Informatica giuridica e Diritto dell’informatica (IUS 20)
Lezione 13
Documento informatico: problemi tecnici
Problemi tecnici
•
•
•
•
certezza
stabilità - “volatilità”
autenticità
inalterabilità
a cura di Domenico Condello Avvocato del Foro di Roma
1
Informatica giuridica e Diritto dell’informatica (IUS 20)
La soluzione tecnica:
• La crittografia
a cura di Domenico Condello Avvocato del Foro di Roma
2
Informatica giuridica e Diritto dell’informatica (IUS 20)
la crittografia
Etimologicamente “crittografia” deriva da due parole
di greco antico il cui significato è “scrittura
nascosta”; è una scienza che si occupa dei metodi di
cifratura delle informazioni, al fine da rendere un
messaggio leggibile ad un mittente e ad un
destinatario, ma praticamente incomprensibile a terze
persone.
a cura di Domenico Condello Avvocato del Foro di Roma
3
Informatica giuridica e Diritto dell’informatica (IUS 20)
“KRYPTOS GRAPHEN”
“Criptare” è una parola proveniente dal greco
• “kriptos”, che significa nascosto.
• Gràphen significa scrivere
La crittografia è la scienza che si occupa dei sistemi segreti di
scrittura in codice, con il fine di rendere intelligibile un testo
per chi non ne possieda l’autorizzazione.
a cura di Domenico Condello Avvocato del Foro di Roma
4
Informatica giuridica e Diritto dell’informatica (IUS 20)
Crittografia
• Esempi di sistemi
a cura di Domenico Condello Avvocato del Foro di Roma
5
Informatica giuridica e Diritto dell’informatica (IUS 20)
Cifrario di Cesare
• era il sistema utilizzato da Cesare per comunicare con i suoi generali.
• Sostituiva ad ogni lettera, un’altra lettera posta ad un certo numero di
posizioni più avanti nell’alfabeto.
• Per esattezza utilizzava la chiave “3”, tutte le lettere venivano scalate di tre
posizioni , la A diventava D,
• la B diventava la E ,la C diventava la F e cosi via…
a cura di Domenico Condello Avvocato del Foro di Roma
6
Informatica giuridica e Diritto dell’informatica (IUS 20)
Scitala Lacedemonica
• Scitala Lacedemonica
• -uno dei sistemi più antichi e più noti di crittografia è la
“Scitala Lacedemonica”,risalente al IX° sec. a.C.
• Era un dispositivo costituito da un bastone e da un nastro di
cuoio avvolto a spirale, (sullo stesso bastone), su cui il
messaggio veniva scritto in colonne verticali.
• Sul nastro srotolato, le lettere risultavano trasposte in modo
tale che solo ricorrendo ad un bastone identico,(scitala,
appunto) a quello usato per scriverlo, si riusciva a ricomporre
il testo.
a cura di Domenico Condello Avvocato del Foro di Roma
7
Informatica giuridica e Diritto dell’informatica (IUS 20)
Enigma
• Enigma
- la “macchina Enigma” è l’ultimo passo prima della
crittografia moderna.
E’ una macchina elettromeccanica tedesca costruita durante la
seconda guerra mondiale.
Il testo in chiaro digitato su una tastiera,veniva crittato da un
insieme di ruote.
La chiave era il settaggio iniziale delle ruote, le quali potevano
essere scalate di posizione ogni qualvolta si voleva.
Fu attaccato e sconfitto dal matematico polacco Marin
Rejewsky,proprio durante il conflitto bellico.
a cura di Domenico Condello Avvocato del Foro di Roma
8
Informatica giuridica e Diritto dell’informatica (IUS 20)
La Crittografia moderna
• Le basi teoriche della moderna crittografia, quella
attualmente utilizzata, sono ancora giovani, e
risalgono a circa 30 anni fa, a partire dal 1969 con le
prime ricerche di James Ellis del quartiere generale
governativo delle comunicazioni britanniche.
a cura di Domenico Condello Avvocato del Foro di Roma
9
Informatica giuridica e Diritto dell’informatica (IUS 20)
strong-encryption
nasce nel 1978 il cifraio a chiave pubblica “RSA”, da
tre ricercatori del MIT, (Masshachusetts Institute Of
Tecnology), dai quali prende anche il nome, Ronald
Vivest, Adi Shamir e Leonard Adleman.
Con questo cifrario si inizia a parlare di “strongencryption”, cioè di crittografia forte.
a cura di Domenico Condello Avvocato del Foro di Roma
10
Informatica giuridica e Diritto dell’informatica (IUS 20)
Crittografia- Algoritmi
Ci sono due classi di algoritmi basati su chiavi
algoritmi:
– Simmetrici
– Asimmetrici
a cura di Domenico Condello Avvocato del Foro di Roma
11
Informatica giuridica e Diritto dell’informatica (IUS 20)
algoritmi di crittografia
• Gli algoritmi di crittografia possono essere classificati in due
principali categorie riguardanti il tipo di chiave
utilizzata : simmetrici ( chiave segreta ) , asimmetrici ( chiave
pubblica ) .
