La crittografia

Ultimo aggiornamento: 09/01/2012
Versione stampabileInvia ad un amicoSalva in PDF

Consideata la rilevanza giuridica del documento informatico, occorre poter individuare in maniera semplice il suo sottoscrittore e poter rilevare immediatamente se il documento è integro oppure se sia stato alterato dopo la sua sottoscrizione. A tale scopo riveste particolare importanza la crittografia , tecnica per rendere inintellegibili documenti a chi non dispone della relativa chiave e dell’algoritmo necessario. La crittografia può essere:

  • simmetrica, nel caso in cui ogni titolare dispone di una chiave per la firma dei documenti; la stessa chiave deve essere a conoscenza del destinatario che la utilizza per la verifica;
  • asimmetrica, ogni titolare dispone di una coppia di chiavi, una privata , da mantenere segreta, utilizzata per la sottoscrizione dei documenti, l’altra da rendere pubblica e da usare per la verifica.

La normativa vigente in Italia prevede l’uso della crittografia asimmetrica per la sottoscrizione dei documenti informatici.

 

La coppia di chiavi asimmetriche

La "coppia di chiavi assimmetriche" è una coppia di chiavi crittografiche, una privata e una pubblica, da utilizzarsi per la sottoscrizione dei documenti informatici. Pur essendo univocamente correlate, dalla chiave pubblica non è possibile risalire a quella privata che deve essere custodita in maniera riservata dal Titolare.

Chiave privata: elemento della coppia di chiavi asimmetriche destinato ad essere conosciuto soltanto dal soggetto Titolare, mediante il quale si appone la firma digitale sul documento informatico.

Chiave pubblica: elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal Titolare delle chiavi asimmetriche.

 

Cos'è un certificato per chiavi di firma

Il certificato è un documento elettronico contenente informazioni relative al Titolare e la sua chiave pubblica; è firmato dal Certificatore con la propria chiave privata utilizzata solo per questo scopo.

  • Il Certificatore emette il certificato e lo sottoscrive apponendo la sua firma digitale mediante la chiave privata di certificazione. Chiunque desideri assicurarsi dell’autenticità e dell’integrità dei dati in esso contenuti, può verificarlo utilizzando la chiave pubblica del certificatore stesso.
  • Il certificato viene inviato al richiedente che, nel rispetto della normativa vigente, lo allega, per la verifica, al documento informatico ed alla relativa firma digitale.

 

L’impronta univoca del documento ("hashing")

La prima operazione per generare una firma digitale è l’estrazione dal documento originario della cosiddetta "impronta digitale", cioè una stringa di dati, ottenuta con una funzione matematica, detta "hash", irreversibile (non è possibile, a partire dall’ impronta, risalire al documento originario). Tale funzione sintetizza il testo in modo univoco (a due testi che differiscono anche per un solo carattere, corrispondono due impronte diverse).

 

Firma digitale come operazione di crittografia

La generazione della firma consiste nella cifratura con la chiave privata dell’impronta precedentemente generata. In questo modo la firma risulta legata:

  • attraverso la chiave pubblica - univocamente correlata alla chiave privata utilizzata per la firma del documento informatico - al soggetto sottoscrittore
  • tramite l’impronta al testo sottoscritto

La firma digitale, vale a dire l’impronta cifrata, viene allegata al documento in chiaro insieme al certificato da cui è possibile ottenere la chiave pubblica per la verifica.

 

Come si genera la firma digitale

Le principali fasi del processo di firma digitale sono:

  1. Viene prodotta l’impronta del documento da firmare, utilizzando la funzione di hash;
  2. Si genera la firma digitale cifrando con la chiave privata del sottoscrittore l’impronta precedentemente prodotta;
  3. Viene creata la "busta elettronica", contenente il documento informatico, la firma digitale e il certificato della chiave pubblica; il "pacchetto" così formato viene trasmesso al destinatario.

 

Come si verifica la firma digitale

Il processo di verifica consiste nei seguenti fasi fondamentali:

  1. la decifratura della firma digitale con la chiave pubblica del mittente, contenuta nel certificato allegato; si ottiene così l’impronta in precedenza generata dal mittente del documento - l’esito positivo di questa operazione assicura l’autenticità dell’origine dei dati;
  2. la creazione, a partire dal documento informatico ricevuto, dell’impronta univoca, utilizzando la stessa funzione di hash precedentemente utilizzata dal mittente;
  3. il confronto tra le due impronte, quella ricevuta in maniera cifrata - e decifrata utilizzando la chiave pubblica - e quella calcolata utilizzando la funzione di hash, dà la garanzia che il documento non è stato alterato.