Piattaforma Telematica Integrata
Firma Digitale
Palermo, Gennaio/Febbraio 2012
Sistema di Firma Elettronica - Regione Siciliana
Firma Digitale: Principi generali e Normativa di riferimento
2
Firma meccanismo che Garantisce:
 Autenticazione: verifica dell'identità di un'entità in una comunicazione;
certezza del mittente
Confidenzialità:
protezione dei dati trasmessi da attacchi passivi;
solo il destinatario può leggere il messaggio
Integrità: verifica che un messaggio non è stato modificato,
inserito,riordinato,replicato, distrutto;
non modificabilità del messaggio originale
 Non ripudio: impedisce al mittente e al destinatario di
negare un messaggio trasmesso;
il mittente non può negare di aver
inviato il messaggio né il ricevente di
averlo ricevuto
3
La firma digitale e il processo di e-governement
La firma digitale è indispensabile
nell’automazione dei
processi amministrativi
nella gestione
informatizzata dei
flussi documentali
In generale, in tutti i procedimenti
dove si vuole l’eliminazione del
documento cartaceo –
SMATERIALIZZAZIONE DEL
PROCEDIMENTO AMMINISTRATIVO
Nell’ambito della Pubblica Amministrazione, l’obiettivo, abilitante allo sviluppo
dei servizi on-line, si sviluppa su tre principali linee di intervento:
• diffusione della firma digitale all’interno delle amministrazioni;
• intervento su applicazioni e servizi, per renderli accessibili in sicurezza
tramite la firma digitale;
• iniziative specifiche di stimolo all’utilizzo della firma da parte di gruppi
specifici di utenti esterni all’amministrazione
4
Firma digitale: principi generali
A partire del 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al
documento informatico e alla firma digitale. La pubblicazione della Direttiva Europea
1999/93/CE (Directive 1999/93/EC of the European Parliament and of the Council on a
common framework for electronic signatures), nel gennaio del 2000, ha dato ulteriore impulso
al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea.
I riferimenti normativi hanno avuto riscontro con l’implementazione delle soluzioni
tecniche, con differenti livelli di sottoscrizione:
• Firma debole o leggera
• Firma forte o pesante
L’efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una
sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di
giudizio in base a caratteristiche oggettive di qualità e sicurezza.
5
Firma digitale: principi generali
• Firma forte o pesante
Dal punto di vista tecnico e realizzativo è ben definita la firma “forte”, ovvero quella che il
legislatore definisce firma digitale. Essa è basata su un sistema a chiavi crittografiche
asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un
soggetto con specifiche capacità professionali garantite dallo Stato e viene creata
mediante un dispositivo con elevate caratteristiche di sicurezza che in genere è una smart
card.
• Firma debole o leggera
L’altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in
minima parte a quanto sopra descritto, ma è compatibile con la definizione giuridica di
firma elettronica, è un firma “leggera”.
6
Firma digitale: Basi Normative
L. 59/97 Delega per la riforma della Pubblica Amministrazione
<2000
e per la semplificazione amministrativa
Codice dei beni culturali
e del paesaggio
DPR 513/97 Regolamento per la formazione, l’archiviazione e la
Protocollo
trasmissione dei documenti con strumenti informatici e telematici
Documento informatico, Firma Digitale
Informatico
Processo civile
2000
telematico
DPR 445/00 Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa
Documento informatico, Firma Digitale, Conservazione, Protocollo
Accessibilità
Sistema
2005
2006
D. Lgs. 82/05 Codice dell’Amministrazione Digitale
Documento informatico, Firma Digitale, Conservazione,
Trasmissione,Carte
D. Lgs. 159/06 Integrazione e aggiornamento al Codice
dell’Amministrazione Digitale
Come sopra più SPC
7
Pubblico di
Connettività
Servizi
postali
Posta
Elettronica
Certificata
Il quadro Normativo
Dpr n 445 del 2000
“Il documento informatico costituisce una rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti”
D.Lgs. 4 Aprile 2006 n. 159
“Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma
elettronica qualificata, ha l’efficacia prevista dall’art. 2702 del codice civile. L’utilizzo del
dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”
Tipologie di firma individuate dal decreto n.159:
FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
firma elettronica garantisce l'autenticità,
FIRMA ELETTRONICA QUALIFICATA : la firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione,
creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai
quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente
modificati; che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la
creazione della firma. Firma Elettronica Qualificata conferisce al documento la stessa valenza
giuridica di quello autografo
FIRMA DIGITALE: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi
crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la
chiave privata e al destinatario tramite la chiave pubblica, rispettivamente di rendere manifesta e di
verificare la provenienza e l’integrità di un documento informatico.
