Firma digitale. Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa

Firma digitale

Firma Digitale

• Documento informatico e firma elettronica generica

• Firma digitale, crittografia e smart card

• Raffronto firma autografa / firma digitale

• Legislazione italiana e normativa di riferimento

• Gli Enti Certificatori• Posta certificata

Premessa

Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1)Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1)art. 15, comma 2art. 15, comma 2

“Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge”

Il T.U. in materia di documentazione amministrativa

(D.P.R. 28/12/2000 n. 445)

Art. 8Art. 8Documento informaticoDocumento informatico

Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico.

Il documento informatico

““Rappresentazione informaticaRappresentazione informatica (sequenza di bit che, (sequenza di bit che, elaborata da un sistema informatico, può essere resa elaborata da un sistema informatico, può essere resa visibile su uno schermo, stampata su carta o inviata a visibile su uno schermo, stampata su carta o inviata a distanza)distanza) di atti, fatti o dati giuridicamente rilevanti”di atti, fatti o dati giuridicamente rilevanti”

a differenza del documento cartaceo

• è immateriale (la sua esistenza non è legata a un supporto fisico)• non c’è distinzione tra originale e duplicato (molteplicità di originali a pari valore informativo)

Firma elettronicaD.Lgs. 23/1/2002, n. 10

Attuazione della Direttiva 1999/93/CE

Art. 2Art. 2DefinizioniDefinizioni

Si intende per firma elettronica l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica

Firma Digitale






Firma DigitaleDefinizione

corrente:è l’equivalente informatico di una firma autografa su carta

tecnico-giuridica:è una firma elettronica che• si definisce avanzata• si basa su un Certificato di Sottoscrizione Qualificato• viene rilasciata da un Certificatore Accreditato• è generata mediante un dispositivo sicuro (smart card)

Crittografia

MMAAMMMMAA

zzoozzzzoo

A=OB=CC=M……M=Z……

OCM……Z……

Chiave Crittografica Simmetrica Singola

E’ una delle possibili applicazioni del sistema crittografico a chiavi asimmetriche:il mittente cifra il documento con la sua chiave privatail destinatario decifra con la chiave pubblica del mittente

Vengono garantite: l’autenticità del documento (sicurezza della paternità)• l’integrità del documento (certezza che il contenuto non sia stato alterato)

Firma DigitaleProprietà generali

Firma DigitaleCaratteristiche e vantaggi

INTEGRITA’ DEI DATI

RISERVATEZZA

NON RIPUDIO

AUTENTICAZIONE

DEL MITTENTE

• Sistema segreto di scrittura in codice• Scrittura segreta, che può essere

letta solo se se ne conosce la chiave• Scienza matematica che serve a

cifrare un testo in modo da renderlo comprensibile soltanto al destinatario

CrittografiaDefinizioni

• Simmetrica (a chiave singola) unica chiave per cifrare e decifrareunica chiave per cifrare e decifrare

• Asimmetrica (a chiave privata + pubblica) coppia di chiavi coppia di chiavi correlate e indipendenticorrelate e indipendenti

CrittografiaLe due tipologie di base

Crittografia simmetricaChiave singola per cifrare/decifrare

• La serratura può essere chiusa/aperta con la stessa chiave• La chiave deve essere duplicata/scambiata tra gli interlocutori• Occorre una chiave per ogni coppia di corrispondenti

Crittografia asimmetricaCoppia di chiavi correlate

• La serratura può essere aperta con una chiave ma chiusa solo con l’altra (e viceversa)• Le due chiavi sono indipendenti

Sistema a chiavi asimmetriche

Chiavi distinte e complementariOgni utente ha una coppia di chiavi:

chiave privatachiave privata(segreta e detenuta solo dal titolare)

chiave pubblicachiave pubblica(nota e accessibile a tutti)

• Non è possibile ricavare la chiave privata dalla corrispondente chiave pubblica• Ogni chiave consente di sbloccare il codice dell’altra

• La chiave pubblica (del destinatario) si usa per cifrare un documento

Sistema a chiavi asimmetriche

Sintesi

• La chiave privata (del mittente) si usa per firmare un documento e proteggerlo da alterazioni

Sistema a chiavi asimmetriche“Unicità” delle chiavi

• Per chiavi di 1024 bit è stato calcolato che, per risalire ad una chiave privata dalla corrispondente chiave pubblica, una rete di centinaia di migliaia di computer impiegherebbe alcuni secoli.