• Negli algoritmi a chiave
simmetrica la chiave utilizzata nel processo di de/cifrazione è
la stessa ;
• negli algoritmi a chiave asimmetrica
invece ci sono due tipi di chiave , una privata ( segreta e
personale ) e una pubblica (a disposizione di tutti )
a cura di Domenico Condello Avvocato del Foro di Roma
12
Informatica giuridica e Diritto dell’informatica (IUS 20)
Da Wikipedia, l'enciclopedia libera.
• La crittografia asimmetrica, conosciuta anche come
crittografia a coppia di chiavi, crittografia a chiave
pubblica/privata o anche solo crittografia a chiave pubblica
è un tipo di crittografia dove, come si evince dal nome, ad ogni
attore coinvolto è associata una coppia di chiavi:
– la chiave privata, personale e segreta, viene utilizzata per decodificare
un documento criptato;
– la chiave pubblica, che deve essere distribuita, serve a crittare un
documento destinato alla persona che possiede la relativa chiave
privata.
a cura di Domenico Condello Avvocato del Foro di Roma
13
Informatica giuridica e Diritto dell’informatica (IUS 20)
procedimento
•
L'idea base della crittografia con coppia di chiavi diviene più chiara se si usa
un'analogia postale, in cui il mittente è Alice ed il destinatario Bob e i lucchetti
fanno le veci delle chiavi pubbliche e le chiavi recitano la parte delle chiavi private:
•
Alice chiede a Bob di spedirle il suo lucchetto, già aperto. La chiave dello stesso
verrà però gelosamente conservata da Bob.
Alice riceve il lucchetto e, con esso, chiude il pacco e lo spedisce a Bob.
Bob riceve il pacco e può aprirlo con la chiave di cui è l'unico proprietario.
•
•
•
•
Se adesso Bob volesse mandare un altro pacco ad Alice, dovrebbe farlo
chiudendolo con il lucchetto di Alice, che lei dovrebbe mandare a Bob e che solo lei
potrebbe aprire.
Si può notare come per secretare i pacchi ci sia bisogno del lucchetto del
destinatario mentre per aprire viene usata esclusivamente la propria chiave segreta,
rendendo l'intero processo di criptazione/decriptazione asimmetrico.
a cura di Domenico Condello Avvocato del Foro di Roma
14
Informatica giuridica e Diritto dell’informatica (IUS 20)
Simmetrica
Con crittografia simmetrica si intende una tecnica di cifratura.
• Uno schema di crittografia simmetrica è caratterizzato dalla proprietà che, data la
chiave di cifratura "e", sia facilmente calcolabile la chiave di decifratura "d". Nella
pratica, tale proprietà si traduce nell'utilizzo di una sola chiave sia per l'operazione
di cifratura che quella di decifratura.
La forza della crittografia simmetrica è dunque riposta nella segretezza dell'unica
chiave utilizzata dai due interlocutori che la usano, oltre che nella grandezza dello
spazio delle chiavi, nella scelta di una buona chiave e nella resistenza dell'algoritmo
agli attacchi di crittanalisi.
• Generalmente gli algoritmi di crittografia simmetrica sono molto più veloci di
quelli a Chiave pubblica , per questo vengono usati in tutte le operazioni di cifratura
che richiedono performance. Oltretutto i cifrari a crittografia simmetrica
permettono l'uso di uno spazio delle chiavi lungo quanto il messaggio: ad esempio
nella codifica XOR (algoritmicamente semplicissima) è possibile scegliere una
chiave lunga quanto il messaggio da cifrare, rendendo il messaggio cifrato
assolutamente sicuro !
• Alcuni esempi di cifratura simmetrica sono dati dal cifrario di Cesare
a cura di Domenico Condello Avvocato del Foro di Roma
15
Informatica giuridica e Diritto dell’informatica (IUS 20)
Autenticazione
a cura di Domenico Condello Avvocato del Foro di Roma
16
Informatica giuridica e Diritto dell’informatica (IUS 20)
Riservatezza
a cura di Domenico Condello Avvocato del Foro di Roma
17
Informatica giuridica e Diritto dell’informatica (IUS 20)
Crittografia asimmetrica a firma digitale
a cura di Domenico Condello Avvocato del Foro di Roma
18
Informatica giuridica e Diritto dell’informatica (IUS 20)
Crittografia:
Il procedimento informatico in grado di generare,
apporre e verificare una firma digitale è un
meccanismo di crittografia a chiavi asimmetriche:
1.chiave privata: posseduta solo dal proprietario
delle chiavi;
2.chiave pubblica: disponibile per tutte le persone
che vogliano comunicare riservatamente con il
proprietario della corrispondente chiave privata.
