Antonio Ruggiero
(Consulente Informatico e Telematico)
Chi traccia nuove piste accumula
tesori di conoscenza
(Anonimo)
Ruggiero Antonio - Ditta Individuale - CCIAA di Salerno - REA 368200 - Partita IVA: 04454980659
Via Casa Sasso, 7 - Loc. Vescovado - 84014 Nocera Inferiore - Salerno - Italia
Email: antrug@gmail.com - Email PEC: antonioruggiero@gigapec.it - Telefono 3473636294 - Skype: antonio_ruggiero
Rapporto di Ricerca sulla Firma Digitale
a cura di Antonio Ruggiero e Rosanna De Rosa
Progetto "Telelavoro e sviluppo locale" - Comune di Napoli - 1998-1999
"Il documento elettronico e la firma digitale nella Pubblica Amministrazione"
Capitolo 3 - Lo scenario di utilizzo della firma elettronica
3.1 Come ottenere la propria chiave privata e l'emissione della relativa chiave pubblica
Mediante il semplice utilizzo di PGP, ottenere una coppia di chiavi è diventata un'operazione alla portata di un qualsiasi utente medio di computer e di Rete. Al comando di generazione di una coppia di chiavi, PGP chiede innanzitutto di stabilire la lunghezza in bit che si vuol dare alla propria coppia di chiavi. Come già detto, attualmente si suggerisce di utilizzare chiavi a 1024 bit.
Stabilita la lunghezza in bit, PGP chiede all'utente due parametri:
a) uno username: generalmente viene composto da Nome e Cognome dell'Utente seguiti dal relativo indirizzo di posta elettronica tra parentesi angolari, ad es.: Antonio Ruggiero <antrug@gmail.com>
b) una Pass Phrase scelta a caso dall'utente: dovrà essere una frase che si potrà ricordare facilmente, in quanto dovrà essere utilizzata ogni volta che si dovrà decodificare un messaggio. E' importante ricordare anche i caratteri maiuscoli e minuscoli. Un paio di esempi:
«Quella che il bruco chiama la fine del mondo, il resto del mondo la chiama Farfalla»
«Esiste un momento nella separazione nel quale la persona amata già non è più con noi»
Successivamente PGP chiede di battere dei tasti a caso sulla tastiera, i cui tempi di battitura vengono utilizzati per generare numeri casuali, necessari a PGP per creare la coppia di chiavi.
Le due chiavi prodotte avranno le "sembianze" di due files, con i seguenti nomi:
- PUBRING.PGP Che contiene la chiave pubblica
- SECRING.PGP Che contiene la chiave privata (o segreta)
Il file PUBRING.PGP, è destinato ad includere al suo interno, oltre alla chiave pubblica dell'Utente, anche tutte le chiavi pubbliche di quei suoi interlocutori che comunicheranno con lui in forma cifrata.
Con il comando di estrazione, specificando lo username (o parte di esso) di una delle chiavi pubbliche contenute all'interno del file PUBRING.PGP, si può ottenere una versione in chiaro della chiave pubblica relativa a quello username, sotto forma di un file ASCII.
Ad esempio la versione in chiaro della chiave pubblica, completa di Fingerprint, relativa allo Username: Antonio Ruggiero <antrug@gmail.com> è la seguente:
| Type Bits/KeyID Date User ID pub 2048/C152B569 1998/07/14 Antonio Ruggiero <a.ruggiero@netfly.it> Fingerprint: 53 A8 E1 3B AD 1B D9 0B CE AF 79 E7 41 9D BE 23 -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.3i MQENAzWrnLUAAAEIALA2odI2iMaDxBrgXKNIrc5fKn4eI1QUUDBY8T7MmBxssaxS U6KCWw97dkRlkVmcbYJIVEbnXRnu2vb/3NE7SH8Cgocapea1ITw6lOH2dBVh6CWn U8sFYp+1gjlShZPlinF17BTZqheS8EenPK8c3YjeatVfPw8E/aXqjUQ5WZacptyM MEHsJhCj9MOKKbYlOaZYIp4svzNJpfu9+ypSaesaxVe7uf0rt9OP2E/Kv+fVannq HRt1CkzVqLqah/8HlSERjSIc4JcVDCl0jOBhKf2B1g+u/CEJzgvr3wnYuWElJqVx 75XXSc1C3UrQ9LvXNQtowmyuzRAPLYuBY8FStWkABRG0J0FudG9uaW8gUnVnZ2ll cm8gPGEucnVnZ2llcm9AbmV0Zmx5Lml0PokBFQMFEDWrnLUti4FjwVK1aQEBdhsH /0DO+J3kSXUncEaPvEFHExdp5N12gW6LCR33EnlQoVsy6J2wHHPV+TUJXoIxXszr ThPiH/lKSbG3pysnb7bKmnPvvK6jpq860XJJ7XgiwiLTVNOENu/z/ifGOBsQ6JFr 8is/wIgtQi+fq8RkJ0bURTSIq9t/KXD0ykebgGCl2UURBsThhAsJFFvDbgIa8bwX F/oeUBmwfGI9hmGhp5tPM3Y7s776d3tDuiIJNl2NKT7QmsPRDxd98NWqTywtu7YN QuKHwJjWNW1zBmUmIjrDwsmhLoA6W3tsi1x58QiFrTMYrVnfSmqvlt80Rd51CafA UfzxjWnEix0LbfZ7YPbF0Ek= =Th/E -----END PGP PUBLIC KEY BLOCK----- |
Il Fingerprint di una chiave pubblica è un hash di 128 bit, ovvero 32 cifre esadecimali, strettamente ed univocamente correlato alla stessa chiave pubblica. Ottenere il fingerprint di una qualsiasi chiave pubblica è una operazione semplicissima. Si ottiene con un comando di estrazione, specificando lo username (o parte di esso) relativo alla chiave pubblica di cui si vuole il fingerprint.
