Firma digitale
Firma Digitale
• Documento informatico e firma elettronica generica
• Firma digitale, crittografia e smart card
• Raffronto firma autografa / firma digitale
• Legislazione italiana e normativa di riferimento
• Gli Enti Certificatori• Posta certificata
Premessa
Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1)Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1)art. 15, comma 2art. 15, comma 2
“Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge”
Il T.U. in materia di documentazione amministrativa
(D.P.R. 28/12/2000 n. 445)
Art. 8Art. 8Documento informaticoDocumento informatico
Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico.
Il documento informatico
““Rappresentazione informaticaRappresentazione informatica (sequenza di bit che, (sequenza di bit che, elaborata da un sistema informatico, può essere resa elaborata da un sistema informatico, può essere resa visibile su uno schermo, stampata su carta o inviata a visibile su uno schermo, stampata su carta o inviata a distanza)distanza) di atti, fatti o dati giuridicamente rilevanti”di atti, fatti o dati giuridicamente rilevanti”
a differenza del documento cartaceo
• è immateriale (la sua esistenza non è legata a un supporto fisico)• non c’è distinzione tra originale e duplicato (molteplicità di originali a pari valore informativo)
Firma elettronicaD.Lgs. 23/1/2002, n. 10
Attuazione della Direttiva 1999/93/CE
Art. 2Art. 2DefinizioniDefinizioni
Si intende per firma elettronica l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica
Firma Digitale
• Documento informatico e firma elettronica generica
• Firma digitale, crittografia e smart card
• Raffronto firma autografa / firma digitale
• Legislazione italiana e normativa di riferimento
• Gli Enti Certificatori• Posta certificata
Firma DigitaleDefinizione
corrente:è l’equivalente informatico di una firma autografa su carta
tecnico-giuridica:è una firma elettronica che• si definisce avanzata• si basa su un Certificato di Sottoscrizione Qualificato• viene rilasciata da un Certificatore Accreditato• è generata mediante un dispositivo sicuro (smart card)
Crittografia
MMAAMMMMAA
zzoozzzzoo
A=OB=CC=M……M=Z……
OCM……Z……
Chiave Crittografica Simmetrica Singola
E’ una delle possibili applicazioni del sistema crittografico a chiavi asimmetriche:il mittente cifra il documento con la sua chiave privatail destinatario decifra con la chiave pubblica del mittente
Vengono garantite: l’autenticità del documento (sicurezza della paternità)• l’integrità del documento (certezza che il contenuto non sia stato alterato)
Firma DigitaleProprietà generali
Firma DigitaleCaratteristiche e vantaggi
INTEGRITA’ DEI DATI
RISERVATEZZA
NON RIPUDIO
AUTENTICAZIONE
DEL MITTENTE
• Sistema segreto di scrittura in codice• Scrittura segreta, che può essere
letta solo se se ne conosce la chiave• Scienza matematica che serve a
cifrare un testo in modo da renderlo comprensibile soltanto al destinatario
CrittografiaDefinizioni
• Simmetrica (a chiave singola) unica chiave per cifrare e decifrareunica chiave per cifrare e decifrare
• Asimmetrica (a chiave privata + pubblica) coppia di chiavi coppia di chiavi correlate e indipendenticorrelate e indipendenti
CrittografiaLe due tipologie di base
Crittografia simmetricaChiave singola per cifrare/decifrare
• La serratura può essere chiusa/aperta con la stessa chiave• La chiave deve essere duplicata/scambiata tra gli interlocutori• Occorre una chiave per ogni coppia di corrispondenti
Crittografia asimmetricaCoppia di chiavi correlate
• La serratura può essere aperta con una chiave ma chiusa solo con l’altra (e viceversa)• Le due chiavi sono indipendenti
Sistema a chiavi asimmetriche
Chiavi distinte e complementariOgni utente ha una coppia di chiavi:
chiave privatachiave privata(segreta e detenuta solo dal titolare)
chiave pubblicachiave pubblica(nota e accessibile a tutti)
• Non è possibile ricavare la chiave privata dalla corrispondente chiave pubblica• Ogni chiave consente di sbloccare il codice dell’altra
• La chiave pubblica (del destinatario) si usa per cifrare un documento
Sistema a chiavi asimmetriche
Sintesi
• La chiave privata (del mittente) si usa per firmare un documento e proteggerlo da alterazioni
Sistema a chiavi asimmetriche“Unicità” delle chiavi
• Per chiavi di 1024 bit è stato calcolato che, per risalire ad una chiave privata dalla corrispondente chiave pubblica, una rete di centinaia di migliaia di computer impiegherebbe alcuni secoli.