8
CAD: Nuovo Codice Amministrazione Digitale
Ulteriore impulso all’uso della firma digitale, e più in generale alla digitalizzazione
di tutti i processi della Pubblica Amministrazione Italiana , è stato dato dal nuovo
Codice dell'Amministrazione Digitale
I. Il vecchio Codice dell’amministrazione digitale (decreto legislativo n. 82
del 2005) è stato pubblicato sei anni fa;
II. Le tecnologie informatiche si sono evolute con una tale rapidità da
rendere necessaria l’approvazione di un nuovo testo normativo;
III.La Riforma Brunetta (DLgs n. 150 del 2009) ha introdotto importanti
modifiche nell’organizzazione della PA: meritocrazia, premialità,
trasparenza e responsabilizzazione dei dirigenti;
IV.È necessario mettere a disposizione delle amministrazioni e dei pubblici
dipendenti strumenti (soprattutto digitali) in grado di incrementare
l’efficienza e l’efficacia dell’intero sistema pubblico;
V. I cittadini e le imprese richiedono mezzi più snelli, rapidi e meno costosi
per comunicare con le pubbliche amministrazioni.
9
CAD: Nuovo Codice Amministrazione Digitale
Il nuovo Codice dell'Amministrazione Digitale si basa su due principi:
Effettività: si introducono misure premiali e sanzionatorie, incentivando,
da una parte, le amministrazioni virtuose anche con la possibilità di
quantificare e riutilizzare i risparmi ottenuti grazie alle tecnologie digitali e
sanzionando, dall’altra, le amministrazioni inadempienti
Risparmi: dalla razionalizzazione della propria organizzazione e
dall’informatizzazione dei procedimenti, le pubbliche amministrazioni
ricaveranno dei risparmi che potranno utilizzare per l’incentivazione del
personale coinvolto e per il finanziamento di progetti di innovazione
10
CAD: Nuovo Codice Amministrazione Digitale
L’approvazione della Riforma Brunetta e del nuovo Codice
dell’amministrazione digitale rappresentano, quindi, due importanti pilastri
su cui si poggia il disegno di modernizzazione e digitalizzazione della PA
definito nel Piano industriale presentato nel maggio 2008
Questi due interventi normativi:
– Sfruttano l’azione sinergica e congiunta delle due anime di questo
Ministero (pubblica amministrazione e innovazione)
– Consentono di dare piena esigibilità ai servizi forniti dalle
amministrazioni pubbliche
– Eliminano la carta e contribuiscono a sburocratizzare la PA
– Semplificano il dialogo PA - cittadini e imprese
– Riducono i costi di funzionamento delle amministrazioni pubbliche
– Rendono più efficiente il sistema produttivo
– Avvicinano la PA alle esigenze e alle richieste di cittadini e imprese
11
CAD: Nuovo Codice Amministrazione Digitale
Modernizzazione e Risparmio della Pubblica Amministarzione
Il nuovo Codice dell’amministrazione digitale rende possibile la modernizzazione
della pubblica amministrazione con la diffusione di soluzioni tecnologiche e
organizzative che consentono un forte recupero di produttività:
Riduzione di 1.000.000 di pagine l’anno per effetto dell’avvio della
dematerializzazione, con l’obiettivo al 2012 di ridurre di 3 milioni le pagine
Risparmio del 90% dei costi di carta e del relativo impatto ecologico
(uso e smaltimento) per circa 6 milioni di euro l’anno (solo acquisto senza
smaltimento)
Riduzione dei tempi fino all’80% per le pratiche amministrative, in particolare
di quelle ancora a basso tasso di informatizzazione
La posta elettronica certificata (PEC) produrrà un risparmio a regime di
200 milioni di euro per la riduzione della raccomandate della Pubblica
Amministrazione ai cittadini, senza contare la riduzione dei tempi e degli
spazi di archiviazione
12
Concetti di Crittografia
Innovazione della Legge del 1997:
Possibilità di firmare digitalmente un documento informatico con il sistema “crittografico”
delle chiavi asimmetriche e di attribuire a un documento firmato con queste modalità il
valore di una scrittura privata
Con la tecnologia della crittografia si riesce a garantire la provenienza e l’integrità del
documento informatico (dpr n 445 del 2000)
Crittografia:
È una scienza matematica che consente di costruire un sistema attraverso il
quale sia possibile cifrare un testo così da impedirne la lettura a soggetti
diversi dal mittente e dal destinatario [obiettivo della crittografia]
Esistono 2 possibili tecniche crittografiche:
Crittografia Simmetrica
Crittografia Asimmetrica
13
Crittografia Simmetrica e Asimmetrica
Crittografia Simmetrica:
Sistema crittografico in cui la stessa chiave è
utilizzata per cifrare e decifrare il testo.
