|
| |
|
L'introduzione della firma digitale in e-commerce | |
|
Cosa
è la Firma Digitale Una persona che desidera firmare digitalmente una e-mail, utilizzando ad esempio la firma valida ai sensi di legge, non deve fare altro che procurarsi un certificato digitale da una Certification Authority legalmente riconosciuta. Il procedimento di sottoscrizione prevede la formazione di una coppia di chiavi, una pubblica ed una privata conservata SEMPRE all'interno del dispositivo di firma (smart card). A seconda del tool che utilizza (software di firma e verifica, compreso generalmente nel kit di smart card-lettore smart card e software), e delle applicazioni in esso previste, avrà la possibilità di attivare sul sistema di posta elettronica l'opzione di firma digitale. Buona abitudine è quella di inviare sempre in attach copia del certificato. Il testo e-mail così creato nonè crittografato, nel senso che la firma digitale garantisce la paternità ed autenticità (e quindi l'impossibilità di subire nel canale modifiche non autorizzate) del documento inviato senza garantire comunque la riservatezza dei dati. Questa ultima condizione è propria della crittografia. |
|
Da un punto di vista visivo, il testo della e-mail appare in chiaro, così che chiunque è in grado di leggerlo. Per precisare meglio i diversi passi che portano alla definizione della firma digitale, una volta scritto il testo della e-mail, il software di firma ne ricava l'impronta, ed applicando la chiave privata del sottoscrivente ottiene la firma digitale (che non è altro che la cifratura dell'impronta) ed invia il tutto in un formato standard PKCS#7. I sistemi di posta elettronica maggiormente diffusi (i.e. Outlook della Microsoft) hanno già integrata la funzione di verifica della firma digitale: il procedimento corretto consiste nel calcolare l'impronta del testo scritto tramite la funzione di hash che viene trasmessa nel formato PKCS#7 e confrontarla con l'impronta calcolata applicando la chiave pubblica del sottoscrivente alla firma digitale (e cioè decifrando la firma digitale). Se le due parti così ottenute coincidono, significa che il messaggio non è stato in alcun modo compromesso. Altrimenti, anche solo cambiando un bit in un file originario di svariati Mbyte, le impronte che ne derivano appaiono chiaramente differenti. Questo procedimento garantisce dunque la paternità (solo chi è in possesso della chiave privata associata alla chiave pubblica del certificato può effettivamente avere scritto il testo), l'integrità (nessuno può averlo modificato). Pur tuttavia, non è possibile in linea di principio essere completamente sicuri che la coppia di chiavi, ed il certificato relativo, siano effettivamente associati alla persona che dice di essere con quel certificato. Ed è a questo punto che interviene la funzione di Certification Authority, autorizzata dall'AIPA ed inserita nell'apposito Elenco Pubblico dei Certificatori, che si fa garante dell'identità del soggetto tramite il suo certificato. La legge ha poi investito i certificati rilasciati da una Certification Authority autorizzata dall'AIPA anche di potere legale, per cui altra loro caratteristica è la non repudiabilità (per cui una persona non può rinnegare di avere mandato un messaggio se a questo è stata apposta la propria firma digitale). Questo aspetto spiega l'esigenza di sicurezza con cui deve essere conservata la chiave privata, mai depositata nemmeno nell'hard disk, e mai ovviamente inviata in un canale di trasmissione di qualunque tipo. Deve rimanere sempre all'interno della smart card, con un accesso a pin code segreto e noto esclusivamente al sottoscrivente. |
