Firma digitale: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m Nuova pagina: La '''firma digitale''', o '''firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche''', è un sistema di autenticazione di documenti [[Digital... |
mNessun oggetto della modifica |
||
Riga 1:
La '''firma digitale''', o '''firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche''', è un sistema di autenticazione di documenti [[w:Digitale (informatica)|digitali]] analogo alla [[w:firma|Firma]] autografa su carta.
La firma digitale è un sistema di autenticazione forte in quanto si basa sull’uso di un [[w:certificato digitale|certificato digitale]] memorizzato su di un dispositivo hardware.
I certificati su cui si basa possono essere più di uno.
== Sistemi per la creazione e la verifica di firme digitali ==
Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche dei [[w:crittografia asimmetrica|sistemi crittografici a due chiavi]].
Un [[w:crittografia|sistema crittografico]] garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non sia in possesso di una "chiave" (intesa secondo la definizione [[w:crittologia|crittologica]]) per interpretarli. Nei sistemi crittografici a due chiavi, detti anche a chiave pubblica o asimmetrici, ogni utente ha una coppia di chiavi: una [[w:chiave privata|chiave privata]], da non svelare a nessuno, con cui può decodificare i messaggi che gli vengono inviati e firmare i messaggi che invia, e una [[w:chiave pubblica|chiave pubblica]], che altri utenti utilizzano per codificare i messaggi da inviargli e per decodificare la sua firma e stabilirne quindi l'autenticità. Per ogni utente, le due chiavi vengono generate da un apposito [[w:algoritmo|algoritmo]] con la garanzia che la chiave privata sia la sola in grado di poter decodificare correttamente i messaggi codificati con la chiave pubblica associata. Lo scenario in cui un mittente vuole spedire un messaggio ad un destinatario in modalità sicura è il seguente: il mittente utilizza la chiave pubblica del destinatario per la codifica del messaggio da spedire, quindi spedisce il messaggio codificato al destinatario; il destinatario riceve il messaggio codificato e adopera la sua chiave privata per ottenere il messaggio "in chiaro".
Grazie ad un'ulteriore proprietà delle due chiavi, inversa rispetto a quella descritta, un sistema di questo tipo è adatto anche per ottenere dei documenti firmati, infatti: la chiave pubblica di un utente è la sola in grado di poter decodificare correttamente i documenti codificati con la chiave privata di quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione [[w:hash|hash]] ricava l'impronta digitale del documento, il ''message digest'', un file di dimensione fissa che riassume le informazioni contenute nel documento, dopodiché utilizza la propria chiave privata per codificare quest'impronta digitale: il risultato di questa codifica è la creazione di una firma. La funzione hash, è fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre è ''one-way'', a senso unico, questo significa che dall'impronta è pressoché impossibile ottenere nuovamente il testo originario. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento.
Chiunque può verificare l'autenticità di un documento: per farlo, decodifica la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e poi confronta questa con quella che si ottiene applicando la funzione hash, pubblica, al documento; se le due impronte sono uguali, l'autenticità del documento è garantita.
Line 74 ⟶ 73:
All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando al Codice Civile, che la firma digitale (o altra firma elettronica qualificata) ''fa piena prova fino a querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta'' , equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, all'atto pubblico). Sulla questione del valore probatorio del documento informatico c'è stata in Italia una lunga discussione che è sfociata in modifiche normative contraddittorie.
La titolarità della firma digitale è garantita dai "[[certificatori]] " (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità, accreditati presso il [[w:Centro Nazionale per l'Informatica nella Pubblica Amministrazione|Centro Nazionale per l'Informatica nella Pubblica Amministrazione]] (CNIPA), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria. I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un certificatore è l'ente "Poste italiane").
L'acquisizione di una chiave privata è a pagamento ed ha una scadenza, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona.
Line 82 ⟶ 81:
È fondamentale che il rilascio avvenga previo invio di documenti da parte dell'interessato perché sia associata ad una persona maggiorenne e ai dati anagrafici in modo che sia sua responsabilità la vendita o affitto, durante periodi di inutilizzo, a terzi della chiave privata.
Il beneficiario di ciò potrebbe firmare richieste di attivazione di servizi, invio di merci e altri contratti a suo favore (col suo indirizzo) a spese del titolare della chiave privata. Per esercitare [[w:rivalsa|rivalsa]], il creditore potrebbe chiedere all'autorità che ne ha effettuato il rilascio, la chiave privata e i dati anagrafici del cedente. L'autorità è in grado di risalire a questi dati dalla firma digitale, nota la chiave pubblica con cui decifrare la firma.
| |||