• La posta Certificata
• La Posta Elettronica Certificata
• La firma Digitale
La Posta Certificata
Cosa è ?
La PostaCertificat@:
è un servizio di comunicazione elettronica tra
Cittadino e Pubblica Amministrazione.
Il servizio è offerto a titolo gratuito e si rivolge a
tutti i cittadini italiani maggiorenni che ne
facciano richiesta (anche se residenti all'estero).
Cosa è ?
• Attraverso la PostaCertificat@ ogni cittadino può
dialogare in modalità sicura e certificata con la
Pubblica Amministrazione comodamente da casa o
con qualsiasi dispositivo in grado di connettersi ad
internet senza recarsi presso gli Uffici della PA per:
• richiedere/inviare informazioni alle Pubbliche
Amministrazioni
• inviare Istanze/documentazione alle Pubbliche
Amministrazioni
• ricevere documenti, informazioni, comunicazioni
dalle Pubbliche Amministrazioni
Cosa è
Il servizio PostaCertificat@:
• fornisce tutte le garanzie di una posta elettronica
certificata
• permette di dare ad un messaggio di posta
elettronica la piena validità legale nei casi
previsti dalla normativa
• garantisce data e ora riferiti all'accettazione e
alla consegna del messaggio e l'integrità del
contenuto trasmesso
Cosa è
• La PostaCertificat@ garantisce un canale di
comunicazione chiuso ed esclusivo tra Pubblica
Amministrazione e Cittadino, non sono, infatti,
previste comunicazioni al di fuori di tale canale,
ad esempio tra Cittadino e Cittadino.
• Le caselle PostaCertificat@ attivate dalla
Pubblica Amministrazione per i propri dipendenti
(in qualità di Cittadini) sono del tutto equivalenti
alle caselle PostaCertificat@ per il Cittadino.
Quali sono i Servizi ?
• I Servizi Base sono forniti gratuitamente e
consentono di stabilire un canale di
comunicazione semplice, diretto e sicuro tra il
Cittadino e la Pubblica Amministrazione.
• I Servizi Avanzati (di prossima attivazione) sono
invece attivabili a pagamento e rendono
disponibili molte altre funzionalità della
PostaCertificat@.
I Servizi Base
• I servizi base forniti in forma gratuita al Cittadino,
ossia l'insieme dei servizi necessari a garantire
la creazione di un canale di comunicazione
semplice, diretto e sicuro tra Cittadino e
Pubblica Amministrazione, sono:
 la casella di posta elettronica PostaCertificat@,
con dimensione di 250 MB, per ogni Cittadino italiano
maggiorenne che ne faccia richiesta, destinata
esclusivamente alle comunicazioni tra Pubblica
Amministrazione e Cittadino, e viceversa.
I Servizi Base
 il servizio opzionale di notifica tramite posta
elettronica tradizionale (ad esempio dell’avvenuta
ricezione di un messaggio sulla propria casella
PostaCertificat@ oppure delle ricevute di
accettazione e consegna conseguenti un invio)
 il fascicolo elettronico personale del Cittadino, uno
spazio per la memorizzazione dei documenti
scambiati con capacità di memorizzazione di 500 MB,
attraverso salvataggio operato tramite Casella
PostaCertificat@.
 la messa a disposizione del Cittadino di
un indirizzario delle PubblicheAmministrazioni ( in
fase di completamento ) provviste di PostaCertificat@
o posta elettronica certificata preventivamente inserite
nell'Indice delle PA.
