Antonio Ruggiero

 

(Consulente Informatico e Telematico)

Chi traccia nuove piste accumula

tesori di conoscenza

(Anonimo)

Ruggiero Antonio - Ditta Individuale - CCIAA di Salerno - REA 368200 - Partita IVA: 04454980659

Via Casa Sasso, 7 - Loc. Vescovado - 84014 Nocera Inferiore - Salerno - Italia

Email: antrug@gmail.com - Email PEC: antonioruggiero@gigapec.it - Telefono 3473636294 - Skype: antonio_ruggiero

> Home Page

> Curriculum

> Firma Digitale

 

 

Rapporto di Ricerca sulla Firma Digitale

a cura di Antonio Ruggiero e Rosanna De Rosa

 

Progetto "Telelavoro e sviluppo locale" - Comune di Napoli - 1998-1999

"Il documento elettronico e la firma digitale nella Pubblica Amministrazione"

Capitolo 2 - Crittografia, Chiavi asimmetriche e Certificazione

2.2 - Gli Enti Certificatori (o Certification Authorities), loro obblighi e responsabilità

Spacciarsi per qualcun altro, utilizzando la posta elettronica, è un trucco semplicissimo ed utilizzatissimo. Tutta l'attività di Spam (spedizione di messaggi di email non richiesti: pubblicità, etc.) che si effettua in Rete si basa su questa elementare possibilità.

L'autenticità della corrispondenza tra una chiave pubblica ed il suo titolare è un problema che neanche PGP riesce a risolvere. Resta quindi la necessità di certificare la titolarità della chiave pubblica di ogni soggetto che intende comunicare in modo protetto ed ufficiale via Internet.

Affinché la corrispondenza cifrata e firmata per via telematica funzioni correttamente e sia valida, bisogna fare in modo che la chiave pubblica di ogni eventuale firmatario di un documento elettronico del quale si voglia (o si debba) verificare la firma digitale sia facilmente disponibile. Inoltre, è necessario avere la possibilità di verificare, con altrettanta facilità, la corrispondenza tra la chiave pubblica e l'identità del suo titolare.

Tra i compiti di un Ente Certificatore (o Certification Authority), il più significativo è quello di produrre e rilasciare, una volta assicuratosi della identità di chi chiede di depositare una chiave pubblica, un Certificato in formato digitale della chiave pubblica depositata. In pratica rilascia al possessore della chiave pubblica un file contenente la chiave pubblica dell'intestatario del Certificato, firmato (in chiaro) con la chiave privata dell'Ente Certificatore. Trattasi, insomma, di una sorta di carta d'identità che, al posto della fotografia, associa all'identità del titolare la propria chiave pubblica.

Un Certificato di chiave pubblica, rilasciato da un Ente Certificatore e cifrato con la chiave privata di quest'ultimo, deve contenere una serie di informazioni:

- la chiave pubblica del titolare del certificato

- il periodo di validità del certificato stesso

- i dati identificativi del titolare della chiave pubblica

- i dati identificativi dell'Ente Certificatore che lo ha emesso.

Conoscere, o comunque avere la possibilità di reperire facilmente la chiave pubblica degli Enti Certificatori consente di verificare qualunque firma digitale, se assieme al documento elettronico e alla sua firma digitale viene allegato il Certificato del mittente.

I compiti fondamentali di un Ente Certificatore, così come definiti dal DPR del 10 novembre 1997 n. 513, che ha dettato le caratteristiche ed i requisiti di questi nuovi soggetti, possono essere riassunti come segue:

a) Identificare con certezza la persona che fa richiesta della certificazione;

b) Rilasciare e rendere pubblico il Certificato;

c) Specificare, su richiesta del depositante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite;

d) Attenersi alle regole tecniche prescritte dal Regolamento di Attuazione;

e) Informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi;

f) Attenersi alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'art. 15, comma 2, della legge 31 dicembre 1996 n. 675;

g) Non rendersi depositario di chiavi private;

h) Procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;

i) Dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche;

l) Dare immediata comunicazione all'Autorità per l'Informatica nella Pubblica Amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attività e della conseguente rilevazione della documentazione da parte di altro Certificatore o del suo annullamento.

