Indice
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Pag. 1
La firma digitale
03 MARZO 2008
CEEDO ED EUTRONSEC ANNUNCIANO
L’ADOZIONE DA PARTE DI CINQUE
IMPORTANTI BANCHE EUROPEE
DELLA SOLUZIONE E-BANKING
SICURA IN AMBIENTE DI LAVORO
VIRTUALE
La soluzione consente ai clienti delle banche di
accedere in modo sicuro ai conti online e di apporre
firme digitali a documenti finanziari
in qualsiasi luogo si trovino.
La soluzione è stata sviluppata da Eutronsec e Ceedo
nel corso degli ultimi 18 mesi. La compartecipazione
ha portato ad un “dispositivo autonomo” che
memorizza il software del proprio PC al suo interno e
che fornisce una piattaforma all’avanguardia per la
gestione dei servizi bancari. La co-produzione ha
portato all’aumento dell’utilizzo da parte dell’utenza di
procedure hardware di autenticazione, alla riduzione
di richieste di assistenza e all’adozione della soluzione
da parte di principali gruppi bancari europei, tra i
quali il Gruppo Banca delle Marche, il Monte dei
Paschi di Siena (MPS) e Il Gruppo Banca Carige.
Banca Marche ha fatto un
passo
avanti:
ha
reso
portabile anche la firma
digitale, quella firma che
una volta era indispensabile
scaricare
nel
proprio
computer
e
conservare
gelosamente al riparo da
qualsiasi attacco.
Il nuovo sistema con firma
digitale, che è il sistema oggi
più sicuro per gestire servizi
online.
Direzione Centrale Tecnologia e Processi
Pag. 2
La firma digitale
Cos’è
Che valore ha
La firma digitale é “un particolare
tipo di firma elettronica qualificata
chiavi
asimmetriche a coppia,
basata su un sistema di
una pubblica e una privata, che
consente al titolare tramite la
chiave privata e al destinatario
tramite
la
chiave
pubblica,
rispettivamente,
di
rendere
manifesta e di verificare la
provenienza e l’integrità di un
documento informatico o di un
insieme di documenti informatici”
Quando un documento informatico é
sottoscritto con firma digitale basata
su di un certificato qualificato ed è
generata mediante un dispositivo
sicuro
fa piena prova
fino a querela di
falso della provenienza delle dichiarazioni di chi l’ha
sottoscritto
Direzione Centrale Tecnologia e Processi
Pag. 3
La firma digitale
 Anna vuole inviare un
documento o un messaggio
a Carlo…
 Anna e Carlo vogliono che le
loro comunicazioni siano
1
•Autenticazione: identificazione
univoca dell'autore di una
transazione
2
•Riservatezza: garanzia che le
informazioni non siano accessibili
da parte di entità non autorizzate
3
•Integrità: garanzia che le
informazioni non siano alterabili da
parte di entità non autorizzate
4
•Non ripudio: prevenzione del
rischio che una delle controparti
neghi di aver spedito e ricevuto le
informazioni scambiate
sicure:
Direzione Centrale Tecnologia e Processi
Pag. 4
Crittografia a chiavi asimmetriche
In questo sistema, ogni utente ha una coppia di chiavi
crittografiche distinte ma legate fra loro:
la chiave pubblica, divulgabile
la chiave privata, conosciuta e
custodita dal solo proprietario
 non è possibile risalire alla chiave privata conoscendo la
chiave pubblica (le due chiavi sono indipendenti)
 è possibile cifrare un dato con la chiave pubblica e
decifrarlo con la chiave privata e viceversa
Direzione Centrale Tecnologia e Processi
Pag. 5
1
Autenticazione
Anna vuole garantire a Carlo la
paternità del documento…
RSA
Anna cifra il documento con la propria chiave privata
e lo spedisce a Carlo…
Direzione Centrale Tecnologia e Processi
Pag. 6
1
Autenticazione
CERTIFICATION
AUTHORITY
Qual’è la chiave pubblica di
Anna?
RSA
Carlo riesce a decifrare, quindi è sicuro che il documento sia
stato spedito proprio da Anna (solo lei, infatti, è in possesso
della chiave privata)
2
Riservatezza
Anna vuole essere sicura che il documento sia
letto unicamente da Carlo…
CERTIFICATION
AUTHORITY
Qual è la chiave pubblica di
Carlo?
RSA
Anna cifra il documento con la chiave pubblica di
Carlo…
2
Riservatezza
Carlo legge il documento decifrandolo con la propria chiave
privata
RSA
Anna è sicura che solo Carlo potrà leggere il documento; infatti soltanto
Carlo possiede la chiave privata necessaria per decifrarlo
Integrità
3
Un sistema di hashing produce, a partire dai dati di ingresso, una breve
sequenza di caratteri detta “hash” oppure “digest” (riassunto) o anche
“fingerprint” (impronta)
digest
CD59047058E0B412
hashing
 non invertibile (1-way function): dall’hash non è possibile
risalire al documento originale
 restituisce un output di lunghezza fissa, indipendentemente
dalla dimensione del file di input
 statisticamente univoca
 due documenti diversi danno sempre luogo a fingerprint diversi
 non è possibile costruire un documento che produca il
fingerprint desiderato
HASH =
POLPETTA
Integrità
3
Tecnica di autenticazione del mittente e di controllo dell’integrità
ottenuta combinando il sistema a chiavi asimmetriche con un
sistema di hashing.