I Servizi Avanzati
• Ai cittadini che ne facciano richiesta, saranno messi
disposizione, a pagamento, ulteriori servizi accessori, di
prossima attivazione, quali:
• Servizi di firma digitale
• Servizi di notifica multicanale, cioè di segnalazione,
attraverso SMS, IVR e posta cartacea, degli eventi
collegati alla casella stessa
• Agenda degli eventi, con l'indicazione delle principali
scadenze di interesse
• Il servizio avanzato di fascicolo elettronico personale
del Cittadino, con uno spazio di memorizzazione pari a 1
GB
I Servizi Avanzati
Sono inoltre previsti ulteriori servizi aggiuntivi a pagamento per il
Cittadino:
•
•
•
•
•
Servizio di comunicazione FAX verso PostaCertificat@
Servizio di firma digitale remota
Libretto sanitario elettronico
Servizi di Postaonline fruibili dalla casella PostaCertificat@
Servizi di stampa, imbustamento e recapito delle
comunicazioni effettuate tramite PostaCertificat@ per inoltro
cartaceo a terzi
• Fornitura lettore di smart card
• Accesso vocale alla casella PostaCertificat@
• Cartella centralizzata per la conservazione e la condivisione
di file personali (Private Folder)
La Sicurezza
• Limitazione delle comunicazioni
il servizio di comunicazione PostaCertificat@
consente le sole comunicazioni tra Cittadino e
Pubbliche Amministrazioni e viceversa e quello
tra Pubbliche Amministrazioni e Pubbliche
Amministrazioni. Relativamente alle caselle
della Pubblica Amministrazione la
comunicazione è limitata alle Pubbliche
Amministrazioni iscritte all'Indice PA.
La Sicurezza
• Canali di trasmissione sicuri
tutte le connessioni sono realizzate tramite
l'impiego di canali sicuri basati sull'utilizzo
dei protocolli di trasporto Transport Layer
Security (TLS)/Secure Sockets Layer
(SSL), che permettano la crittografia dei
dati trasmessi in rete.
La Sicurezza
• Antivirus
I sistemi di front-end che permettono il colloquio
con i client e la casella PostaCertificat@,
includono componenti antivirus che effettuano
controlli sia nei messaggi in ingresso, che in
uscita. Le configurazioni adottate sono tali per
cui tutti i messaggi di PostaCertificat@ in cui è
rilevata la presenza di virus sono consegnati al
motore di PostaCertificat@ per essere trattati in
conformità alla normativa vigente.
La Sicurezza
• Gestione Log
Tutti i log inerenti i messaggi scambiati sono
memorizzati su un registro (log) riportante
i dati significativi dell'operazione. I log dei
messaggi sono conservati per 30 mesi a
cura del Gestore.
La Sicurezza
• Integrità e limitazione dell'uso improprio del servizio
il sistema PostaCertificat@ permette, attraverso le
caratteristiche della piattaforma utilizzata, di tenere sotto
controllo l'utilizzo delle risorse da parte dell'utente, sulla
base di specifici parametri quali: il numero massimo di
invii, la dimensione massima dei messaggi, numero
massimo dei destinatari, dimensione massima dello
spazio di memorizzazione della casella.
• effettuare un numero massimo di invii giornalieri, non
superiore a 10;
• inviare un messaggio con dimensione massima pari a
30 MB;
• inviare messaggi fino 50 destinatari*.
La Normativa
La PostaCertificat@ è rilasciata ai sensi dell'art. 16-bis del
Decreto Legge del 29 novembre 2008, n. 185, recante
"Misure urgenti per il sostegno a famiglie, lavoro,
occupazione e impresa e per ridisegnare in funzione
anti-crisi, il quadro strategico nazionale", convertito in
legge del 28 gennaio 2009, n. 2 e del Decreto del
Presidente del Consiglio dei Ministri del 6 maggio 2009
recante disposizioni in materia di rilascio e di uso della
casella di Posta Elettronica Certificata ai cittadini.
L'utilizzo della PostaCertificat@ avviene ai sensi del
Codice dell'Amministrazione Digitale ed è aderente al
Regolamento sulla Posta Elettronica Certificata DPR 11
febbraio 2005, n. 68 ed alle Regole Tecniche di cui al
Decreto Ministeriale 2 Novembre 2005.
Come richiedere il servizio di posta
Certificat@
Per richiedere l’attivazione del servizio
PostaCertificat@ basta collegarsi al
Portale Web,www.postacertificata.gov.it e
seguire i passi operativi indicati dalla
procedura interattiva guidata che consente
di inserire la richiesta in maniera semplice
e veloce.