• La probabilità di generare due chiavi uguali (lunghe 1024 bit) è una su 10340 (“una su un miliardo di miliardi, di miliardi, di miliardi, …” ripetuto trentasette volte).

Firma DigitaleDispositivi di firma

““Apparati elettronici in grado di conservare in modo protetto Apparati elettronici in grado di conservare in modo protetto le chiavi private e di generare al loro interno la firma digitale.”le chiavi private e di generare al loro interno la firma digitale.”

Floppy disksFloppy disksHard diskHard disk

PC cardsPC cards

Crypto-boxCrypto-box

è dotata di un chip contenente:è dotata di un chip contenente: un microprocessore CPUun microprocessore CPU una memoria RAMuna memoria RAM una memoria ROMuna memoria ROM + una memoria EPROM+ una memoria EPROM o una memoria EEPROMo una memoria EEPROM interfacce per alimentazione e dialogo con altri sistemiinterfacce per alimentazione e dialogo con altri sistemi

Firma DigitaleLa smart card: definizione

Carta “intelligente” elettronica a microcircuito:Carta “intelligente” elettronica a microcircuito:risiede su tessera di plastica di dimensioni standard)risiede su tessera di plastica di dimensioni standard)

Firma DigitaleLa smart card: proprietà

è portabile (dimensioni ridotte) e resistenteè portabile (dimensioni ridotte) e resistente può memorizzare datipuò memorizzare dati può ospitare un sistema operativopuò ospitare un sistema operativo

(capacità di elaborazione e di processo)(capacità di elaborazione e di processo) è inattaccabileè inattaccabile

(ha un elevato livello, fisico e logico, di protezione)(ha un elevato livello, fisico e logico, di protezione) è programmabile all’origine e non clonabileè programmabile all’origine e non clonabile ha un’accessibilità sicura tramite PINha un’accessibilità sicura tramite PIN

(Personal Identification Number)(Personal Identification Number)

Firma Digitale






Firma DigitaleConfronto con la firma autografa

FIRMA AUTOGRAFAFIRMA AUTOGRAFA

Riconducibile al soggettodirettamente

Legata al documentoattraverso il supporto fisico

Verifica diretta e soggettiva(attraverso il campione)

Facilmente falsificabile,ma il falso è riconoscibile

Deve essere autenticaper impedire il ripudio

FIRMA DIGITALEFIRMA DIGITALERiconducibile al soggetto soloattraverso il possesso di un segretoLegata indissolubilmenteal contenuto del documento

Verifica indiretta e oggettiva(tramite una terza parte fidata))

Non falsificabile senza conoscere il segreto, ma falso irriconoscibile

Ripudio impossibile

Firma Digitale






NormativaIl Regolamento attuativo (Testo Unico)

Il Regolamento tecnico

(ex D.P.R. 10 novembre 1997 n. 513)(ex D.P.R. 10 novembre 1997 n. 513)

D.P.C.M. 8 febbraio 1999D.P.C.M. 8 febbraio 1999

D.P.R. 28 dicembre 2000 n. 445D.P.R. 28 dicembre 2000 n. 445

NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)

Disposizioni legislative e regolamentariDisposizioni legislative e regolamentariin materia di documentazione amministrativain materia di documentazione amministrativa

Obiettivo: riordinare la normativa in materia di firma digitale, documentazione elettronica ed amministrativa, in base ai criteri e princìpi indicati dalla legge 8/3/99 n.50 (sulla predisposizione dei Testi Unici)

• riprende e ingloba il DPR 513/97 (Regolamento attuativo)• mantiene in vigore il DPCM 8/2/99 (Regolamento tecnico)


Art. 1 - n)Art. 1 - n)Definizione di Firma DigitaleDefinizione di Firma Digitale

“Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”


Ambito di applicazioneAmbito di applicazione

Le norme concernenti i documenti informatici e la firma digitale si applicano agli organi della pubblica amministrazione, nonché ai gestori di pubblici servizi nei rapporti tra loro e con l’utenza, e anche nei rapporti tra privati.


Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Forma ed efficacia del documento informaticoForma ed efficacia del documento informatico

1. Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 del c.c., riguardo ai fatti ed alle cose rappresentate.2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.


Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Forma ed efficacia del documento informaticoForma ed efficacia del documento informatico

3. Il documento informatico, sottoscritto con firma digitale… fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova...


• L’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo• Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l’ha certificata• L’uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione.

Art. 23Art. 23Firma digitaleFirma digitale


• Si ha per riconosciuta, ai sensi dell’art. 2703 del c.c. , la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.

• La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente testo unico.

Art. 24Art. 24Firma digitale autenticataFirma digitale autenticata


Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10)Modalità di invio e sottoscrizione delle istanzeModalità di invio e sottoscrizione delle istanze

Le istanze e le dichiarazioni inviate per via telematica alla Pubblica Amministrazione sono valide:• se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura;• ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi” .

Firma Digitale






CertificatoriLa certificazione: perché?

• Il sistema di crittografia asimmetrica, da solo, non assicura l’identificazione del soggetto che utilizza la coppia di chiavi.

• Generando coppie di chiavi e utilizzandole per scambiare documenti tramite la posta elettronica, attraverso la mutua certificazione, ogni utente potrebbe spacciarsi per un’altra persona, ovvero usare il nome di un individuo inesistente.

CertificatoriLa certificazione: definizione

• E’ il risultato della procedura informatica… mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene”

• Strumento che assicura l’identificazione del soggetto sottoscrittore, garantendo l’appartenenza della chiave in capo al rispettivo titolare”

CertificatoriLa certificazione: finalità

• Supplisce alla assenza di relazione fisica tra firma digitale e sottoscrittore

• Risolve il problema dell’identità nel mondo virtuale

• Documenta la corrispondenza tra la chiave pubblica ed il suo titolare rigorosamente identificato

CertificatoriTrusted Third Parties: le “terze parti

fidate”

CertificatoriElenco pubblico AIPA

• 27.01.2000 - SIA S.p.A. Società Interbancaria per l'Automazione (cessata attività dal01/01/2003 - certificatore sostitutivo Actalis)

• 24.02.2000 - SSB S.p.A. Società per i Servizi Bancari-Cedborsa (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis)• 30.03.2000 - BNL Multiservizi S.p.A. (Gruppo BNL)• 06.04.2000 - INFOCAMERE S.C.P.A (Camere di Commercio)• 13.04.2000 - FINITAL S.p.A. (Finanziaria Italiana)• 20.04.2000 - SARITEL S.p.A. (società fusa per incorporazione nella I.T. Telecom S.p.A.)• 20.04.2000 - POSTECOM S.p.A. (Poste Italiane)• 06.07.2000 - SECETI S.p.A. (Gruppo Banche Popolari)• 15.03.2001 - CENTRO TECNICO per la R.U.P.A.• 22.03.2001 - INTESA S.p.A. (Ibm)• 17.05.2001 - ENEL.IT S.p.A. (Enel)• 07.06.2001 - TRUST ITALIA S.p.A. (VeriSign)• 15.11.2001 - CEDACRINORD S.p.A. (Casse di Risparmio e altre banche)• 28.03.2002 - ACTALIS S.p.A. (SIA e SSB)• 12.09.2002 - CONSIGLIO NAZIONALE DEL NOTARIATO• 06.02.2003 - I.T. TELECOM S.P.A. (già Saritel S.p.A.)