Tutti compiti che possono, a differenza di quello del punto a), essere eseguiti telematicamente, ma che comportano comunque una grossa dose di responsabilità ed un utilizzo sistematico di risorse sia umane che tecnologiche. Ci troviamo di fronte ad una nuova possibilità di business che troverà i privati pronti a sfruttarla, o, invece, sarà la Pubblica Amministrazione che si farà carico di un ulteriore servizio al cittadino.

Le poche sperimentazioni di Certificazione di chiave pubblica in Italia, riguardano Enti Pubblici che certificano, a titolo gratuito, le sole chiavi di loro interlocutori diretti. Ad esempio, la Certification Authority dell'Università degli Studi di Torino accetta richieste di certificazione di chiavi pubbliche di soli studenti e dipendenti della stessa Università. E' ovvio che se la Certification Authority dell'Università di Torino si adeguerà alle prescrizioni del DPR 513 del 1997, attenendosi agli obblighi previsti e fornendo tutte le garanzie del caso, la stessa potrà essere definita Certification Authority a tutti gli effetti, anche se soddisferà le richieste di pochi.

Come abbiamo visto, un Ente Certificatore ha essenzialmente il compito di garantire che in un preciso momento, una certa chiave pubblica è legittimamente utilizzata da una certa persona. Garantire, cioè, la validità e l'unicità di una firma digitale e la corrispondenza al suo titolare. Questo si traduce nel costante aggiornamento dell'archivio delle chiavi pubbliche certificate e dei legittimi titolari, e nella gestione delle chiavi pubbliche "a rischio", ovvero revocate, trafugate, smarrite o scadute (generalmente un certificato di chiave pubblica ha la durata di un anno), etc., tenendo traccia dei Certificati non più "validi" e rendendoli pubblicamente noti.

In sostanza l'Ente Certificatore deve agire da Terza Parte Fidata, ovvero da garante tra due interlocutori telematici, allo scopo di evitare che questi ultimi debbano, prima di poter comunicare in modo "sicuro", ricorrere ad una forma convenzionale di consegna di chiave pubblica, come incontrarsi di persona o ricevere la chiave pubblica da una persona fidata.

Gli Enti Certificatori potrebbero anche svolgere una funzione ulteriore: quella di Marcatori Temporali (TSA - Time Stamping Authority). La Marcatura Temporale di un documento elettronico è una procedura che permette all'erogatore del servizio, in veste di Terza Parte Fidata, di attestare la data e l'ora di produzione del documento stesso e, quindi, la sua entrata in vigore.

Per meglio spiegare il concetto di Marcatura Temporale e la sua utilità, descriviamo sinteticamente le fasi della procedura:

a) L'Ente Marcatore riceve dall'estensore di un documento (sia esso in chiaro e firmato o cifrato e firmato), il documento stesso con la richiesta di Marcatura Temporale;

b) L'Ente Marcatore aggiunge in fondo al documento ricevuto la propria intestazione e la data e l'ora dell'operazione di marcatura;

c) L'Ente Marcatore firma a sua volta il documento ottenuto in b), ovvero cifra il tutto con la propria chiave privata;

d) Il documento risultante da c), ovvero il documento marcato, viene rispedito al suo estensore che potrà così far valere lo stesso nelle sedi opportune.

L'estensore del documento dovrà aver cura di inviare, insieme al documento marcato, i certificati suo e dell'Ente Marcatore contenenti le chiavi pubbliche di entrambi, necessarie per decodificare il documento e la marcatura dello stesso.

<<< Paragrafo precedente                                                           Paragrafo successivo >>>