Svantaggio: Problema della sicurezza nella
distribuzione della chiave;
Prevedere una coppia di chiavi per
ogni coppia di interlocutori
Vantaggio: Efficienza
AAA..
FILE1
ZZZ..
FILE2
Crittografia Asimmetrica:
Sistema crittografico in cui vengono utilizzate due
chiavi diverse e univocamente correlate: conoscendo
una delle 2 chiavi non è possibile risalire all’altra. Si
cifra il documento con una delle due chiavi, mentre
per decodificarlo di usa l’altra.
Svantaggio: Complessità algoritmica
Vantaggio: Sicurezza \ Fruibilità
14
AAA..
ZZZ..
FILE1
FILE2
Crittografia Asimmetrica e Funzioni Hash
La firma digitale è un algoritmo grazie al quale viene cifrato tutto il documento nella sua
interezza. Non è possibile modificare un singolo byte senza incidere sulla firma di tutto il
documento.
Le operazioni di cifratura e decifratura richiedono molto tempo, a tal fine viene cifrato solo un
riassunto del testo ottenuto per mezzo dell’utilizzo delle funzioni Hash
Funzioni Hash
Funzioni che permettono di creare da
una sequenza di bit qualsiasi e di
qualsiasi lunghezza (tipicamente, un
file) una sequenza di bit a lunghezza
fissa correlata in modo molto stretto
alla sequenza di partenza. Questo tipo
di compressione garantisce (a meno di
probabilità trascurabili) che il file
compresso sia univocamente
determinato dal file originario; il file
compresso che si ottiene viene
chiamato “impronta” (o “digest”) del
file
Hashing
DOC
Algoritmi utilizzati:
•
•
15
Hashing sicuro: algoritmo SHA
(Secure Hash Algorithm) SHA1SHA256
Crittografia asimmetrica: algoritmo
RSA, proposto da Rivest, Shamir e
Adleman
Certificati Digitali
Il certificato digitale è un documento elettronico che, oltre a contenere i dati essenziali
dell'intestatario, contiene la sua chiave pubblica. Può essere di quattro tipi:
di sottoscrizione - usati per la firma dei documenti;
di autenticazione - per essere riconosciuti su web;
di crittografia - utilizzati per la crittografia dei documenti riservati;
di attributo - per associare a chi firma un particolare ruolo ovvero mandato.
Le informazioni contenute nel certificato sono:
Nome proprietario ed suoi dati anagrafici,
Nome CA e suoi dati identificativi,
Numero del certificato e sua validità temporale,
altri attributi aggiuntivi denominati estensioni del certificato.
Tutti i certificati devono essere conformi allo standard X.509 version 3
Tipi di Certificati
Tipi di Certificatore
Qualificato
Rilascia certificati non qualificati
Non qualificato
Rilascia certificati qualificati
16
Firma Digitale: ‘Imbustamento’ nel Formato
Pkcs#7 e nel nuovo formato CADES
Hashing
Nome: Mario
Cognome: Rossi
CF: RSSMRINNXNNXNNNX
DOC1
Firma
XYZ..
FIRMA1
XYZ..
DOC1
FIRMA1
Nome: Mario
Cognome: Rossi
CF: RSSMRINNXNNXNNNX
Busta
DOC
La firma digitale viene realizzata facendo un’impronta
del file (hash o digest) e successivamente Cifrandone
il risultato con la chiave privata presente nel
dispositivo del titolare.
La precedente deliberazione prevedeva che il digest
venisse creato con algoritmo SHA-1, che la cifratura
fosse realizzata con algoritmo di RSA (Rivest-ShamirAdleman) e che il documento iniziale insieme al
certificato utente e alla firma venissero ricomposti in
un file in formato pkcs#7.