Anna calcola il digest del documento e lo cifra con la propria chiave privata,
ottenendo la firma digitale…
CD59047058E0B412
736CB3440AE23F
59
hashing
RSA
…quindi invia a Carlo il documento con allegata la firma digitale…
Integrità
3
Chiave pubblica
di Anna
736CB3440AE
23F59
CD59047058E0B412
736CB3440A
E23F59
Sono
uguali?
RSA
CD59047058E0B412
hashing
Carlo decifra la firma digitale con la chiave pubblica di Anna,
ottenendo il presunto digest; nel frattempo, calcola nuovamente
il digest partendo dal documento originale; se i due digest
coincidono, la firma è autentica e il documento non è stato
alterato
4
Non ripudio
 La caratteristica primaria della firma digitale è di permettere
all'autore (firmatario) di un messaggio di provare la sua identità al
destinatario apponendovi la propria firma
 Inoltre la firma digitale permette di assicurare l’integrità del
documento (il documento non può essere stato manomesso)
 Il firmatario di un documento trasmesso non può negare di averlo
inviato, né può il ricevente negare di averlo ricevuto. Più
semplicemente, non ripudio significa che l'informazione non può
essere disconosciuta, come una firma a mano davanti a
testimoni su un documento cartaceo
Elementi costitutivi della firma digitale
La firma richiede una struttura organizzativa (la Public Key
Infrastructure -PKI) e l'utilizzo di un dispositivo di firma sicuro, in
genere una smart card
PKI
–
Certificati: è la forma con cui una PKI costruisce un’associazione certa tra utente
e rispettiva chiave pubblica. Il certificato è un file binario contenente, oltre alle
chiavi pubbliche, gli estremi dell’utente, e la cui integrità è garantita dalla CA
(attraverso la firma digitale);
–
Registro dei certificati: è lo strumento che consente di pubblicare i certificati
(generalmente un Directory Server o un Database accessibile agli Utenti);
–
Security Kit: è il mezzo con cui apporre la firma digitale su documenti; è
generalmente costituito da librerie software e un supporto per contenere la chiave
privata.
Le funzioni principali svolte all’interno di una PKI sono:
–
Certificazione: è il processo attraverso il quale il valore di una chiave pubblica
viene associato ad un utente;
–
Gestione del ciclo di vita del certificato: rinnovo, sospensione, revoca dei
certificati (attraverso opportune liste di revoca);
–
Validazione: è il processo attraverso il quale si verifica che una certificazione è
ancora valida.
Public Key Infrastructure
Autenticazione
Privacy
Integrità
Non Ripudio
Userid/password
Crittografia chiavi simmetriche
Certificati Digitali
chiavi asimmetriche (RSA
Public Key Infrastructure (PKI): una tecnologia a sostegno
delle nuove opportunità offerte dall’ e-business
Cos’è un certificato?
Certificato
tradizionale




identità dell’ente emittente
identità dell’utente
validità
verifica l’identità tramite
fotografia e firma
Certificato
digitale




identità dell’ente emittente
identità dell’utente
validità
verifica l’identità tramite
chiave di cifratura
appropriata
Dove sono contenuti i certificati?
– Identità del titolare
– Codice Fiscale del
titolare
– Chiave pubblica del
titolare
– Identità della CA
emittente
– Firma digitale della
CA emittente
– Data scadenza del
certificato
– ID del certificato (n°
seriale)
Certification Authority (CA): la terza parte fidata
Esempi di CA
Tradizionali
La Certification Authority è l’entità
che garantisce l’intero ciclo di vita dei
certificati digitali
– Prefettura (passaporti)
– Ministero dei
trasporti/ufficio
motorizzazione civile
(patente di guida)
– Uffici Anagrafici (carta
d’identità)
Emissione
• Identificazione e registrazione
titolare
• Emissione certificato
• Rilascio al titolare
Utilizzo
• verifica della validità del
certificato
Gestione
• Rinnovo
• Revoca/sospensione
• Mantenimento del pubblico
registro
La Smart Card o token di firma (carta a microchip)
Una smart card è simile ad una carta di credito, ma con un microchip al
posto della banda magnetica. Il microchip è un piccolo computer in grado
di:
 memorizzare informazioni
 proteggere i dati che contiene da accessi non autorizzati
 eseguire elaborazioni di vario tipo (per esempio: RSA)
 comunicare con un elaboratore esterno di tipo tradizionale (PC)
contatti
elettrici del
microchip
GIUSEPPE VERDI
54 mm
85.6
mm
FUNZIONI:
 genera e conserva al suo interno
la chiave privata dell’utente
 non può essere attivata senza
conoscere il relativo PIN
 dialoga con le applicazioni sul PC
attraverso un card reader (o porta
USB)