Lezione 6
La firma elettronica
Dalla sottoscrizione autografa
alla firma elettronica
• La forma scritta: aspetti generali
• La crittografia: aspetti tecnici
• La firma digitale: aspetti tecnici e considerazioni
generali
• La scelta del legislatore




Gli interventi normativi
I tipi di firma e il valore dei documenti firmati
L’autorità di certificazione
La validazione temporale
2
La forma scritta
Aspetti generali
La forma scritta: aspetti generali
3
La forma scritta: aspetti generali
Il ricorso alla forma scritta
• Nei rapporti tra privati la
forma scritta è richiesta
solo in alcuni casi
• Gli atti e i documenti
pubblici richiedono,
invece sempre la forma
scritta
La forma scritta: aspetti generali
Forme scritte
• Atto pubblico
• Scrittura privata
La dichiarazione di
volontà espressa per
iscritto e sottoscritta
Il documento redatto con
le richieste formalità, da
un notaio o da altro
pubblico ufficiale,
autorizzato ad attribuirgli
pubblica fede nel luogo
dove l’atto è formato
Efficacia probatoria
atto pubblico
può essere contestato solo
attraverso la querela
di falso
scrittura privata
può essere
disconosciuta da
colui nei cui
confronti viene
prodotta;
può essere accertata in
giudizio attraverso
il processo di
verificazione
sottoscrizione
autenticata
può essere
contestata
solo
attraverso
la querela
di falso
Caratteristiche della forma scritta
• Provenienza
sottoscrizione
• Riservatezza
timbri, sigilli
• Integrità
supporto cartaceo
• Paternità
sottoscrizione,
autenticazione
La crittografia
Aspetti tecnici
La crittografia: aspetti tecnici
8
La crittografia: aspetti tecnici
Qualche cenno storico... (1)
Gli spartani usavano scrivere il messaggio
su un pezzo di cuoio che arrotolavano
intorno ad un bastone. Chi doveva decifrare
il messaggio doveva possedere un bastone
con lo stesso diametro....
La crittografia: aspetti tecnici
Qualche cenno storico ...(2)
• Più tardi si introduce un cifrario monoalfabetico, nel senso
che ogni lettera del messaggio era sostituita con quella
successiva nell’alfabeto (1,2,3 etc. posizioni avanti o
indietro nell’alfabeto). Chi doveva decifrare il messaggio
doveva conoscere la posizione scelta.
La crittografia: aspetti tecnici
Qualche cenno storico .... (3).
• Si utilizza anche un cifrario polialfabetico in cui le
lettere del messaggio corrispondono alla posizione
delle lettere di un altro messaggio, o di un libro, di
un’opera etc.
La crittografia: aspetti tecnici
Crittografia
Chiave
K1
Cifra
E(M,K1)C
Chiave
Rete “Insicura”
Messaggio
Cifrato
C
D(C,K2)M
Decifra
Intruso
Messaggio
in chiaro
Attivo
M
Messaggio
in chiaro
M
Mittente
K2
Passivo
La crittografia: aspetti tecnici
Destinatario
12
La crittografia: aspetti tecnici
Crittografia Simmetrica
• I messaggi vengono cifrati e decifrati con la stessa chiave
(cioè K1=K2).
• Tutte le parti coinvolte nella transazione devono conoscere
la chiave:
– Serve un canale sicuro per la distribuzione della chiave, ma se c’è
un canale sicuro perché non usarlo sempre?
– Con quale frequenza si deve cambiare la chiave?
La crittografia: aspetti tecnici
13
La crittografia: aspetti tecnici
Crittografia Asimmetrica
• Ogni partner coinvolto nella transazione ha due chiavi
correlate tra di loro, una pubblica (KP) e una segreta (KS)
– La chiave pubblica è di dominio pubblico, tutti la conoscono e
tutti la possono usare!
– La chiave segreta (o privata) è nota solo al proprietario!
• L’informazione cifrata con una delle due chiavi (KP o
KS) può essere decifrata solo usando l’altra chiave (risp.
KS o KP)!!