• La probabilità di generare due chiavi uguali (lunghe 1024 bit) è una su 10340 (“una su un miliardo di miliardi, di miliardi, di miliardi, …” ripetuto trentasette volte).
Firma DigitaleDispositivi di firma
““Apparati elettronici in grado di conservare in modo protetto Apparati elettronici in grado di conservare in modo protetto le chiavi private e di generare al loro interno la firma digitale.”le chiavi private e di generare al loro interno la firma digitale.”
Floppy disksFloppy disksHard diskHard disk
PC cardsPC cards
Crypto-boxCrypto-box
è dotata di un chip contenente:è dotata di un chip contenente: un microprocessore CPUun microprocessore CPU una memoria RAMuna memoria RAM una memoria ROMuna memoria ROM + una memoria EPROM+ una memoria EPROM o una memoria EEPROMo una memoria EEPROM interfacce per alimentazione e dialogo con altri sistemiinterfacce per alimentazione e dialogo con altri sistemi
Firma DigitaleLa smart card: definizione
Carta “intelligente” elettronica a microcircuito:Carta “intelligente” elettronica a microcircuito:risiede su tessera di plastica di dimensioni standard)risiede su tessera di plastica di dimensioni standard)
Firma DigitaleLa smart card: proprietà
è portabile (dimensioni ridotte) e resistenteè portabile (dimensioni ridotte) e resistente può memorizzare datipuò memorizzare dati può ospitare un sistema operativopuò ospitare un sistema operativo
(capacità di elaborazione e di processo)(capacità di elaborazione e di processo) è inattaccabileè inattaccabile
(ha un elevato livello, fisico e logico, di protezione)(ha un elevato livello, fisico e logico, di protezione) è programmabile all’origine e non clonabileè programmabile all’origine e non clonabile ha un’accessibilità sicura tramite PINha un’accessibilità sicura tramite PIN
(Personal Identification Number)(Personal Identification Number)
Firma Digitale
• Documento informatico e firma elettronica generica
• Firma digitale, crittografia e smart card
• Raffronto firma autografa / firma digitale
• Legislazione italiana e normativa di riferimento
• Gli Enti Certificatori• Posta certificata
Firma DigitaleConfronto con la firma autografa
FIRMA AUTOGRAFAFIRMA AUTOGRAFA
Riconducibile al soggettodirettamente
Legata al documentoattraverso il supporto fisico
Verifica diretta e soggettiva(attraverso il campione)
Facilmente falsificabile,ma il falso è riconoscibile
Deve essere autenticaper impedire il ripudio
FIRMA DIGITALEFIRMA DIGITALERiconducibile al soggetto soloattraverso il possesso di un segretoLegata indissolubilmenteal contenuto del documento
Verifica indiretta e oggettiva(tramite una terza parte fidata))
Non falsificabile senza conoscere il segreto, ma falso irriconoscibile
Ripudio impossibile
Firma Digitale
• Documento informatico e firma elettronica generica
• Firma digitale, crittografia e smart card
• Raffronto firma autografa / firma digitale
• Legislazione italiana e normativa di riferimento
• Gli Enti Certificatori• Posta certificata
NormativaIl Regolamento attuativo (Testo Unico)
Il Regolamento tecnico
(ex D.P.R. 10 novembre 1997 n. 513)(ex D.P.R. 10 novembre 1997 n. 513)
D.P.C.M. 8 febbraio 1999D.P.C.M. 8 febbraio 1999
D.P.R. 28 dicembre 2000 n. 445D.P.R. 28 dicembre 2000 n. 445
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Disposizioni legislative e regolamentariDisposizioni legislative e regolamentariin materia di documentazione amministrativain materia di documentazione amministrativa
Obiettivo: riordinare la normativa in materia di firma digitale, documentazione elettronica ed amministrativa, in base ai criteri e princìpi indicati dalla legge 8/3/99 n.50 (sulla predisposizione dei Testi Unici)
• riprende e ingloba il DPR 513/97 (Regolamento attuativo)• mantiene in vigore il DPCM 8/2/99 (Regolamento tecnico)
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Art. 1 - n)Art. 1 - n)Definizione di Firma DigitaleDefinizione di Firma Digitale
“Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Ambito di applicazioneAmbito di applicazione
Le norme concernenti i documenti informatici e la firma digitale si applicano agli organi della pubblica amministrazione, nonché ai gestori di pubblici servizi nei rapporti tra loro e con l’utenza, e anche nei rapporti tra privati.
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Forma ed efficacia del documento informaticoForma ed efficacia del documento informatico
1. Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 del c.c., riguardo ai fatti ed alle cose rappresentate.2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10)Forma ed efficacia del documento informaticoForma ed efficacia del documento informatico
3. Il documento informatico, sottoscritto con firma digitale… fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova...
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
• L’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo• Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l’ha certificata• L’uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione.
Art. 23Art. 23Firma digitaleFirma digitale
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
• Si ha per riconosciuta, ai sensi dell’art. 2703 del c.c. , la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.
• La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente testo unico.
Art. 24Art. 24Firma digitale autenticataFirma digitale autenticata
NormativaIl T.U. (D.P.R. 28/12/2000 n. 445)
Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10)Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10)Modalità di invio e sottoscrizione delle istanzeModalità di invio e sottoscrizione delle istanze
Le istanze e le dichiarazioni inviate per via telematica alla Pubblica Amministrazione sono valide:• se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura;• ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi” .
Firma Digitale
• Documento informatico e firma elettronica generica
• Firma digitale, crittografia e smart card
• Raffronto firma autografa / firma digitale
• Legislazione italiana e normativa di riferimento
• Gli Enti Certificatori• Posta certificata
CertificatoriLa certificazione: perché?
• Il sistema di crittografia asimmetrica, da solo, non assicura l’identificazione del soggetto che utilizza la coppia di chiavi.
• Generando coppie di chiavi e utilizzandole per scambiare documenti tramite la posta elettronica, attraverso la mutua certificazione, ogni utente potrebbe spacciarsi per un’altra persona, ovvero usare il nome di un individuo inesistente.
CertificatoriLa certificazione: definizione
• E’ il risultato della procedura informatica… mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene”
• Strumento che assicura l’identificazione del soggetto sottoscrittore, garantendo l’appartenenza della chiave in capo al rispettivo titolare”
CertificatoriLa certificazione: finalità
• Supplisce alla assenza di relazione fisica tra firma digitale e sottoscrittore
• Risolve il problema dell’identità nel mondo virtuale
• Documenta la corrispondenza tra la chiave pubblica ed il suo titolare rigorosamente identificato
CertificatoriTrusted Third Parties: le “terze parti
fidate”
CertificatoriElenco pubblico AIPA
• 27.01.2000 - SIA S.p.A. Società Interbancaria per l'Automazione (cessata attività dal01/01/2003 - certificatore sostitutivo Actalis)
• 24.02.2000 - SSB S.p.A. Società per i Servizi Bancari-Cedborsa (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis)• 30.03.2000 - BNL Multiservizi S.p.A. (Gruppo BNL)• 06.04.2000 - INFOCAMERE S.C.P.A (Camere di Commercio)• 13.04.2000 - FINITAL S.p.A. (Finanziaria Italiana)• 20.04.2000 - SARITEL S.p.A. (società fusa per incorporazione nella I.T. Telecom S.p.A.)• 20.04.2000 - POSTECOM S.p.A. (Poste Italiane)• 06.07.2000 - SECETI S.p.A. (Gruppo Banche Popolari)• 15.03.2001 - CENTRO TECNICO per la R.U.P.A.• 22.03.2001 - INTESA S.p.A. (Ibm)• 17.05.2001 - ENEL.IT S.p.A. (Enel)• 07.06.2001 - TRUST ITALIA S.p.A. (VeriSign)• 15.11.2001 - CEDACRINORD S.p.A. (Casse di Risparmio e altre banche)• 28.03.2002 - ACTALIS S.p.A. (SIA e SSB)• 12.09.2002 - CONSIGLIO NAZIONALE DEL NOTARIATO• 06.02.2003 - I.T. TELECOM S.P.A. (già Saritel S.p.A.)