Come richiedere il servizio di posta
Certificat@
• La procedura prevede:
– Inserimento dei dati richiesti: il Cittadino inserisce i
dati utili per la sua pre-registrazione. I dati richiesti
includono:
• dati anagrafici, comprensivi del codice fiscale
• domicilio postale per le eventuali comunicazioni in forma
cartacea
• contatti telefonici (fisso e mobile)
• indirizzo di posta elettronica tradizionale
• password di accesso ai servizi PostaCertificat@, che può
essere successivamente cambiata in qualsiasi momento
attraverso apposita funzione del Portale Web eventuali altri
dati
Come richiedere il servizio di posta
Certificat@
• Verifica correttezza dei dati inseriti:(ad es.
vincoli di sicurezza sulla costituzione della
password, correttezza formale del Codice
Fiscale, formato e-mail, codice fiscale già
registrato, etc.)
• Selezione dei servizi accessori: è possibile
selezionare eventuali servizi opzionali di base
(es. notifica su Posta elettronica tradizionale) o
Servizi accessori che si desidera attivare, via via
che questi vengono resi disponibili.
Come richiedere il servizio di posta
Certificat@
• Scelta Password: il Cittadino inserisce la password da utilizzare
per l’accesso al Portale Web e, una volta eseguita la registrazione,
per utilizzare la casella PostaCertificat@ ed i servizi associati.
• Presentazione Documentazione descrittiva del Servizio
PostaCertificat@: il sistema sottoponeal Cittadino:
– le regole per l’attivazione e l’utilizzo del servizio
– i requisiti tecnici per l’accesso al servizio
– consigli per il corretto utilizzo del servizio in condizioni di massima
sicurezza
– tutti i documenti e le informative sulle condizioni contrattuali del servizio
e sulle implicazioni dell’adesione allo stesso nei rapporti con la Pubblica
Amministrazione.
Come richiedere il servizio di posta
Certificat@
• Accettazione da parte del Cittadino
delle condizioni contrattuali del servizio
e delle implicazioni dell’adesione allo
stesso nei rapporti con la Pubblica
Amministrazione.
• Finalizzazione della richiesta:
il Cittadino conferma il riepilogo dei dati
immessi e dei servizi richiesti e inoltra la
richiesta.
Come richiedere il servizio di posta
Certificat@
• Comunicazione dell’esito della
richiesta:
il Cittadino visualizza i dati principali relativi
alla sua richiesta, tra cui il Codice utente e
l’indirizzo della casella PostaCertificat@.
• Memorizzazione della richiesta di
attivazione
• Stampa riepilogativa della richiesta
Come attivare la Casella
PostaCertificat@
• Una volta effettuata la registrazione sul portale è
necessario recarsi presso uno degli uffici abilitati
perl’identificazione. L’utente potrà recarsi presso tali
uffici a partire dalla data che gli verrà comunicata
dalConcessionario e comunque entro 3 mesi dalla
registrazione.
• NB: la richiesta di attivazione del Servizio da richiedere
all’Ufficio Postale Abilitato può essere fatta
personalmente dall’interessato, oltre che da persona
munita di appositadelega con firma del delegante
autenticata ai sensi e per gli effetti di cui all’art. 2703
codice civile.
Come attivare la Casella
PostaCertificat@
Allo sportello di seguito le attività necessarie da
svolgere:
• Richiesta del documento di riconoscimento
in corso di validità e del Codice Fiscale
• Verifica della correttezza dei dati immessi
• Comunicazione al Cittadino:
comunicazione al Cittadino in modo completo e
chiaro delle condizioni d'uso del servizio.
Come attivare la Casella
PostaCertificat@
• Firma del Contratto e dell’Informativa:
stampa, da parte dell’operatore di sportello, del
modulo di adesione contenente anche
l’informativa privacy e firma del Cittadino.
• Registrazione al sistema di completamento
della procedura formale di accettazione
• Consegna del contratto da parte
dell’operatore di sportello:
• Archiviazione della documentazione cartacea
Come attivare la Casella
PostaCertificat@
• Non appena completata l’attività di registrazione vengono svolte le
attività indicate di seguito:
• Viene abilitata l’utenza all’interno del sistema di gestione delle
identità del Portale PostaCertificat@ in modo che il Cittadino possa
eseguire le attività connesse al proprio profilo.
• la casella PostaCertificat@ assegnata viene inserita all’interno
dell'elenco degli indirizzi dei cittadini e resa visibile a tutte le
Pubblica Amministrazione attive nel sistema PostaCertificat@.
• viene creata e resa attiva la casella di PostaCertificat@ del Cittadino
e attivato lo spazio nel Fascicolo elettronico Personale,
relativamente al servizio base.
• vengono eseguite le procedure di attivazioni degli eventuali servizi
addizionali sottoscritti.
Posta Elettronica Certificata
La Posta Elettronica Certificata (detta
anche posta certificata o PEC) è :
un sistema di comunicazione simile alla
posta elettronica standard a cui si
aggiungono delle caratteristiche di
sicurezza e di certificazione della
trasmissione tali da rendere i messaggi
opponibili a terzi.
Come avviene la trasmissione con
la PEC
• La trasmissione viene considerata posta
certificata solo se :
le caselle del mittente e del destinatario sono
caselle di posta elettronica certificata. Se una
delle caselle coinvolte nella trasmissione non è
una casella di PEC si viene a perdere il valore
della trasmissione e il sistema potrà fornire solo
una parte delle funzionalità di certificazione
previste; in questo caso, per esempio, non viene
fornita la ricevuta di avvenuta consegna.
Come avviene la trasmissione con
la PEC
• L'utilizzo dei servizi di posta certificata avviene
esclusivamente utilizzando protocolli sicuri, in
modo da evitare qualsiasi manomissione del
messaggio da parte di terzi.
• Quando si spedisce un regolare messaggio da
una casella di posta certificata si riceve dal
proprio provider di posta certificata una ricevuta
di accettazione , firmata dal gestore stesso, che
attesta il momento della spedizione ed i
destinatari (distinguendo quelli normali da quelli
dotati di PEC.).
Come avviene la trasmissione con
la PEC
• Un messaggio di posta certificata viene
consegnato nella casella del destinatario
inserito nella sua "busta di trasporto",
ovvero il nuovo messaggio creato dal
provider del mittente, contenente il
messaggio originale e i più significativi dati
di spedizione, sul quale il provider appone
la propria firma, in modo che il provider del
destinatario possa appurarne l'integrità.
Come avviene la trasmissione con
la PEC
• Non appena effettuata la consegna il
provider del destinatario invia al mittente
la ricevuta di consegna. Anche in questo
caso si tratta di un messaggio email,
firmato dal gestore stesso che attesta:
• la consegna
• data e ora di consegna
• contenuto consegnato
Come avviene la trasmissione con
la PEC
la ricevuta di consegna contiene, in allegato,
anche il messaggio vero e proprio (con tutti i
suoi eventuali allegati). Questo significa che la
posta certificata fornisce al mittente una prova,
firmata dal provider scelto dal destinatario, di
tutto il contenuto che è stato recapitato (con
data e ora di recapito). Questa è una delle
caratteristiche più significative che distingue la
posta certificata dai normali mezzi per l'invio di
documenti ufficiali in formato cartaceo.
La Firma Digitale
Definizione di documento
Informatico e Valore Probatorio
• Il Codice della Amministrazione Digitale
(D.Lgs 7 marzo 2005, n.82) definisce
“documento informatico” “la
rappresentazione informatica di atti, fatti o
dati giuridicamente rilevanti”.
Sancisce inoltre che “Il documento
informatico, sottoscritto con firma digitale o
con un altro tipo di firma elettronica
qualificata, ha l’efficacia prevista
dall’articolo 2702 del codice civile.