La crittografia: aspetti tecnici
14
La crittografia: aspetti tecnici
Esempio
-----BEGIN PGP PUBLIC KEY BLOCK----Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com>
mQGiBDhRPxgRBADYsf3zYRpnY0AY17MSHu2fvTFtD+4084xmPe1qBFXUfYnR2o/y
obZ9koYMJFgNocue+XC90tlQ4DMYHJwUz/Hozli2haBc6uwFCWexCQ33PSJGEsLl
QQelmphmHVdb0qBYrKaxJAjULUvpDwExPBJruQtx2MFP8kZ9QHDir3jklQCg/+VC
Y7Xcb0OJlBhTImE2PbgU3aUEAK7qzS2ZvrH7kVGDRFitmuInoUZvyYD0t8aq3kal
taAmQ+EQp+5QZgoC6xCaHqIEQt2U3f/YIpFh2oxjqtO2YApDywi5G4wa0Mmp1fFo
dlXMvOmaTaQpZ5pYtRRF8R+WyBRl/9M1hjwbKC2q8dt8NZCopVk5lt0mHkCZ/fNG
Vj4wA/43QllRv/W5/3u52HqxxAkujC8abjK2tx1vAbptsY/6kEaZuti8E++qF1nJ
UAuBNfjt8p28ghA2Cuf3+PFM4/VWRew1AWgqSgvmdI14/TIeoFGAYyjW//5FHclf
u/geEb4eTodYYiWFQ1zgNps2dt49fZ7kghSc47MG540evlgMebQjR2lhY29tbyBC
dW9uYW5ubyA8YnVvbmFubm9AbGl1Yy5pdD6JAFQEEBECABQFAjhRPxgFCQAo3oAE
CwMCAQIZAQAKCRCxn/D3I46UeB/zAKClpbyXuUEPPOINm2eQKsKPyiQ78wCfexRN
zBlwRJ8B51k3f8KcaEQymy25Ag0EOFE/GBAIAPZCV7cIfwgXcqK61qlC8wXo+VMR
OU+28W65Szgg2gGnVqMU6Y9AVfPQB8bLQ6mUrfdMZIZJ+AyDvWXpF9Sh01D49Vlf
3HZSTz09jdvOmeFXklnN/biudE/F/Ha8g8VHMGHOfMlm/xX5u/2RXscBqtNbno2g
pXI61Brwv0YAWCvl9Ij9WE5J280gtJ3kkQc2azNsOA1FHQ98iLMcfFstjvbzySPA
Q/ClWxiNjrtVjLhdONM0/XwXV0OjHRhs3jMhLLUq/zzhsSlAGBGNfISnCnLWhsQD
GcgHKXrKlQzZlp+r0ApQmwJG0wg9ZqRdQZ+cfL2JSyIZJrqrol7DVekyCzsAAgII
AMzzTYy4l6Vkr+pWpzkBU5+I7E5zzb4U1ohA1BipBnxRk+0Ieo1hPmDUgkviGx40
CdXTjxEiN9nXedoaBRgXvU+IuZlpKNev8rwXGkl7C2XwmboIG+LgZHDPI3L4yzOd
/b1RJYlMSQtQXTn3M/LL3GAKVwejbEQZ3EHcSKPVpVhhLyVgJ9smJ51dPuehdJSh
93n5tvaICpbRGCrHB9265mFX/byvgNOGJcFPRAF5UTAtsQ57AXi4qcao5xnOpIfQ
HVUBLoKw6ALmDq1ivi/xVLe2wd6AwJLtJCmR4oCJPxGJ6PcJB/HLhXqIXEkUr9mt
DVdR57tq2KOF4N5CrFzWigiJAEwEGBECAAwFAjhRPxgFCQAo3oAACgkQsZ/w9yOO
lHiS6gCfa9bP07T0zN21SOsGjgn80LlOnSEAn0RXogyKSq3X83DPd2vIN3skWJwY
=zvNB
-----END PGP PUBLIC KEY BLOCK-----
La crittografia: aspetti tecnici
Riservatezza & Integrità
Chiave
KPD
Cifra
E(M,KPD)C
Chiave
Rete “Insicura”
Messaggio
Cifrato
C
Intruso
KPM – KPD
Messaggio
in chiaro
Attivo
M
Mittente
KSM – KPM
è in grado di produrre un
messaggio falso
Passivo
non è in grado di
decifrare il messaggio
La crittografia: aspetti tecnici
KSD
D(C,KSD)M
Decifra
M
Messaggio
in chiaro
Destinatario
KPD – KSD16
La crittografia: aspetti tecnici
Garanzia di provenienza & Integrità
Chiave
KSM
Cifra
E(M,KSM)C
Chiave
Rete “Insicura”
Messaggio
Cifrato
C
D(C,KPM)M
Decifra
Intruso
KPM – KPD
Messaggio
in chiaro
Attivo
non può produrre un
messaggio falso
M
Mittente
KSM – KPM
KPM
Passivo
è in grado di decifrare il
messaggio (ha KPM)
La crittografia: aspetti tecnici
M
Messaggio
in chiaro
Destinatario
KPD – KSD17
La crittografia: aspetti tecnici
Riservatezza & Integrità & Provenienza
Chiave
KSM +KPD Rete “Insicura”
Cifra
E(M,KSM)C
E(C,KPD)C2
Messaggio
in chiaro
Chiave
Messaggio
Cifrato
Decifra
D(C2,KSD)C
D(C,KPM)M
C2
Intruso
KPM – KPD
Attivo
non può produrre un
messaggio (non ha KSM
per passare da M a C)
M
Mittente
KSM – KPM
Passivo
KSD
+KPM
non può decifrare il
messaggio (non ha KSD
per passare da C2 a C)
M
Messaggio
in chiaro
Destinatario
KPD – KSD
La crittografia: aspetti tecnici
La cifratura del documento è un
sistema sicuro?