CertificatoriL’Ente di Certificazione: definizione
• identifica la persona che richiede il certificato
• rende certa l’identità del soggetto fisico che ha generato una firma
• rilascia, gestisce, pubblica e revoca i certificati
•assicura la corrispondenza tra il titolare e la sua chiave pubblica
• impedisce il disconoscimento della propria firma (non ripudio)
“Soggetto pubblico o privato che effettua la certificazione...”
Ente CertificatoreStruttura organizzativa
Infrastruttura Centrale
Ufficio di Registrazione
Utente
Ente di CertificazioneInfrastruttura Centrale
• Genera i certificati per i titolari registrati
• Pubblica i certificati
• Revoca i certificati non più validi
– su propria iniziativa
– su richiesta del titolare
– su richiesta di terza parte interessata.
• Rinnova il certificato scaduto
Ente di CertificazioneUfficio di Registrazione
• Assiste nella richiesta della certificazione– verifica aspetti formali– garantisce il riconoscimento del soggetto– attiva la procedura di emissione dei certificati
• Distribuisce le Smart Card con i certificati
• Supporta la C.A. nel rinnovo e nella revoca
Riepilogo
Cos’è e a cosa serve la Firma digitale ?
E’ la possibilità, legalmente riconosciuta e normata dal punto di vista giuridico e tecnologico, di fare proprio, cioè di firmare, un documento digitale
Che valore ha la Firma digitale ?
• per legge equivale alla firma
autografa
• rende validi i documenti informatici,
la loro archiviazione e trasmissione
• rende validi i contratti elettronici,
anche stipulati a distanza
Chi avvalora la Firma digitale ?
Enti Certificatori - “Terze Parti Fidate” accreditate e riconosciute per legge
• verificano l’identità dei titolari• gestiscono l’attività tecnologica• rilasciano i dispositivi di firma (smart card)• pubblicano i certificati digitali• sospendono o revocano i certificati
“compromessi”
Sono uguali tutte le Firme?
Firme “leggere” e … “pesanti” la firma digitale è il tipo di firma elettronica che ha maggiore efficacia probatoria (art. 2702 c.c.)
• è rilasciata da un CERTIFICATORE ACCREDITATO
• mediante un CERTIFICATO QUALIFICATO
• su un DISPOSITIVO DI FIRMA SICURO (smart card)
Come si ottiene e come si usa?
Ci si rivolge ad un Ente Certificatore Accreditato(elenco su www.aipa.it)
Occorrono • Personal computer• Lettore di smart card• Software di firma
La posta elettronica ...La posta elettronica ...
… … sta sostituendo, a poco a poco, la sta sostituendo, a poco a poco, la
posta cartaceaposta cartacea
tuttavia le comunicazioni ufficiali tuttavia le comunicazioni ufficiali
rimangono su carta, ignorando il T.U. rimangono su carta, ignorando il T.U.
sulla doc. amministrativasulla doc. amministrativa
Il documento informatico ... Il documento informatico ...
… … trasmesso per via telematica si trasmesso per via telematica si
intende inviato e intende inviato e pervenutopervenuto al al
destinatario, se trasmesso destinatario, se trasmesso
all’indirizzo elettronico da questi all’indirizzo elettronico da questi
dichiaratodichiarato (art14. Comma 1 dpr (art14. Comma 1 dpr
445 28 dic. 2000)445 28 dic. 2000)
La trasmissione del documento ...La trasmissione del documento ...
