,

Firma digitale: come funziona dal punto di vista tecnico

Firma digitale come funziona

La firma digitale, utilizzata per sottoscrivere un documento informatico, garantisce, in modo inequivocabile, l’integrità dei dati contenuti e l’autenticità delle informazioni relative al sottoscrittore.

La firma digitale si basa sulla tecnica della crittografia asimmetrica o a doppia chiave (una privata e una pubblica): la chiave privata servirà al sottoscrittore per codificare il documento elettronico da firmare e quella pubblica servirà al destinatario per decodificare il messaggio ricevuto.

Firmare digitalmente un documento comporta che:

  • il sottoscrittore non potrà disconoscere il documento stesso, in quanto dopo la sottoscrizione non si potrà assolutamente effettuare alcuna modifica
  • il sottoscrittore è l’unico titolare del certificato di firma digitale (in quanto detiene il dispositivo e le credenziali per accedervi)
  • il sottoscrittore garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (dati anagrafici del titolare)

In questo articolo vedremo i seguenti argomenti

Come funziona tecnicamente la firma digitale

Dal punto di vista tecnico, la firma digitale applica la tecnica della crittografia asimmetrica a doppia chiave (una pubblica e una privata), applicando particolari funzioni matematiche, come la funzione di hash. Tecnicamente inserire una firma digitale in un documento elettronico significa:

Generare l’impronta digitale
Nella fase iniziale, viene generata l’impronta digitale usando la funzione di hash, che è un algoritmo che produce una stringa di lunghezza piccola e costante (generalmente 120 o 160 bit) indipendentemente dalle dimensioni dell’originale. L’impronta per ogni documento è unica e non invertibile: questo significa che modificando anche un solo carattere del testo si otterrà un’impronta diversa.
Generare la firma
viene applicata la cifratura con chiave privata dell’impronta digitale precedentemente generata: la firma sarà quindi legata, da un lato (tramite la chiave privata usata per la generazione) al soggetto sottoscrittore, e dall’altro (tramite l’impronta) al testo sottoscritto. L’impronta, e non l’intero documento, viene  in questa fase criptata con la chiave privata del mittente ottenendo la generazione della firma digitale.
Apporre la firma
viene aggiunta la firma del sottoscrittore in una posizione predefinita, generalmente alla fine del documento.

Al destinatario del documento verranno spediti:

  • il documento firmato secondo la procedura tecnica descritta
  • il certificato che deve essere rilasciato dall’ente di certificazione a garanzia della titolarità della chiave pubblica necessaria a decriptare la firma digitale

Quando il destinatario aprirà il documento utilizzerà un apposito software per la verifica della firma digitale che acquisirà dal certificato annesso al documento firmato la chiave pubblica del mittente. Tramite questa chiave, viene decifrata la stringa della firma digitale che produrrà come risultato l’impronta del documento. Il destinatario poi farà passare la funzione hash sul documento originario e genererà l’impronta: a questo punto se le due impronte coincideranno il destinatario sarà sicuro dell’integrità e dell’autenticità del documento ricevuto.

I certificati pubblici elettronici vengono rilasciati da enti Autorità di Certificazione (CA) autorizzati tramite Elenco Pubblico dei Certificatori dell’AgID.

Il certificato di firma digitale

Il certificato di firma digitale in pratica lega l’identità di una persona fisica alla chiave pubblica. E’ l’Autorità di Certificazione che si fa garante della veridicità di questo legame e l’identità del titolare attraverso un incontro de visu tra un suo incaricato (Registration Authority) e l’utente.

La CA ha il dovere di permettere a chiunque l’accesso ad un Registro dei Certificati al fine di consentire l’identificazione del titolare della chiave pubblica e di mantenere la lista dei certificati sospesi e revocati costantemente aggiornata.

Ogni certificato deve riportare i seguenti dati:

  • informazioni per identificare in modo univoco il possessore di una chiave pubblica (ad esempio nome e cognome)
  • il valore della chiave pubblica
  • il periodo di validità temporale del certificato
  • la firma digitale della autorità di certificazione con cui si assicura autenticità della chiave ed integrità delle informazioni contenute nel certificato.

Un soggetto può essere titolare di uno o più certificati a seconda dei ruoli che riveste come sottoscrittore di documenti informatici. Questo significa che una persona può avere anche due o più certificati se ha bisogno ad esempio di firmare documenti come semplice cittadino o come amministratore di una società.

In realtà il sistema di rilascio dei certificati è di estrema semplicità in quanto essi possono essere distribuiti senza dover necessariamente ricorrere ai tipici servizi di sicurezza, integrità e autenticazione delle comunicazioni. Grazie ai vantaggi della crittografia a chiave pubblica non c’è infatti alcun bisogno di garantire la riservatezza del valore della chiave pubblica; durante il processo di distribuzione, poi, non ci sono requisiti di autenticazione ed integrità dal momento che il certificato è per sua costituzione una struttura già protetta (la firma digitale dell’autorità di certificazione sul certificato fornisce, infatti, sia autenticazione sia integrità).

Questo significa che se una terza parte provasse a modificare il contenuto di un certificato, la violazione si rileverebbe subito già in fase di verifica della firma sul certificato: il processo di verifica fallirebbe e l’utente finale sarebbe avvertito della non integrità della chiave pubblica contenuta nel certificato.

Revoca o sospensione della firma digitale

E’ bene in ultimo sottolineare che  il certificato del titolare ha un periodo di validità, ma può anche essere revocato o sospeso prima della sua naturale scadenza. La revoca o la sospensione avvengono in diversi casi, come ad esempio la sottrazione o lo smarrimento del dispositivo di firma, oppure le informazioni contenute nel certificato non sono più corrette (ad esempio quando un soggetto è titolare di un certificato in qualità di amministratore unico di una società e lascia la società stessa: in tal caso il certificato dovrà essere revocato).

La scadenza, la revoca o la sospensione di un certificato hanno lo stesso effetto giuridico: le firme digitali generate sulla base di un certificato scaduto, revocato o sospeso non hanno alcuna valenza giuridica e quindi equivalgono a mancata sottoscrizione.

La revoca è irrevocabile, la sospensione è una condizione transitoria del certificato che può evolvere in revoca o annullamento della sospensione. La sospensione è un istituto a tutela del titolare: qualora il titolare non trovasse più il dispositivo di firma, ma non fosse certo della sua perdita o furto, può, in via cautelativa, sospendere il certificato per poi riattivarlo (annullamento della sospensione) o revocarlo a seconda del caso.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!