Definizione di documento
Informatico e Valore Probatorio
• L’utilizzo del dispositivo di firma si presume riconducibile
al titolare, salvo che questi dia prova contraria.” ed
anche che “Le istanze e le dichiarazioni presentate alle
pubbliche amministrazioni per via telematica ai sensi
dell’articolo 38, commi 1 e 3, del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445, sono valide:
– a) se sottoscritte mediante la firma digitale, il cui certificato è
rilasciato da un certificatore accreditato;” Possiamo quindi
utilizzare la firma digitale per sottoscrivere una dichiarazione o
un contratto, brevemente tutto ciò che richiede una
sottoscrizione autografa ai sensi dell’art. 2702 del codice civile.
La firma digitale garantisce quindi, nei confronti dei
documenti informatici, la presenza degli stessi requisiti che
la firma autografa garantisce nei confronti dei documenti
cartacei, fornendo in più garanzia di immodificabilità
dell’oggetto della sottoscrizione.
La firma Digitale
La firma digitale costituisce uno dei cardini del processo di
e-governement.
Possono dotarsi di firma digitale tutte le persone fisiche:
cittadini, amministratori e dipendenti di società e
pubbliche amministrazioni.
Per dotarsi di firma digitale è necessario rivolgersi ai
certificatori accreditati: soggetti pubblici e privati che
hanno ottenuto l’autorizzazione a svolgere tale attività.
L'elenco degli enti certificatori è tenuto dal DigitPA (ex
CNIPA ) , Centro Nazionale per l'Informatica nella
Pubblica Amministrazione.A metà dell’anno 2008 si
contano oltre 3,2 milioni di dispositivi di firma digitale.
Cosa è La Firma Digitale
• La Firma Digitale è:
– il risultato di una procedura informatica che
garantisce l’autenticità e l’integrità di messaggi e
documenti scambiati e archiviati con mezzi
informatici, al pari di quanto svolto dalla firma
autografa per i documenti tradizionali.
– La differenza tra firma autografa e firma digitale è
che la prima è legata alla caratteristica fisica della
persona che appone la firma, vale a dire la grafia,
mentre la seconda al possesso di uno strumento
informatico e di un PIN di abilitazione, da parte del
firmatario.
Cosa è La Firma Digitale
• La Firma Digitale è:
– La firma digitale è il risultato di una procedura
informatica (validazione) che consente al
sottoscrittore di rendere manifesta l’ autenticità del
documento informatico ed al destinatario di
verificarne la provenienza e l’integrità. In sostanza i
requisiti assolti sono:
– Autenticità: con un documento firmato digitalmente si
può essere certi dell’ identità del sottoscrittore;
– Integrità: sicurezza che il documento informatico non
è stato modificato dopo la sua sottoscrizione;
– Non ripudio: il documento informatico sottoscritto con
firma digitale, ha piena validità legale e non può
essere ripudiato dal sottoscrittore.
Come Funziona
• Per generare una firma digitale è necessario:
utilizzare una coppia di chiavi digitali asimmetriche,
attribuite in maniera univoca ad un soggetto detto
Titolare della coppia di chiavi.
La prima, chiave privata destinata ad essere conosciuta
solo dal Titolare, è utilizzata per la generazione della
firma digitale da apporre al documento,
La seconda, chiave da rendere pubblica, viene utilizzata
per verificare l’autenticità della firma.
Come Funziona
Caratteristica di tale metodo, detto
crittografia a doppia chiave, è che, firmato
il documento con la chiave privata, la firma
può essere verificata con successo
esclusivamente con la corrispondente
chiave pubblica.La sicurezza è garantita
dalla impossibilità di ricostruire la chiave
privata (segreta) a partire da quella
pubblica, anche se le due chiavi sono
univocamente collegate.
La certificazione
• Il certificato è un documento elettronico, contenente
informazioni relative al titolare e la chiave pubblica di
firma del Titolare. E’ il risultato di una apposita procedura
di certificazione che garantisce la corrispondenza
biunivoca tra una chiave pubblica ed il soggetto a cui
essa appartiene.
• Affinché i soggetti possano riporre completa fiducia nei
certificati digitali e nei dati in essi contenuti, occorre che
una "terza parte fidata" - il Certificatore - garantisca
l’affidabilità dei dati contenuti nel certificato, occupandosi
quindi del suo rilascio e pubblicazione su un apposito
registro accessibile online.
Il Certificatore
Le principali attività del Certificatore sono le seguenti:
• verificare ed attestare l’identità del richiedente;
• stabilire il termine di scadenza dei certificati, ed il periodo
di validità delle chiavi in funzione della loro "robustezza "
e degli usi per i quali sono impiegate;
• emettere e pubblicare il certificato, in un archivio
pubblico gestito dallo stesso Certificatore;
• revocare o sospendere i certificati.
• I certificatori, per l’attuale normativa, sono accreditati
presso il Centro nazionale per l'informatica nella
Pubblica Amministrazione ed iscritti in un apposito
elenco.
La Certificazione e la Marcatura
Temporale
• La procedura di marcatura temporale serve ad
attestare l’esistenza di un documento
informatico rispetto ad una data certa.
Tale procedura, che deve essere resa disponibile
ai propri titolari di firma digitale da ogni
certificatore, prevede la generazione di una
marca temporale che fornisce un riferimento
temporale opponibile ai terzi atto a dimostrare
l’esistenza di un documento informatico in un
dato momento.
Un elenco di certificatori
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Actalis S.p.A. (dal 28/03/2002)
Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007)
Banca d’Italia (dal 24/01/2008)
Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004)
Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della Cedacrinord
S.p.A.)
CNDCEC (dal 10/07/2008)
Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006)
Consiglio Nazionale del Notariato (dal 12/09/2002)
Consiglio Nazionale Forense (dal 11/12/2003)
I.T. Telecom S.r.l. (dal 13/01/2005)
In.Te.S.A. S.p.A. (dal 22/03/2001)
Infocert S.p.A. (dal 19/07/2007)
Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per
incorporazione del Sanpaolo IMI in Banca Intesa e conseguente cambio di
denominazione sociale)
Ecc.ecc.
Come si ottiene il Certificato
• Per la legge italiana il Certificatore deve
provvedere a verificare l’ identità del soggetto
che richiede il certificato attraverso procedure
appositamente definite.
• Il richiedente
– deve fornire all’Ente di Certificazione la
documentazione utile per accertare la sua identità;
• Il Certificatore, a sua volta
– fornisce al richiedente un codice identificativo
univoco;
Come si ottiene il Certificato
• A seguito della generazione delle chiavi
asimmetriche, quella privata da mantenere
segreta e quella pubblica da rendere disponibile
per la verifica, quest’ultima chiave viene inviata
al Certificatore per l’emissione del certificato;
• Il Certificatore, infine, genera e pubblica il
certificato che contiene i dati del Titolare e la sua
chiave pubblica che i destinatari utilizzano per la
verifica della firma.
Cosa Contiene Un certificato
Digitale
• Il certificato è il mezzo di cui dispone il
destinatario per avere la garanzia sull’identità
del suo interlocutore e per venire in possesso
della chiave pubblica di quest’ultimo.
• Per tale ragione il certificato contiene, oltre la
chiave pubblica per la verifica della firma, anche
i dati del titolare;
• è garantito e firmato da una "terza parte fidata":
il certificatore.
Cosa Contiene Un certificato
Digitale
• numero di serie del certificato
• ragione e denominazione sociale del
certificatore
• codice identificativo del titolare presso il
certificatore
• nome, cognome e data di nascita ovvero
ragione o denominazione sociale del
titolare
• valore della chiave pubblica
Cosa Contiene Un certificato
Digitale
•
•
•
•
algoritmi di generazione e verifica utilizzabili
inizio e fine del periodo di validità delle chiavi
algoritmo di sottoscrizione del certificato
Il certificato in formato X.509, contiene in uno
standard riconosciuto, una serie di campi per
dati obbligatori ai quali possono essere aggiunte
ulteriori estensioni per riportare informazioni
aggiuntive.
Le Chiavi Asimmetriche e la
Crittografia
Vista la rilevanza giuridica del documento
informatico, occorre poter individuare in maniera
semplice il suo sottoscrittore e poter rilevare
immediatamente se il documento è integro
oppure è stato alterato dopo la sua
sottoscrizione.
