I codici di sicurezza e la crittografia
| DSE | RSA | SSL | Firma digitale |
Le informazioni possono essere "rubate" non solo lì dove sono conservate, ma anche durante il loro transito in Rete, per cui occorre proteggerle da intercettazioni indesiderate. Un meccanismo che si utilizza è quello della crittografia, che consiste nel manipolare e rendere illeggibili i dati prima di inviarli (encryption) e di decodificarli (decryption) solo a ricezione avvenuta.
Uno degli standard più diffusi è il DES (Data Encryption Standard), adottato dal Governo degli Stati Uniti, che si basa sull'impiego di una "chiave privata", utilizzata sia per crittografare i dati sia per decifrarli, e che è nota solo al mittente e al destinatario (sistema a chiave simmetrica).
Un altro standard molto utilizzato è l'RSA, che è un sistema di crittografia a chiave pubblica (PKC, Public Key Cryptografy). Esso si basa, invece, sull'utilizzo di una coppia di chiavi: una chiave è pubblica e viene usata per codificare il messaggio, mentre l'altra è privata e conosciuta solo dal destinatario, che la utilizza per la decodifica (sistema a chiave asimmetrica). L'uso delle due chiavi può essere invertito, cioè si può cifrare il messaggio con la chiave privata e decifrarlo con quella pubblica. Il vantaggio è che, mentre con il DES bisogna inviare le chiavi private e c'è, quindi , il rischio che siano anch'esse intercettate, con l'RSA le chiavi private non vengono mai inviate in Rete.
Anche Netscape ha sviluppato un protocollo, basato sul sistema della doppia chiave, chiamato SSL (Secure Socket Layer), per garantire la sicurezza durante le transazioni finanziarie. Esso si occupa dell'autenticazione del server, della crittografia e dell'integrità dei dati scambiati. E' importante, inoltre, che un utente abbia la certezza che un'informazione sia stata scambiata. Esistono per questo scopo strumenti software, per esempio Regedoc, che marcano un file con un unico numero ID prima che sia criptato e inviato. Quando il file è ricevuto il software genera automaticamente un secondo numero che è confrontato con il primo.
Uno sviluppo interessante del sistema della crittografia è quello della firma digitale: una volta che il mittente ha "firmato" usando la chiave segreta, il destinatario usa la chiave pubblica di quel mittente per decifrare il messaggio e se ci riesce significa che la firma è autenticata, altrimenti no. Questo sistema è stato scelto è stato scelto anche per realizzare il cosiddetto documento digitale, cioè un documento dotato di valore legale, ma costituito da un file, che, può essere facilmente manipolabile.
Nel sistema giuridico italiano, la firma digitale è definita per la prima volta nel DPR (Decreto del Presidente della Repubblica) n. 513 del 10 novembre 1997, che definisce i criteri di applicazione all'art. 15, comma 2 della Legge n. 59 del 15 marzo 1997 ( nota come Bassanini) disciplinando "la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici", mentre le regole tecniche per la "formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione la validazione, anche temporale, dei documenti informatici" sono descritte nel DPCM (Decreto del Presidente del Consiglio dei Ministri) 8 febbraio 1999. Per poter utilizzare la firma digitale, per la Pubblica Amministrazione, è necessario recarsi personalmente da un Ente certificatore riconosciuto (CA, Certification Authority), il quale, controllati i dati personali del richiedente, fa generare al microcip di una smart card "vergine" le due chiavi, la pubblica e la privata.
La prima viene registrata dall'Ente, la seconda rimane segreta all'interno della carta. La smart card viene consegnata al richiedente insieme ad un lettore, da collegare al computer, e al relativo software. La chiave, in definitiva, è una combinazione di almeno 1024 bit, che è il minimo stabilito per legge e ritenuto non decifrabile.
|
|
Quando l'utente dovrà firmare un documento elettronico inserirà la card nel lettore, fornirà il PIN, assegnatogli insieme alla card e che lo abilita all'uso, e il software unirà automaticamente la firma al file, oltre alla chiave pubblica per e all'identificativo dell'ente certificatore. Chi ricaverà il documento utilizzerà la chiave pubblica per verificarne l'autenticità, la validità della firma e la non manomissione. Questo tipo di firma, che garantisce contemporaneamente l'autenticità del mittente e l'integrità del documento, si definisce "firma forte", a differenza della "firma debole", che garantisce solo l'autenticità del mittente.
Per revocare la chiave, che comunque ha una scadenza, occorre fare un'altra registrazione, in modo che si sappia che da quel momento in poi non corrisponde più a quel titolare.