Le debolezze che sono state scoperte nell'algoritmo di
digest SHA-1 hanno portato a prevedere l'introduzione
della versione piu' robusta dello stessa famiglia di
algoritmi, lo SHA-256; la cifratura viene effettuata
con algoritmo RSA e chiave a 1024 e il tutto viene
ricomposto nel formato CAdES (CMS Advanced
Electronic Signature), ritenuto indispensabile per
rispettare le norme europee sulla firma digitale.
17
Firma Digitale: Procedura di Verifica
Procedura di verifica
XYZ..
Durante la procedura di verifica se l’impronta che
risulta dalla decifratura con la chiave pubblica del
mittente è uguale a quella che si ottiene applicando
la funzione hash al testo in chiaro, questo indica che
il messaggio non è stato alterato dopo la generazione
della firma digitale
Il sistema di firma digitale soddisfa il requisito della
forma scritta, assicurando:
Provenienza
Paternità
FIRMA
DOC
RSA
SHA
135..
135..
IMP1
=
Valida
IMP2

Non valida
Integrità
Quesito: come può il destinatario del documento essere sicuro che la chiave pubblica che
impiega per verificare la firma del mittente (A) sia effettivamente di A e non di un altro che
si fa passare per lui ??
Intervento di una terza persona fidata, che certifichi che quella
chiave pubblica appartiene veramente a quel soggetto e non ad
un altro
18
Data del documento Informatico
La firma digitale in un documento informatico niente dice sul momento in cui essa è stata
apportata in un documento
L’attribuzione di una certa data ad un documento informatico avviene attraverso
una specifica procedura che prende il nome di validazione temporale
La validazione temporale o timestamping consiste nell’associare al documento informatico
una marca temporale che può essere definita come una dichiarazione, proveniente dal
certificatore, avente ad oggetto la data e l’ora in cui la marca stessa è stata apposta
2. Il certificatore ricevuta la
richiesta provvede ad associare la
marca temporale al documento con
lo stesso sistema delle chiavi
asimmetriche
Tipico scenario:
1. Alice vuole datare un documento
informatico, lo trasmette per via
telematica ad un ente abilitato a
offrire il servizio di validazione
temporale, chiedendo che al
documento sia apportata una marca
temporale
Il documento informatico potrà così
contenere 2 firme:
• Sottoscrizione digitale del suo autore
• Sottoscrizione digitale del certificatore che
ha apposto la marca temporale
19
La Marca temporale
La marca temporale è un messaggio firmato digitalmente che lega in modo sicuro ed
verificabile un qualsiasi documento informatico ad un riferimento temporale affidabile
La marca temporale è un messaggio firmato digitalmente da una terza parte fidata Time
Stamping Authority (TSA) che lega in modo sicuro ed verificabile un qualsiasi documento
informatico ad un riferimento temporale affidabile
Richiesta
Time Stamp Token
Time Stamp Authority
1.
2.
3.
4.
5.
L’Utente invia l’impronta del documento al servizio TSS;
Il TSS concatena la data /ora corrente all’impronta inviata;
Il TSS firma digitalmente la combinazione Impronta/data;
Il documento firmato risultante è la marca temporale (Time Stamp Token);
Il TSS archivia il TST e lo invia all’utente
20
Firma Digitale: Conclusioni
Il dpr del 1997 prevede che una delle due chiavi asimmetriche sia resa pubblica mediante
un’apposita procedura, detta Certificazione, che garantisca l’associazione tra la coppia di
chiavi e il soggetto sottoscrittore
In sintesi la Firma Digitale si fonda sui seguenti elementi:
• Sistema crittografico delle chiavi asimettriche
• Cifratura del documento mediante la funzione hash
• Presenza di un soggetto, certificatore, che garantisce la corrispondenza tra il titolare
della coppia di chiavi e un determinato soggetto attraverso un certificato che viene reso
pubblico e consultabile on-line
La procedura di verifica consiste nel verificare che:
• il documento non sia stato modificato dopo la firma
• il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA)
inclusa nell’Ente Pubblico dei Certificatori
• il certificato del sottoscrittore non sia scaduto
• il certificato del sottoscrittore non sia stato sospeso o revocato
21
Sistema di Firma Elettronico - Regione Siciliana
Grazie per l’attenzione
22