CertificatoriL’Ente di Certificazione: definizione

• identifica la persona che richiede il certificato

• rende certa l’identità del soggetto fisico che ha generato una firma

• rilascia, gestisce, pubblica e revoca i certificati

•assicura la corrispondenza tra il titolare e la sua chiave pubblica

• impedisce il disconoscimento della propria firma (non ripudio)

“Soggetto pubblico o privato che effettua la certificazione...”

Ente CertificatoreStruttura organizzativa

Infrastruttura Centrale

Ufficio di Registrazione

Utente

Ente di CertificazioneInfrastruttura Centrale

• Genera i certificati per i titolari registrati

• Pubblica i certificati

• Revoca i certificati non più validi

– su propria iniziativa

– su richiesta del titolare

– su richiesta di terza parte interessata.

• Rinnova il certificato scaduto

Ente di CertificazioneUfficio di Registrazione

• Assiste nella richiesta della certificazione– verifica aspetti formali– garantisce il riconoscimento del soggetto– attiva la procedura di emissione dei certificati

• Distribuisce le Smart Card con i certificati

• Supporta la C.A. nel rinnovo e nella revoca

Riepilogo

Cos’è e a cosa serve la Firma digitale ?

E’ la possibilità, legalmente riconosciuta e normata dal punto di vista giuridico e tecnologico, di fare proprio, cioè di firmare, un documento digitale

Che valore ha la Firma digitale ?

• per legge equivale alla firma

autografa

• rende validi i documenti informatici,

la loro archiviazione e trasmissione

• rende validi i contratti elettronici,

anche stipulati a distanza

Chi avvalora la Firma digitale ?

Enti Certificatori - “Terze Parti Fidate” accreditate e riconosciute per legge

• verificano l’identità dei titolari• gestiscono l’attività tecnologica• rilasciano i dispositivi di firma (smart card)• pubblicano i certificati digitali• sospendono o revocano i certificati

“compromessi”

Sono uguali tutte le Firme?

Firme “leggere” e … “pesanti” la firma digitale è il tipo di firma elettronica che ha maggiore efficacia probatoria (art. 2702 c.c.)

• è rilasciata da un CERTIFICATORE ACCREDITATO

• mediante un CERTIFICATO QUALIFICATO

• su un DISPOSITIVO DI FIRMA SICURO (smart card)

Come si ottiene e come si usa?

Ci si rivolge ad un Ente Certificatore Accreditato(elenco su www.aipa.it)

Occorrono • Personal computer• Lettore di smart card• Software di firma

http://www.aipa.it/

http://www.aipa.it/

http://www.aipa.it/

http://www.aipa.it/

La posta elettronica ...La posta elettronica ...

… … sta sostituendo, a poco a poco, la sta sostituendo, a poco a poco, la

posta cartaceaposta cartacea

tuttavia le comunicazioni ufficiali tuttavia le comunicazioni ufficiali

rimangono su carta, ignorando il T.U. rimangono su carta, ignorando il T.U.

sulla doc. amministrativasulla doc. amministrativa

Il documento informatico ... Il documento informatico ...

… … trasmesso per via telematica si trasmesso per via telematica si

intende inviato e intende inviato e pervenutopervenuto al al

destinatario, se trasmesso destinatario, se trasmesso

all’indirizzo elettronico da questi all’indirizzo elettronico da questi

dichiaratodichiarato (art14. Comma 1 dpr (art14. Comma 1 dpr

445 28 dic. 2000)445 28 dic. 2000)

La trasmissione del documento ...La trasmissione del documento ...