• La sicurezza offerta si basa sulla pratica impossibilità di decifrare il
testo inviato.
– In realtà è possibile, generando tutte le chiavi possibili, riuscire a
decodificare un messaggio inviato usando la crittografia asimmetrica.
– Il problema è che questo approccio richiede un tempo enorme di calcolo
da parte di un computer.
– Collegando però tra di loro più computer il tempo si riduce.
La crittografia: aspetti tecnici
19
Introduzione alla firma digitale
Aspetti tecnici e considerazioni
generali
La firma digitale
20
Introduzione alla firma digitale
l’hash del documento
• Problemi:
– Cifrare è un’operazione LENTA
– La doppia cifratura è ridondante
• Uno schema più semplice è basato su funzioni hash (H)
che generano un riassunto (digest) del messaggio
– Dato M è facile calcolare H(M)
– Dato H(M) è praticamente impossibile ricavare M
– Nessuno è in grado di generare due messaggi che abbiano lo stesso
digest [M1M2  H(M1)H(M2)]
La firma digitale
21
Introduzione alla firma digitale
Firma Digitale: hash + cifra
Rete “Insicura”
Messaggio
in chiaro
M
Messaggio Firmato
M+S
Hash
H(M)MD
Cifra
E(MD,KSM)S
Mittente
KSM – KPM
Destinatario
KPD – KSD
Messaggio
in chiaro
M
Hash
H(M)MD
Confronta
D(S,KPM)MD
Decifra
La firma digitale
22
Introduzione alla firma digitale
Requisiti della firma digitale
I sistemi di firma digitale possiedono i requisiti
della forma scritta?
• Provenienza
M firma il documento con la sua
chiave privata
• Riservatezza
M firma il documento con la chiave
pubblica di D
• Integrità
Il sistema a chiavi asimmetriche
non consente di modificare il
documento una volta sottoscritto
• Paternità
?
Introduzione alla firma digitale
E la paternità del documento?
Come attribuire il documento ad una persona
determinata?
Si istituiscono uno o più registri che alla chiave
pubblica associano i dati identificativi della
persona.
In questo modo, D non solo sa che il documento è
stato firmato da M ma anche che M è il sig. Mario
Rossi, nato a… etc:
La firma digitale
24
La scelta del legislatore
Gli aspetti normativi
La scelta del legislatore
25
La scelta del legislatore
Gli interventi normativi
•
•
•
•
•
Le leggi che disciplinano le condizioni perché al documento
elettronico sia attribuito valore giuridico sono:
Legge 59/97
DPR 513/97
DPR 445/00
Decreto legislativo 10/02 che modifica il DPR 445/00 recependo la
normativa comunitaria 99/93/CE
DPR 137/03
DPCM 8 febbraio 1999
Questi testi normativi presentano non pochi problemi di
coordinamento.
Gli interventi normativi
26
La scelta del legislatore
Firma forte e firma debole
Il legislatore comunitario ha introdotto un sistema che prevede due tipi di
firma:
-
quella elettronica avanzata (cosiddetta forte o sicura)
ha i requisiti analoghi a quella autografa ed è ammessa come prova in
giudizio, dando luogo a documenti validi e rilevanti a tutti gli effetti di legge
-
quella elettronica semplice (cosiddetta debole)
non ha i requisiti analoghi a quella autografa, anche se non deve essere
considerata legalmente inefficace e inamissibile in giudizio per il semplice
fatto che non è una firma sicura
La scelta del legislatore
I tipi di firma introdotti dal legislatore nazionale
• firma elettronica
Insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione
informatica
• firma elettronica avanzata
Firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata
con mezzi sui quali il firmatario può conservare il controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi
siano stati successivamente modificati
• firma elettronica qualificata
la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma
• firma digitale
Un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare
tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un
documento informatico o di un insieme di documenti informatici
• firma digitale autenticata
L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare,
previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte
e non è in contrasto con l'ordinamento giuridico. L’autenticazione è effettuata mediante l’apposiizone della firma digitale del pubblico ufficiale
I tipi di firma
28
La scelta del legislatore
In cosa consistono i tipi introdotti dal legislatore?