a cura di Domenico Condello Avvocato del Foro di Roma
19
Informatica giuridica e Diritto dell’informatica (IUS 20)
Principi della crittografia:
1) Ogni utilizzatore ha a disposizione una coppia
di chiavi per la cifratura;
2) Ogni chiave può essere utilizzata per cifrare o
decifrare;
3) La conoscenza di una delle due chiavi non
fornisce alcuna informazione sull’altra. Le due
chiavi sono complementari e indipendenti.
a cura di Domenico Condello Avvocato del Foro di Roma
20
Informatica giuridica e Diritto dell’informatica (IUS 20)
La definizione giuridica nel DPR 445/02
• Vediamo proprio come la definizione nel Testo Unico
D.P.R. 445/2000 di FIRMA DIGITALE sia: “il
risultato della procedura informatica (validazione)
basata su un sistema di chiavi asimmetriche a coppia,
una pubblica ed una privata, che consente al
sottoscrittore tramite la chiave privata e al
destinatario tramite la chiave pubblica,
rispettivamente,di rendere manifeste e di verificare la
provenienza e l’integrità di un documento informatico
o di un insieme di documenti informatici”.
a cura di Domenico Condello Avvocato del Foro di Roma
21
Informatica giuridica e Diritto dell’informatica (IUS 20)
La definizione nel CAD codice della amministrazione digitale
La firma digitale
a. firma digitale: un particolare tipo di firma
elettronica qualificata basata su un sistema
di chiavi crittografiche, una pubblica e una
privata, correlate tra loro, che consente al
titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di
verificare la provenienza e l'integrità di un
documento informatico o di un insieme di
documenti informatici;
a cura di Domenico Condello Avvocato del Foro di Roma
22
Informatica giuridica e Diritto dell’informatica (IUS 20)
La definizione nel CAD codice della amministrazione digitale
La firma qualificata
a. firma elettronica qualificata: la firma elettronica
ottenuta attraverso una procedura informatica che
garantisce la connessione univoca al firmatario e la
sua univoca autenticazione informatica, creata con
mezzi sui quali il firmatario può conservare un
controllo esclusivo e collegata ai dati ai quali si
riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati, che
sia basata su un certificato qualificato e realizzata
mediante un dispositivo sicuro per la creazione
della firma, quale l'apparato strumentale usato per
la creazione della firma elettronica;
a cura di Domenico Condello Avvocato del Foro di Roma
23
Informatica giuridica e Diritto dell’informatica (IUS 20)
Aspetti normativi della crittografia.
Il conflitto tra riservatezza
e sicurezza delle informazioni telematiche.
a cura di Domenico Condello Avvocato del Foro di Roma
24
Informatica giuridica e Diritto dell’informatica (IUS 20)
I pregi ed i difetti della crittografia
Uno dei pregi più significativi del sistema di crittografia
asimmetrica è la possibilità di garantire che il contenuto di un
messaggio venga letto, tramite una apposita decodificazione,
solo dal suo destinatario; ciò determina,dall’altra parte, almeno
secondo un orientamento prevalente in molti Paesi, il rischio di
consentire ad organizzazioni criminali e terroristiche di
utilizzare questo canale privilegiato di trasmissione, delle
informazioni, per mettersi al riparo da qualsiasi ingerenza delle
autorità investigative.
a cura di Domenico Condello Avvocato del Foro di Roma
25
Informatica giuridica e Diritto dell’informatica (IUS 20)
Diritto, riservatezza e criminalita’
Si pone, quindi, il problema della tutela del “diritto
alla riservatezza delle comunicazioni telematiche” dei
cittadini, senza con questo impedire eventuali attività
tendenti alla repressione della criminalità telematica.
Per disciplinare la materia,sono state preposte varie
soluzioni differenti.
a cura di Domenico Condello Avvocato del Foro di Roma
26
Informatica giuridica e Diritto dell’informatica (IUS 20)
Le soluzioni
Per ricordarne solo alcune, merita cenno il COCOM,
(Cordinating Committee For Multilateral Export Controls),
un’organizzazione internazionale per il mutuo controllo
dell’esportazioni dei prodotti strategici e tecnologie che, nel
1991, decise di permettere l’esportazione di software di
crittografia nel mercato di massa.
Gli Stati Uniti, invece, preferirono regolamentarsi
separatamente.
L’obiettivo principale, era quello di impedire le esportazioni di
crittografia, verso alcuni paesi, ritenuti pericolosi per i loro
contatti con organizzazioni terroristiche come Libia, Iraq, Iran
e Nord Corea.
