ProjectIl valore dell'esperienza

 

 

 

 

Home   Soluzioni   Prodotti   Servizi   Novità   Scrivici   Download    Mappa   English

La nostra proposta di gestione documentale si basa su prodotti predefiniti, articolati in moduli e funzioni che

insieme realizzano soluzioni diversificate per ogni organizzazione. Uno di questi è per la firma digitale.

 

IMAGE-2

 

Image-2 si articola in vari componenti che prevedono il controllo agli accessi, l’acquisizione dei documenti, l’indicizzazione sul

data base, l’archiviazione (commit), la ricerca delle immagini e la firma digitale di un documento.

Image-2 prevede il modulo Sign per la gestione della firma e della verifica. Per questo utilizza la firma su smart card conforme alle

normative Cnipa.

 

NOZIONE GIURIDICA DI FIRMA DIGITALE
La firma digitale, secondo la definizione data nella legislazione, è "il risultato della procedura informatica (validazione) basata su

un sistema di chiavi asimmetriche a coppia, una pubblica e una privata che consente al sottoscrittore tramite la chiave privata  e

al destinatario tramite la chiave pubblica rispettivamente di rendere manifesta e di verificare la provenienza e l'integrità di un

documento informatico o di un insieme di documenti informatici".

 

Questa definizione prescrive chiaramente la tecnica crittografica da utilizzare nell'apporre una firma digitale ad un documento

informatico  affinché possano essere verificate l'originale consistenza e contenuto del documento stesso (ossia la sua integrità) e

possa essere stabilita con certezza la sua provenienza (ossia la sua imputazione).

Tradizionalmente l'integrità delle informazioni contenute in un documento è  garantita dalla materialità del supporto utilizzato e

quindi dalla possibilità di fissare in modo indelebile i suoi contenuti in modo che qualsiasi cancellazione o modifica possa essere

riconosciuta. L'imputazione è garantita invece dall'apposizione della propria firma in calce da parte di chi vuole assumere la

paternità delle dichiarazioni contenute nel documento.

Nella definizione di firma digitale data nella legislazione notiamo subito che l'integrità e l'imputazione risiedono ora nella firma

stessa (il sistema consente di "rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico").

Inoltre, mentre l'associazione tra testo di un documento e la firma autografa è ottenuta esclusivamente attraverso il supporto

cartaceo, la firma digitale è intrinsecamente legata al testo a cui è apposta, anzi si può dire che è "calcolata" sul testo stesso.

Conseguenza di ciò è l'unicità della firma digitale, nel senso che a testi diversi corrispondono firme diverse e quindi, mentre è

possibile effettuare copie dello stesso documento e della firma in esso contenuta (replicabilità), è impossibile trasferire la firma

stessa da un testo all'altro e non è inoltre possibile modificare in alcun modo il contenuto di un documento elettronico al quale è

stata applicata una firma digitale.

Si assiste dunque ad un nuovo concetto di documento che prescinde dalla natura stessa del supporto utilizzato e ad un

conseguente cambiamento del significato della certificazione di tale documento. Se ci si sofferma a riflettere, nel documento

tradizionale ciò che viene certificato non è l'informazione ma il supporto che la contiene. L'autenticità del contenuto è data dalla

sua inscindibilità dal contenitore che è reso in qualsiasi modo riconoscibile e non falsificabile. Ecco allora l'apposizione della firma

in calce al documento, i timbri, i sigilli, le filigrane e tutti gli altri strumenti atti a "segnare" in modo indelebile il supporto. Se invece

il documento è costituito da un file sottoscritto con firma digitale, siamo in presenza di un documento informatico che può essere

separato dal contenitore (è sempre possibile fare una copia del file o trasferirlo su di un altro supporto) e la cui autenticazione

riguarda il contenuto stesso.

La differenza più lampante tra firma autografa e firma digitale sta nel fatto che la prima è direttamente riconducibile all'identità di

colui che la appone, poiché la calligrafia è elemento identificativo della persona, mentre la seconda non possiede questa proprietà.

Per coprire questa deficienza si ricorre all'autorità di certificazione il cui compito è quello di stabilire, garantire e pubblicare

l'associazione tra firma digitale e soggetto che l'ha apposta.