Il fingerprint di una chiave pubblica, oltre ad avere il vantaggio di essere più facilmente leggibile, se diffuso sistematicamente con mezzi che non permettono la sua contraffazione (senza che la si scopra), ad esempio su documenti cartacei: manifesti, volantini, carta intestata, biglietti da visita, etc., può rivelarsi un buon sistema di autocertificazione. Se si rileva il fingerprint della chiave pubblica di un utente, con il quale si ha intenzione di comunicare in cifrato, su più fonti pubbliche chiaramente provenienti da quell'utente (ad esempio: la bacheca del Dipartimento di una Università e la carta intestata dello stesso Dipartimento), si può essere abbastanza certi (ma non sicuri al 100 per cento) che la chiave pubblica in questione sia effettivamente la chiave pubblica di quell'utente.
Firmare con la propria chiave privata, la propria chiave pubblica prima di diffonderla, assicura contro possibili contraffazioni della propria chiave pubblica, in quanto un documento firmato non è più modificabile, pena la non leggibilità del documento stesso (autenticità del documento).
Il testo contenuto nel box che segue consiste, invece, nella versione ASCII della chiave pubblica dello scrivente (in chiaro e completa di Fingerprint) firmata con la chiave segreta dello scrivente:
| -----BEGIN PGP SIGNED MESSAGE----- Type Bits/KeyID Date User ID pub 2048/C152B569 1998/07/14 Antonio Ruggiero <a.ruggiero@netfly.it> Fingerprint: 53 A8 E1 3B AD 1B D9 0B CE AF 79 E7 41 9D BE 23 - -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.3i MQENAzWrnLUAAAEIALA2odI2iMaDxBrgXKNIrc5fKn4eI1QUUDBY8T7MmBxssaxS u6KCWw97dkRlkVmcbYJIVEbnXRnu2vb/3NE7SH8Cgocapea1ITw6lOH2dBVh6CWn U8sFYp+1gjlShZPlinF17BTZqheS8EenPK8c3YjeatVfPw8E/aXqjUQ5WzacptyM MEHsJhCj9MOKKbYlOaZYIp4svzNJpfu9+ypSaesaxVe7uf0rt9OP2E/Kv+fVannq hRt1CkzVqLqah/8HlSERjSIc4JcVDCl0jOBhKf2B1g+u/CEJzgvr3wnYuWElJqVx 75XXSc1C3UrQ9LvXNQtowmyuzRAPLYuBY8FStWkABRG0J0FudG9uaW8gUnVnZ2ll cm8gPGEucnVnZ2llcm9AbmV0Zmx5Lml0PokBFQMFEDWrnLUti4FjwVK1aQEBdhsH /0DO+J3kSXUncEaPvEFHExdp5N12gW6LCR33EnlQoVsy6J2wHHPV+TUJXoIxXszr ThPiH/lKSbG3pysnb7bKmnPvvK6jpq860XJJ7XgiwiLTVNOENu/z/ifGOBsQ6JFr 8is/wIgtQi+fq8RkJ0bURTSIq9t/KXD0ykebgGCl2UURBsThhAsJFFvDbgIa8bwX F/oeUBmwfGI9hmGhp5tPM3Y7s776d3tDuiIJNl2NKT7QmsPRDxd98NWqTywtu7YN QuKHwJjWNW1zBmUmIjrDwsmhLoA6W3tsi1x58QiFrTMYrVnfSmqvlt80Rd51CafA ufzxjWnEix0LbfZ7YPbF0Ek= =Th/E - -----END PGP PUBLIC KEY BLOCK----- -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: noconv iQEVAwUBNavbvy2LgWPBUrVpAQHTrAf9EXdXI2V2g7q51qvfBfDSpRiLsnQUU+iD N41KekYdYwIEG40Kr6UD37Nz6MuvkEKYAoWbj1nDhvQc7HCEApiANeg0ougLhtfv GdN0z1b2CdklgKKPAPoIMIF7ld+bbUmOEdyWXVZAlVLzLS+4rymceqQcHtMAYh4z SuDNkrHKHlxjHe9xzOJaLOAKlbEjQSRYnt3Byp0bN8wPfj3TM1qdgUuYW1SvigZK 8CDnstHd05LjBfm/41cbdvGbEwScrHvssuilj2BxPZ+qpgGkiS1gXfbhC/a/otpc rMdbgfqUnT0jPmg1gJ9Zl16R150rnJJ/plhRhJHHJ1ZuI/xrNhsXhg== =vVl3 -----END PGP SIGNATURE----- |
Infine c'è da dire che una coppia di chiavi, oltre che autoprodurla, la si può ottenere anche direttamente dal sito web (o via email) di un Ente Certificatore, che, come vedremo in seguito, oltre a fornire la coppia di chiavi svolge altre funzioni correlate all'utilizzo della firma digitale.
<<< Paragrafo precedente Paragrafo successivo >>>