COS’E’ LA FIRMA DIGITALE
La firma digitale è un'informazione che viene aggiunta ad un documento informatico al fine di garantirne integrità e provenienza; rappresenta l’equivalente elettronico di una tradizionale firma apposta su carta ed è associata stabilmente ad un documento informatico che assume pertanto le seguenti caratteristiche:
- Integrità: garanzia che il documento non è stato manomesso.
- Autenticità: garanzia dell’identità di chi firma.
- Non ripudio: l’autore non può disconoscere il documento firmato.
- Valore legale: ha lo stesso valore legale di un documento cartaceo.
La firma digitale si basa su certificati elettronici rilasciati da soggetti definiti "certificatori", i quali hanno il compito e la responsabilità di:
- garantire l’associazione firma digitale - titolare,
- pubblicare sul proprio sito l'elenco dei certificati delle chiavi pubbliche dei titolari che si sono avvalsi dei loro servizi di certificazione,
- mantenere aggiornato l'elenco pubblico dei certificati sospesi o revocati.
INQUADRAMENTO GIURIDICO
L'Italia ha dato piena validità giuridica alla firma digitale attraverso vari interventi normativi anche di contenuto tecnico. Il più significativo è il Decreto Legislativo del 7 marzo 2005, n. 82 Codice dell'amministrazione digitale, Art. 21. Valore probatorio del documento informatico sottoscritto
Il documento informatico, cui e' apposta una firma elettronica, sul piano probatorio e' liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza.
Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.
IL FUNZIONAMENTO
La firma digitale è un processo matematico che permette di criptare una rappresentazione univoca del file, detta “impronta”, e di inserirla nel file stesso trasformandolo in un nuovo tipo di file. Il risultato del processo di firma digitale di un file è un altro file, di formato diverso. La firma digitale è un processo matematico che può essere così sintetizzato:
Creazione dell’impronta del documento: attraverso un algoritmo detto ‘algoritmo di Hash’ è possibile estrarre un numero di lunghezza fissa (160 bit) che ha la caratteristica di rappresentare univocamente il nostro documento. Se cambiamo anche una sola virgola al documento anche il numero che lo rappresenta cambierà. Questo numero è detto “impronta” del file. Le due caratteristiche importanti sono: l’impronta rappresenta il file, se il file cambia l’impronta cambia; è un numero.
Firma dell’impronta: un altro algoritmo matematico permette di criptare l’impronta Questa operazione è molto semplice da effettuare, ma è computazionalmente molto difficile effettuare l’operazione inversa, cioè ricavare la chiave privata. L’impronta così criptata è sicura e non può essere alterata. La chiave privata viene creata sempre in coppia con un altro numero, la chiave pubblica. Quest’ultima permette di estrarre l’impronta criptata, ma non di criptarla.
Creazione del nuovo formato di file. Questa operazione può essere immaginata come la creazione di una sorta di busta all’interno della quale trovano posto il file originale l’impronta firmata la chiave pubblica il certificato dell’autore. Quest’ultimo è una vera e propria carta d’identità elettronica e viene rilasciata da una autorità preposta.
Vediamo ora cosa deve fare il destinatario per sapere se il file è originale o se è stato manomesso. Il principio consiste nell’estrarre il file originale e creare una nuova impronta che poi confronteremo con quella criptata contenuta nella busta: se le due impronte coincidono il file è integro.
In sintesi:
1) Estrazione del file originale dalla busta.
2) Creazione di una impronta attraverso l’applicazione dell’algoritmo SHA-1.
3) Estrazione dell’impronta criptata con la chiave pubblica, anch’essa contenuta nella busta.
4) Confronto delle due impronte.
5) Accede ai servizi dell'Autorità di certificazione che ha rilasciato il certificato per verificare che non ci siano atti di revoca o di sospensione nei confronti dello stesso e per verificarne l’identità.
Queste operazioni vengono svolte da programmi specializzati per la firma e la verifica dei documenti che vengono distribuiti gratuitamente su internet dalle stesse autorità che rilasciano i certificati e le chiavi private e pubbliche per la firma digitale.
Attenzione: non è necessario dotarsi degli strumenti per la firma digitale per leggere un file firmato.
Il file può essere aperto scaricando l’apposito programma da internet.