 

IL FUNZIONAMENTO DELLA FIRMA DIGITALE
I meccanismi di funzionamento della firma digitale, così come prescritta dal nostro ordinamento, poggiano essenzialmente sugli

algoritmi crittografici a chiavi pubbliche detti anche a chiavi asimmetriche poiché utilizzano chiavi diverse per le operazioni di

cifratura e decifratura. Le basi di questo sistema sono state poste nel 1976 da due studiosi, Whitfield Diffie e Martin E. Hellan, che

elaborarono un protocollo per lo scambio di una chiave segreta sopra un canale pubblico.

 

La chiave è un nome o una sigla che, una volta digitata ci permette di attivare un complicato algoritmo che andrà a criptare il testo

che si vuole rendere illeggibile. L'apposizione di una chiave crittografica ad un testo permette quindi di mascherarne i contenuti.

Nel caso di crittografia a chiave pubblica la cifratura e la decifratura avvengono utilizzando due chiavi diverse. Una di queste due

chiavi è destinata ad essere resa pubblica con i più diversi mezzi fra i quali anche l'inclusione in databases consultabili on-line (key

repositories), mentre l'altra deve essere nota solo al titolare.

 

Le chiavi crittografiche possono essere utilizzate in modi diversi a seconda che lo scopo sia quello di cifrare il messaggio oppure

apporvi una firma digitale. La differenza tra le due applicazioni risiede nel ruolo delle chiavi. Qualora si intenda spedire a qualcuno

un messaggio cifrato, verrà applicata la chiave pubblica del destinatario all'intero messaggio. In tal modo il testo diviene illeggibile

e può essere inviato. Il ricevente sarà in grado di leggere il messaggio solo dopo averlo decifrato apponendovi la propria chiave

privata. Nel caso il messaggio arrivasse per errore ad un destinatario diverso, questo non sarebbe in grado di leggerlo perché non

in possesso della chiave privata.

 

Quando si vuole apporre una firma digitale ad un messaggio, il mittente utilizza invece la propria chiave privata, che non deve

essere necessariamente applicata a tutto il testo. Nel caso di documenti lunghi la criptazione a chiave pubblica può infatti

diventare lenta e risulta quindi più comodo applicare la chiave ad una parte del documento.

A tal fine viene usata una particolare funzione,chiamata funzione hash inclusa nel software della firma digitale che comprime il

testo in una sorta di "riassunto", che viene anche definito "impronta digitale". Il testo risultante è progettato in modo da

minimizzare la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta. La dimensione del riassunto è

fissa e molto più piccola di quella del messaggio originale, pertanto la generazione della firma risulta molto più rapida.

 

La generazione della firma consiste quindi semplicemente nella cifratura per mezzo della chiave segreta dell'impronta digitale,

generata tramite la funzione hash. La firma è poi aggiunta in una posizione predefinita, normalmente alla fine del testo del

documento. Solitamente, insieme con la firma vera e propria, è allegato al documento anche il valore dell'impronta digitale.

Devono essere inoltre rilevabili attraverso la firma digitale gli elementi identificativi del soggetto titolare della firma, del soggetto

che l'ha certificata e del registro sul quale essa è stata pubblicata. La verifica della firma digitale sarà poi fatta dal destinatario

applicando la medesima funzione hash usata nella fase di sottoscrizione in modo da ottenere il valore dell'impronta. Tale valore s

arà poi confrontato con quello che si ottiene decodificando la firma digitale stessa applicandovi la chiave pubblica del mittente. La

disponibilità del valore dell'impronta all'interno del messaggio ha solo la funzione di rendere più veloce la verifica.

 

Con tale procedura si possono quindi inviare documenti non cifrati e sottoscritti con firma digitale. Questi hanno dunque

provenienza certa e colui che li ha inviati non potrà efficacemente sostenere di non avere inviato il messaggio. E' inoltre garantita

l'integrità del documento in quanto ogni modifica anche minima apportata al documento firmato in modo digitale è immediatamente

riconoscibile.

 

E' anche possibile cifrare il contenuto del documento applicando in questo caso la chiave pubblica del destinatario al testo in

modo che solo lui potrà decifrarlo utilizzando la corrispondente chiave segreta.

Realizzazione Project  srl