Firma digitale - I concetti chiave

Ultimo aggiornamento: 05/01/2012
Versione stampabileInvia ad un amicoSalva in PDF

L’infrastruttura a chiave pubblica

È un insieme di apparati, regole di sicurezza, procedure operative e servizi che rende possibile la gestione affidabile ed efficiente di applicazioni per la firma digitale, l’autenticazione, la protezione della riservatezza e la marcatura temporale dei documenti informatici. Si basa sulla crittografia asimmetrica a chiave pubblica e svolge le seguenti funzioni principali:

  • generazione e distribuzione di coppie di chiavi digitali;
  • verifica dell’identità dei richiedenti i certificati;
  • emissione e pubblicazione dei certificati;
  • gestione del ciclo di vita dei certificati (sospensione, revoca, rinnovo).

 

Custodia della chiave privata e diffusione della chiave pubblica

La chiave privata utilizzata per la firma dei documenti informatici deve essere conservata in maniera sicura e segreta dal Titolare che ne è responsabile, per tale ragione le smart card crittografiche, opportunamente protette da PIN di accesso, sono state individuate come un valido supporto, in quanto oltre a permettere la generazione delle chiavi al loro interno e l’applicazione della firma digitale, dispongono di sistemi di sicurezza che impediscono l’esportazione e la copia della chiave privata, fuori dalla smart card in cui è stata generata.

La diffusione della chiave pubblica, invece, consente a tutti i possibili destinatari dei documenti informatici di disporre della chiave necessaria per la verifica dei documenti. Per individuare in maniera sicura il sottoscrittore del documento, deve essere legata in maniera certa al titolare della corrispondente chiave privata.

 

Dispositivo di firma

Per la normativa italiana con dispositivo di firma si intende "un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto la chiave privata e generare al suo interno le firme digitali".

Uno degli strumenti che è possibile utilizzare come dispositivo di firma è la smart card crittografica.

 

Smart card

La smart card è simile, per forma e dimensioni, a una tradizionale carta di credito. A differenza di quest’ultima, incorpora un processore in grado di memorizzare dati e informazioni, a cui è possibile accedere tramite un codice di sicurezza riservato e personale (PIN).

È uno strumento di memorizzazione molto sicuro, oltre che facilmente portabile e legato al Titolare. Il processore crittografico di una smart card permette di sviluppare applicazioni in ambiti diversi; nel campo della firma digitale svolge pricipalmente le seguenti funzioni:

  • generazione e memorizzazione al suo interno della chiave privata di firma
  • apposizione della firma digitale a documenti informatici

La smart card si collega al computer mediante un apposito lettore e il relativo software di interfaccia.

 

Il certificato digitale

Il certificato è il mezzo di cui dispone il destinatario per avere la garanzia sull’identità del suo interlocutore e per venire in possesso della chiave pubblica di quest’ultimo.

Per tale ragione il certificato contiene, oltre la chiave pubblica per la verifica della firma, anche i dati del titolare; è garantito e firmato da una "terza parte fidata": il certificatore.

Per la normativa italiane il certificato digitale deve contenere almeno le seguenti informazioni:

  • numero di serie del certificato
  • ragione e denominazione sociale del certificatore
  • codice identificativo del titolare presso il certificatore
  • nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolare
  • valore della chiave pubblica
  • algoritmi di generazione e verifica utilizzabili
  • inizio e fine del periodo di validità delle chiavi
  • algoritmo di sottoscrizione del certificato

Il certificato in formato X.509 contiene in uno standard riconosciuto, una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.