A tale scopo riveste particolare importanza la
crittografia , tecnica per rendere inintellegibili
documenti a chi non dispone della relativa
chiave e dell’algoritmo necessario.
Le Chiavi Asimmetriche e la
Crittografia
La crittografia può essere:
• simmetrica, nel caso in cui ogni titolare dispone
di una chiave per la firma dei documenti; la
stessa chiave deve essere a conoscenza del
destinatario che la utilizza per la verifica;
• asimmetrica, ogni titolare dispone di una coppia
di chiavi, una privata , da mantenere segreta,
utilizzata per la sottoscrizione dei documenti,
l’altra da rendere pubblica e da usare per la
verifica.
Cosa è una chiave di coppia
asimetrica ?
• E’ una coppia di chiavi crittografiche, una
privata ed una pubblica, da utilizzarsi per
la sottoscrizione dei documenti informatici.
Pur essendo univocamente correlate, dalla
chiave pubblica non è possibile risalire a
quella privata che deve essere custodita in
maniera riservata dal Titolare.
Cosa è una chiave di coppia
asimetrica ?
• Chiave privata: elemento della coppia di chiavi
asimmetriche, destinato ad essere conosciuto
soltanto dal soggetto Titolare, mediante il quale
si appone la firma digitale sul documento
informatico.
• Chiave pubblica: elemento della coppia di
chiavi asimmetriche destinato ad essere reso
pubblico, con il quale si verifica la firma digitale
apposta sul documento informatico dal Titolare
delle chiavi asimmetriche.
Cosa e’ un certificato per chiavi di
firma ?
Il certificato è un documento elettronico contenente
informazioni relative al Titolare e la sua chiave pubblica;
è firmato dal Certificatore con la propria chiave privata
utilizzata solo per questo scopo.
• Il Certificatore emette il certificato e lo sottoscrive
apponendo la sua firma digitale mediante la chiave
privata di certificazione. Chiunque desideri assicurarsi
dell’autenticità e dell’integrità dei dati in esso contenuti,
può verificarlo utilizzando la chiave pubblica del
certificatore stesso.
• Il certificato viene inviato al richiedente che, nel rispetto
della normativa vigente, lo allega, per la verifica, al
documento informatico ed alla relativa firma digitale.
Limpronta del documento e la
Firma Digitale
La prima operazione per generare una firma
digitale è l’estrazione, dal documento originario,
della cosiddetta "impronta digitale", cioè una
stringa di dati lunga di solito 160 bit, ottenuta
con una funzione matematica, detta "hash",
irreversibile (non è possibile, a partire dall’
impronta, risalire al documento originario).
Tale funzione sintetizza il testo in modo univoco (a
due testi che differiscono anche per un solo
carattere, corrispondono due impronte diverse).
La Generazione della Firma digitale
La generazione della firma consiste nella cifratura con la
chiave privata dell’impronta precedentemente generata.
In questo modo la firma risulta legata:
• attraverso la chiave pubblica - univocamente correlata
alla chiave privata utilizzata per la firma del documento
informatico - al soggetto sottoscrittore
• tramite l’impronta al testo sottoscritto
La firma digitale, vale a dire l’impronta cifrata, viene
allegata al documento in chiaro insieme al certificato da
cui è possibile ottenere la chiave pubblica per la verifica.
La generazione della Firma Digitale
Le principali fasi del processo di firma digitale
sono:
• Viene prodotta l’impronta del documento da
firmare, utilizzando la funzione di hash;
• Si genera la firma digitale cifrando, con la chiave
privata del sottoscrittore, l’impronta
precedentemente prodotta;
• Viene creata la "busta elettronica", contenente il
documento informatico, la firma digitale ed il
certificato della chiave pubblica; il "pacchetto"
così formato viene trasmesso al destinatario.