… … informatico per via telematica informatico per via telematica
con modalità che con modalità che assicurino assicurino
l’avvenuta consegnal’avvenuta consegna, , equivaleequivale
alla alla notificazione per mezzo della notificazione per mezzo della
postaposta nei casi consentiti dalla nei casi consentiti dalla
legge (art14. Comma 3 dpr 445 legge (art14. Comma 3 dpr 445
28 dic. 2000)28 dic. 2000)
Posta certificata: caratteristichePosta certificata: caratteristiche
semplicità:semplicità:
- è una- è una casella e-mail casella e-mail
- si utilizzano i - si utilizzano i normalinormali
strumenti di posta (Outlook, …)strumenti di posta (Outlook, …)
Particolarità principaliParticolarità principali
ricevutericevute di di invioinvio e di e di consegnaconsegna • “ “timbro” (ora esatta)timbro” (ora esatta)
garanzie:garanzie:• integritàintegrità del messaggio del messaggio• tracciabilitàtracciabilità eventi (log) eventi (log)
Posta certificataPosta certificata
Casella di posta
Ricevuta di accettazione
Ricevuta di consegna
Provider di PostaProvider di Posta
Certificata ACertificata A
Provider di Posta Provider di Posta
Certificata BCertificata B
Mittente Mittente
Destinatario Destinatario
Opponibilità a terziOpponibilità a terzi
ricevuta: prova (firmata dal ricevuta: prova (firmata dal
gestore) del gestore) del contenutocontenuto e non e non
solo dell’inviosolo dell’invio
ora esattaora esatta
traccia mantenuta per annitraccia mantenuta per anni
Opponibilità a terziOpponibilità a terzi
La data e l’ora di formazione, di La data e l’ora di formazione, di
trasmissione o di ricezione di un trasmissione o di ricezione di un
documento informatico, redatto in documento informatico, redatto in
conformità … , sono opponibili ai conformità … , sono opponibili ai
terzi (art14. Comma 2 dpr 445 28 dic. terzi (art14. Comma 2 dpr 445 28 dic.
2000)2000)
Messaggi non certificatiMessaggi non certificati
messaggi scambiati tra caselle messaggi scambiati tra caselle
di posta certificata e non di posta certificata e non
certificatacertificata• mancano: ricevute, tracce, …mancano: ricevute, tracce, …• nonnon conformi al dpr 445 conformi al dpr 445
Facile identificazione
ConsegnaConsegna
nonnon prevede laprevede la firma firma del del
destinatario: basta la consegna destinatario: basta la consegna
nella nella casella da lui dichiaratacasella da lui dichiarata (art 14 comma 1 T.U. (art 14 comma 1 T.U.
documentazione amministrativa)documentazione amministrativa)
Cosa si certifica?Cosa si certifica?
l’l’avvenutaavvenuta consegnaconsegna: con : con
apposita ricevuta (conservare)apposita ricevuta (conservare)
l’l’integritàintegrità della trasmissione della trasmissione
tra i due provider (busta)tra i due provider (busta)
In cosa consiste?In cosa consiste?
è una è una casella di posta elettronicacasella di posta elettronica • rilasciata da gestore di posta rilasciata da gestore di posta
certificatacertificata• in un dominio di posta in un dominio di posta
certificatacertificata
Basta la casella? Sì ma ...Basta la casella? Sì ma ...
… … se invio documenti se invio documenti
importanti li firmoimportanti li firmo
smartcard di firmasmartcard di firma per per • allegati allegati • messaggiomessaggio
::::
Legalmail: ulteriori funzioniLegalmail: ulteriori funzioni
sicurezza e affidabilitàsicurezza e affidabilità
• antivirus in entrata e in uscita antivirus in entrata e in uscita • più livelli di firewallpiù livelli di firewall• controlli anti-intrusionicontrolli anti-intrusioni
Legalmail: domini Legalmail: domini di posta certificatadi posta certificata
dominio standard propostodominio standard proposto
altre possibilità:altre possibilità:• domini dell’utentedomini dell’utente• nuovi livelli in legalmail.itnuovi livelli in legalmail.it
Esempio
- dominio utente: infocamere.it
- posta certificata: cert.infocamere.it
LegalmailLegalmail
Firma / marche temporaliFirma / marche temporali
Protocollo InformaticoProtocollo Informatico
Conservazione e condivisione Conservazione e condivisione documenti firmati (Repository)documenti firmati (Repository)
Top Related