IL COCOM cessò di esistere nel marzo ’94.
a cura di Domenico Condello Avvocato del Foro di Roma
27
Informatica giuridica e Diritto dell’informatica (IUS 20)
Trattato di Wassenaar
Nel 1995, 28 Paesi decisero di dare un seguito al COCOM con
il “Trattato di Wassenaar”, le cui negoziazioni si conclusero
nel luglio ’96 con la sottoscrizione di 31 paesi.
Il trattato disciplina tuttora “l’esportazione delle armi
convenzionali e dei beni e tecnologie a doppio uso”, (che
possono cioè, essere usati sia a scopi militari, sia civili: la
crittografia rientra in questa categoria).
Il trattato è stato poi rivisto con gli accordi del dicembre ’98 di
Vienna, con cui sono state stabilite precise restrizioni
all’esportazione del software di pubblico dominio e alla
crittografia.
a cura di Domenico Condello Avvocato del Foro di Roma
28
Informatica giuridica e Diritto dell’informatica (IUS 20)
i sistemi di KEY ESCROWED e di KEY RECOVERY
Sono due sistemi di “compressione della crittografia”, le quali
consentono di poter decifrare ogni documento.
Nel primo caso,(K-E),il cittadino è costretto a depositare la
chiave privata presso un ente governativo, per consentire
quando necessario la decodifica dei suoi messaggi.
Nel secondo caso,(K-R),invece, pur non essendo previsto il
deposito della chiave, è possibile per la Pubblica Autorità,
decifrare qualsiasi documento che sia stato in precedenza
cifrato.
a cura di Domenico Condello Avvocato del Foro di Roma
29
Informatica giuridica e Diritto dell’informatica (IUS 20)
Soluzioni a favore della sicurezza
Tra i Paesi che si sono particolarmente distinti per le soluzioni sbilanciate a
favore della sicurezza e a danno della riservatezza, il primato spetta agli
Stati Uniti, i quali hanno una lunga tradizione in queste attività repressive
della libertà di comunicazione telematica.
Addirittura gli USA, ritenevano che la c.d. crittografia “forte”, (cioè
fondata su algoritmi di una certa robustezza che rendono assai improbabili i
tentativi di crittoanalisi) presentasse la stessa pericolosità delle munizioni
da guerra, e ne vietarono l’esportazione.
Solo recentemente il governo USA ha indicato il suo nuovo orientamento in
materia di crittografia, consentendo alla giustizia, (con la creazione di un
organismo tecnico presso l’FBI) di poter decifrare informazioni di matrice
criminosa e allo stesso tempo promuovendo il commercio elettronico,
consentendo l’esportazione di crittografia forte a protezione dei dati
sensibili.
E’ evidente come l’Amministazione USA, rimanga sempre a favore dei
prodotti basati sul key recovery, sia pure se con una semplificazione dei
controlli, ma pur sempre a danno della Privacy.
a cura di Domenico Condello Avvocato del Foro di Roma
30
Informatica giuridica e Diritto dell’informatica (IUS 20)
In america -
Giudice federale Betty Fletcher
La norma che vieta l’esportazione della crtittografia –
equiparata ad arma da guerra – e’ un norma in
violazione del primo emendamento della costituzione
che prevede che “ nessuna legge possa proibire la
libertà di parola” Gli algorittimi sono opere di
ingegno.
Zimmermann accusato di aver esportato armi da
guerra. PGP “Pretty Good Privacy”
a cura di Domenico Condello Avvocato del Foro di Roma
31
Informatica giuridica e Diritto dell’informatica (IUS 20)
diversi metodi di approccio dei governi
il primo metodo di approccio alla regolamentazione
crittografica è, come abbiamo appena visto, quello
adottato da paesi come USA, CANADA e
FEDERAZIONE RUSSA, i cui governi sono più
sensibili e preoccupati al problema della sicurezza sia
interna che esterna.
a cura di Domenico Condello Avvocato del Foro di Roma
32
Informatica giuridica e Diritto dell’informatica (IUS 20)
Secondo metodo
il secondo metodo di approccio è quello
perseguito dalla COMUNITA’ EUROPEA, che
è tesa al raggiungimento di un alto grado di
liberalizzazione dei servizi di
telecomunicazione e di informatizzazione,ivi
compreso l’uso ed il commercio di sistemi di
codificazione,metodi di crittologia ecc..
a cura di Domenico Condello Avvocato del Foro di Roma
33
Informatica giuridica e Diritto dell’informatica (IUS 20)
Normativa italiana
Diciamo subito che a livello legislativo ci si è
concentrati esclusivamente sulle funzionalità
della firma digitale,e per nulla sulla crittazione
e sulla riservatezza delle comunicazioni.
a cura di Domenico Condello Avvocato del Foro di Roma
34