La terminologia introdotta dal legislatore ha sfumature diverse rispetto a quella in uso tra gli
informatici. Ciononostante, sulla base della definizione fornita dal legislatore si possono fare
delle ipotesi:
fi rma elettronic a
fi rma elettronic a
avan zata
fi rma elettronic a
qua lifi cata
fi rma digitale
fi rma digitale
autenticata
é il semplice
hash (li nk 12 )
del documento
è l’ha sh cif rato
del documento a
cui si aggiunge
un procedime nto
di identifi cazione
dell’i nteressato
é un tipo di f irma
elettronica
avan zata (hash +
cif ra +
identif icazione ) a
cui sono
appli cate
specifiche rego le
di sicurezza
è un tipo di f irma
elettronica
qua lifi cata (li nk
13)
è una fir ma
digit ale con cui il
pubbli co uffi ciale
attesta che:
-la sottoscrizione
(digitale) del
documento è
stata apposta in
sua presenza ;
-il documento
sottoscritto
corris ponde all a
volontà delle
parti;
-Il documento
non è contrario
all’ ordinamento
giuridic o
I tipi di firma
29
La scelta del legislatore
Forma e efficacia
dei documenti
informatici
Forma
Efficacia
Documenti informatici
Documento informatico privo di
firma
Non possiede il requisito
della forma scritta
Fa piena prova dei fatti e delle
cose rappresentate se colui
contro il quale sono prodotti non
li disconosce
Documento con firma elettronica
Forma scritta
Liberamente valutabile dal
giudice tenuto conto della sua
qualità e sicurezza (link15)
Documento
con firma avanzata
Forma scritta
Liberamente valutabile dal
giudice tenuto conto della sua
qualità e sicurezza
Documento con firma qualificata o
con firma digitale
Atto pubblico?
Piena prova fino a querela di
falso
Documento con firma digitale
autenticata
Atto pubblico
Piena prova fino a querela di
falso
I tipi di firma
30
La scelta del legislatore
I dubbi sul valore dell’atto
Il documento informatico sottoscritto con firma qualificata o con firma
digitale fa piena prova fino a querela di falso.
• Ha, quindi, lo stesso valore dell’atto pubblico?
• Se è così, perché si dovrebbe ricorrere per redigere gli atti pubblici alla
firma digitale autenticata?
I tipi di firma
31
La scelta del legislatore
Le autorità di certificazione
Chi intende utilizzare un sistema di chiavi
asimmetriche di cifratura con gli effetti previsti
dalla legge deve:
• munirsi di un’idonea coppia di chiavi
• rendere pubblica una di esse mediante la
procedura di certificazione
Le autorità di certificazione
32
La scelta del legislatore
Le autorità di certificazione
La procedura di certificazione coinvolge l’autorità di certificazione.
L’ autorità deve procedere a:
• identificare la persona che fa la richiesta;
• rilasciare il certificato digitale che associa ad una persona identificata
una chiave pubblica (link21);
• pubblicare il certificato in un apposito registro;
Le autorità di certificazione
33
La scelta del legislatore
Certificato Digitale
•
•
•
•
•
AC
Periodo di validità
Nominativo
Chiave pubblica
Informazioni
aggiuntive (link22)
• ... ...
Le autorità di certificazione
34
La scelta del legislatore
La validazione
temporale
Per poter opporre a terzi la data e l’ora di
formazione, di trasmissione o di ricezione di
un documento informatico si ricorre al
procedimento di validazione temporale
La validazione temporale
35
La scelta del legislatore
La
marca
temporale
La validazione temporale si ottiene
mediante apposizione al documento
informatico della marca temporale:
• su richiesta dell’utente il sistema di
validazione temporale apporrà la marca
temporale al documento;
• la validità della marca temporale
potrà essere verificata utilizzando la
chiave pubblica del sistema di
validazione.
La validazione temporale
36
La scelta del legislatore
le fasi di produzione della marca
temporale
l’hash del documento viene inviato dal richiedente al
certificatore
il certificatore appone la marca temporale cioè aggiunge la
data e l’ora e la cifra con la propria chiave privata
la marca temporale viene inviata al richiedente che la
allega al documento
La scelta del legislatore
La marca temporale
• data
• ora
• n.serie
della marca
.....
La validazione temporale
38
Bibliografia
• Gianluca Dalla Riva “I mille problemi della
firma digitale” in www.interlex.com.
• Per il reperimento dei testi normativi si
consulti lo stesso sito