Come si verifica una Firma Digitale
Il processo di verifica consiste nei seguenti
fasi fondamentali:
• la decifratura della firma digitale con la
chiave pubblica del mittente, contenuta nel
certificato allegato; si ottiene così
l’impronta in precedenza generata dal
mittente del documento - l’esito positivo di
questa operazione assicura l’autenticità
dell’origine dei dati;
Come si verifica una Firma Digitale
• la creazione, a partire dal documento
informatico ricevuto, dell’impronta univoca,
utilizzando la stessa funzione di hash
precedentemente utilizzata dal mittente;
• il confronto tra le due impronte, quella
ricevuta in maniera cifrata - e decifrata
utilizzando la chiave pubblica - e quella
calcolata utilizzando la funzione di hash,
dà la garanzia che il documento non è
stato alterato.
L’infrastuttura a Chiave Pubblica
Contesto Tecnologico
E’ un insieme di apparati, regole di
sicurezza, procedure operative e servizi
che rendono possibile la gestione
affidabile ed efficiente di applicazioni per
la firma digitale, l’autenticazione, la
protezione della riservatezza e la
marcatura temporale dei documenti
informatici.
L’infrastuttura a Chiave Pubblica
Contesto Tecnologico
Si basa sulla crittografia asimmetrica a chiave
pubblica e svolge le seguenti funzioni principali:
• generazione e distribuzione di coppie di chiavi
digitali;
• verifica dell’identità dei richiedenti i certificati;
• emissione e pubblicazione dei certificati;
• gestione del ciclo di vita dei certificati
(sospensione, revoca, rinnovo)
L’infrastuttura a Chiave Pubblica
Contesto Tecnologico
• La chiave privata utilizzata per la firma dei documenti
informatici deve essere conservata in maniera sicura e
segreta dal Titolare che ne è responsabile;
• Per tale ragione le smart card crittografiche,
opportunamente protette da PIN di accesso, sono state
individuate come un valido supporto, in quanto oltre a
permettere la generazione delle chiavi al loro interno e l’
applicazione della firma digitale, dispongono di sistemi di
sicurezza che impediscono l’esportazione e la copia
della chiave privata, fuori dalla smart card in cui è stata
generata.
L’infrastuttura a Chiave Pubblica
Contesto Tecnologico
• La diffusione della chiave pubblica, invece,
consente a tutti i possibili destinatari dei
documenti informatici di disporre della
chiave necessaria per la verifica dei
documenti. Per individuare in maniera
sicura il sottoscrittore del documento, deve
essere legata in maniera certa al titolare
della corrispondente chiave privata.
Il Dispositivo di Firma
• Per la normativa italiana con dispositivo di firma
si intende "un apparato elettronico
programmabile solo all’origine, facente parte del
sistema di validazione, in grado almeno di
conservare in modo protetto la chiave privata e
generare al suo interno le firme digitali."
• Uno degli strumenti che è possibile utilizzare
come dispositivo di firma è la smart card
crittografica.
La Smart Card
Dal punto di vista operativo, l'utente deve avere un
dispositivo di firma sicuro, rilasciato da un Ente
Certificatore. Si tratta di una smart card, ovvero una
carta a microprocessore personalizzata e dotata di
codice segreto (PIN).
Utilizzando la sua carta, attraverso gli appositi strumenti
hardware e software, l'utente è in grado di apporre la
propria firma digitale su un qualsiasi documento
informatico. La firma risulterà indissolubilmente legata da
un lato al soggetto sottoscrittore e dall'altro al testo
sottoscritto.
Il destinatario del documento, mediante il proprio sistema
informatico, ha la possibilità di verificare l'identità del
sottoscrittore, l'integrità del documento e la data e ora
della sua generazione.
Possibili Utilizzi della FirmaDigitale
•
•
•
•
•
•
•
•
•
•
comunicazioni ufficiali con le amministrazioni pubbliche
risposte a bandi e gare pubbliche
moduli di richiesta di vario genere
dichiarazioni fiscali e di altro tipo
trasmissione di documenti legali
rapporti contrattuali su reti aperte (Internet)
fornitura elettronica di beni e servizi
transazioni finanziarie
identificazione e/o autorizzazione
gestione di attività in gruppi/sistemi chiusi o a partecipazione
controllata
• gruppi di lavoro e di ricerca
• transazioni personali.