Certificati e firma digitale
La firma digitale è l'equivalente informatico di una tradizionale firma apposta su carta.
La firma digitale si basa su un sistema di codifica crittografica a chiavi asimmetriche che consente:
-
la sottoscrizione di un documento informatico;
-
la verifica, da parte dei destinatari, dell'identità del soggetto sottoscrittore;
-
la certezza che l'informazione contenuta nel documento non sia stata alterata.
L'utente possiede un dispositivo di firma sicuro (smart card o token USB o Business Key) rilasciato da appositi enti certificatori; oltre al dispositivo l'utente viene dotato di codice segreto (PIN) personale da utilizzarsi contemporaneamente alla smart card.
Durante l'apposizione della firma il file viene "incapsulato" in una busta crittografica" e il risultato è un nuovo file, con estensione .p7m.
Smart Card
La smart card è una tessera plastificata, con dimensioni di una carta di credito, su cui è integrato un microchip programmabile, con una ROM che contiene il SO e i programmi "fissi", una PROM che contiene il numero seriale della smartcard, una ROM che contiene i dati del proprietario e i meccanismi di protezione che ne evitano la clonazione.
Firme digitali
La firma digitale è nata a causa della lentezza dei sistemi di crittografia a chiave publica: per rendere più efficiente il meccanismo si utilizza una funzione di hash attraverso la quale si calcola una stringa identificativa del messaggio, detta fingerprint composta da un numero limitato di caratteri.
Il calcolo della funzione di hash viene fatto in modo veloce così che risulta significativamente vantaggioso creare il fingerprint del messaggio e criptare quello con la propria.
Certificati
Il certificato digitale è un documento informatico contenuto nella smartcard del titolare e firmato digitalmente dal certificatore.
I dati contenuti nel certificato sono quindi seguenti:
-
dati del proprietario, tra cui il nome, cognome e data di nascita del titolare e la chiave pubblica;
-
dati del certificato, tra cui il data di scadenza e il numero di serie del certificato;
-
dati della Certification Authority, tra cui il codice identificativo del titolare presso il certificatore e la firma digitale.
Richiedere un certificato digitale
-
generazione della coppia di chiavi asimmetriche da utilizzare per cifrare le comunicazioni;
-
il richiedente comunica informazioni circa la propria identità alla Certification Authority;
-
a Registration Authority inizia la verifica dei dati;
-
se i controlli vanno a buon fine, la Certification Authority genera il certificato e lo firma digitalmente con la propria chiave privata;
-
il certificato firmato viene inviato al richiedente;
La carta CNS
La carta nazionale dei servizi è una smart card che contiene un "certificato digitale" di autenticazione personale; è uno strumento informatico che consente l'identificazione certa dell'utente in rete e permette di consultare i dati personali resi disponibili dalle pubbliche amministrazioni direttamente su sito web. La CNS rilasciata dal Camere di Commercio è un dispositivo integrato che consente, a chi ha una carica all'interno di un'impresa, di firmare digitalmente documenti informatici e di accedere in rete ai servizi della Pubblica Amministrazione. Inoltre consente di consultare gratuitamente le informazioni relative alla propria azienda contenute nel Registro Imprese.
Il certificato digitale contenuto all'interno della CNS è l'equivalente elettronico di un documento d'identità. Come i documenti cartacei, anche il certificato digitale ha una validità temporale al di fuori della quale risulterà scaduto.