… … informatico per via telematica informatico per via telematica

con modalità che con modalità che assicurino assicurino

l’avvenuta consegnal’avvenuta consegna, , equivaleequivale

alla alla notificazione per mezzo della notificazione per mezzo della

postaposta nei casi consentiti dalla nei casi consentiti dalla

legge (art14. Comma 3 dpr 445 legge (art14. Comma 3 dpr 445

28 dic. 2000)28 dic. 2000)

Posta certificata: caratteristichePosta certificata: caratteristiche

semplicità:semplicità:

- è una- è una casella e-mail casella e-mail

- si utilizzano i - si utilizzano i normalinormali

strumenti di posta (Outlook, …)strumenti di posta (Outlook, …)

Particolarità principaliParticolarità principali

ricevutericevute di di invioinvio e di e di consegnaconsegna • “ “timbro” (ora esatta)timbro” (ora esatta)

garanzie:garanzie:• integritàintegrità del messaggio del messaggio• tracciabilitàtracciabilità eventi (log) eventi (log)

Posta certificataPosta certificata

Casella di posta

Ricevuta di accettazione

Ricevuta di consegna

Provider di PostaProvider di Posta

Certificata ACertificata A

Provider di Posta Provider di Posta

Certificata BCertificata B

Mittente Mittente

Destinatario Destinatario

Opponibilità a terziOpponibilità a terzi

ricevuta: prova (firmata dal ricevuta: prova (firmata dal

gestore) del gestore) del contenutocontenuto e non e non

solo dell’inviosolo dell’invio

ora esattaora esatta

traccia mantenuta per annitraccia mantenuta per anni

Opponibilità a terziOpponibilità a terzi

La data e l’ora di formazione, di La data e l’ora di formazione, di

trasmissione o di ricezione di un trasmissione o di ricezione di un

documento informatico, redatto in documento informatico, redatto in

conformità … , sono opponibili ai conformità … , sono opponibili ai

terzi (art14. Comma 2 dpr 445 28 dic. terzi (art14. Comma 2 dpr 445 28 dic.

2000)2000)

Messaggi non certificatiMessaggi non certificati

messaggi scambiati tra caselle messaggi scambiati tra caselle

di posta certificata e non di posta certificata e non

certificatacertificata• mancano: ricevute, tracce, …mancano: ricevute, tracce, …• nonnon conformi al dpr 445 conformi al dpr 445

Facile identificazione

ConsegnaConsegna

nonnon prevede laprevede la firma firma del del

destinatario: basta la consegna destinatario: basta la consegna

nella nella casella da lui dichiaratacasella da lui dichiarata (art 14 comma 1 T.U. (art 14 comma 1 T.U.

documentazione amministrativa)documentazione amministrativa)

Cosa si certifica?Cosa si certifica?

l’l’avvenutaavvenuta consegnaconsegna: con : con

apposita ricevuta (conservare)apposita ricevuta (conservare)

l’l’integritàintegrità della trasmissione della trasmissione

tra i due provider (busta)tra i due provider (busta)

In cosa consiste?In cosa consiste?

è una è una casella di posta elettronicacasella di posta elettronica • rilasciata da gestore di posta rilasciata da gestore di posta

certificatacertificata• in un dominio di posta in un dominio di posta

certificatacertificata

Basta la casella? Sì ma ...Basta la casella? Sì ma ...

… … se invio documenti se invio documenti

importanti li firmoimportanti li firmo

smartcard di firmasmartcard di firma per per • allegati allegati • messaggiomessaggio

::::

Legalmail: ulteriori funzioniLegalmail: ulteriori funzioni

sicurezza e affidabilitàsicurezza e affidabilità

• antivirus in entrata e in uscita antivirus in entrata e in uscita • più livelli di firewallpiù livelli di firewall• controlli anti-intrusionicontrolli anti-intrusioni

Legalmail: domini Legalmail: domini di posta certificatadi posta certificata

dominio standard propostodominio standard proposto

……@[email protected]

altre possibilità:altre possibilità:• domini dell’utentedomini dell’utente• nuovi livelli in legalmail.itnuovi livelli in legalmail.it

Esempio

- dominio utente: infocamere.it

- posta certificata: cert.infocamere.it

LegalmailLegalmail

Firma / marche temporaliFirma / marche temporali

Protocollo InformaticoProtocollo Informatico

Conservazione e condivisione Conservazione e condivisione documenti firmati (Repository)documenti firmati (Repository)

Documents

Firma digitale. Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa