Firma digitale: differenze tra le versioni

La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, è un sistema di autenticazione di documenti digitali analogo alla firma autografa su carta. La firma digitale è un sistema di autenticazione forte in quanto si basa sull'uso di un certificato digitale memorizzato su di un dispositivo hardware. I certificati su cui si basa possono essere più di uno.

Un tipico schema di firma digitale consiste di tre algoritmi:

1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK, SK). PK è la chiave pubblica di verifica della firma (Public Key) mentre SK è la chiave privata (Secret Key) posseduta dal firmatario, utilizzata per firmare il documento.

2. un algoritmo di firma S che, presi in input un messaggio m ed una chiave privata SK produce una firma σ.

3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una firma σ, accetta o rifiuta la firma.

Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche della crittografia asimmetrica. Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non sia in possesso di una "chiave" (intesa secondo la definizione crittologica) per interpretarli. Nei sistemi crittografici a chiave pubblica, detti anche a chiave pubblica o a chiave asimmetrica, ogni utente ha una coppia di chiavi: una chiave privata, da non svelare a nessuno, con cui può decifrare i messaggi che gli vengono inviati e firmare i messaggi che invia, e una chiave pubblica, che altri utenti utilizzano per cifrare i messaggi da inviargli e per decifrare la sua firma e stabilirne quindi l'autenticità. Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave pubblica associata e viceversa. Lo scenario in cui un mittente vuole spedire un messaggio ad un destinatario in modalità sicura è il seguente: il mittente utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio "in chiaro".

Grazie alla proprietà delle due chiavi, inversa rispetto a quella appena descritta, un sistema di questo tipo è adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente è la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione hash (pubblica) ricava l'impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole che contiene una sorta di codice di controllo relativo al documento stesso, dopodiché utilizza la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma. La funzione hash, è fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere nuovamente il testo originario. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento.

Chiunque può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite.

La firma digitale assicura inoltre il non ripudio: il firmatario di un documento trasmesso non può negare di averlo inviato, né può il ricevente negare di averlo ricevuto. Detta in altre parole significa che l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in presenza di testimoni.

Le operazioni di firma e di verifica possono essere demandate ad un apposito programma rilasciato dall'ente certificatore oppure al proprio client di posta elettronica, che, con una semplice configurazione, le effettuerà automaticamente.

I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di verifica.
L'algoritmo di firma crea una firma elettronica che dipende dal contenuto del documento a cui deve essere allegata, oltre che dalla chiave dell'utente. Una coppia (documento, firma) rappresenta un documento firmato, ovvero un documento a cui è stata allegata una firma. L'algoritmo di verifica può essere utilizzato da chiunque per stabilire l'autenticità della firma digitale di un documento.

L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una stringa funzione del documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica usando la chiave privata del mittente. Il risultato di tale codifica è la firma digitale del documento. La firma viene allegata al documento che ora risulta firmato digitalmente. Il documento firmato digitalmente è in chiaro ma possiede la firma del mittente e può essere spedito in modo che esso può essere letto da chiunque ma non alterato poiché la firma digitale ne garantisce l'integrità. Il ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma digitale con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e confronta le due stringhe hash, verificando in questo modo l'identità del mittente e l'integrità ed autenticità del documento.

Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un insieme finito di possibili chiavi;
se ∀ k ∈ K ∃ un algoritmo di firma sig_k:D→F, ∃ un corrispondente algoritmo di verifica ver_k:D×F→{vero, falso} tale che ∀ d ∈ D, ∀ f ∈ F : ver_k(d,f) = { vero se f = sig_k(d) ; falso se f ≠ sig_k(d) }
allora (D, F, K, sig_k, ver_k) costituisce uno schema di firme.

Dato un d ∈ D solo il firmatario deve essere in grado di calcolare f ∈ F tale che ver_k(d,f) = vero.

Uno schema di firme è detto incondizionatamente sicuro se non esiste un modo per la falsificazione di una firma f ∈ F. Segue che non esistono schemi di firme incondizionatamente sicuri poiché un malintenzionato potrebbe testare tutte le possibili firme y ∈ F di un documento d ∈ D di un utente, usando l'algoritmo pubblico ver_k fino a quando non trova la giusta firma. Naturalmente questo tipo di attacco alla sicurezza dello schema di firme risulta essere enormemente oneroso computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi più raffinati ed i processori più potenti, poiché si fa in modo che la cardinalità dell'insieme di possibili firme sia enormemente elevata.

Nell'ordinamento giuridico italiano la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta.

Il primo atto normativo che ha stabilito la validità della firma digitale per la sottoscrizione dei documenti elettronici è stato il D.P.R. 10 novembre 1997 n. 513 (regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici), emanato in attuazione dell'articolo 15 della legge 15 marzo 1997, n. 59. Successivamente, tale normativa è stata trasposta nel D.P.R. 28 dicembre 2000 n. 445 (il Testo Unico sulla documentazione amministrativa), più volte modificato negli anni successivi all'emanazione, per conformare la disciplina italiana alla normativa comunitaria contenuta nella Direttiva 99/93 in materia di firme elettroniche. Oggi, la legge che disciplina la firma digitale è il "Codice dell'amministrazione digitale" (Decreto Legislativo 7 marzo 2005, n. 82, così come modificato dal D.Lgs. 4 aprile 2006, n. 159). Il Codice, all'articolo 1, distingue i concetti di "firma elettronica", "firma elettronica qualificata" e "firma digitale".

a) Per "firma elettronica" la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

b) La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo attraverso un certificato qualificato. È inoltre richiesto l'uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave privata. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".

c) La "firma digitale", è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.

Il D.Lgs. 82/2005, quindi, è impostato come se si potessero avere più tipi di firma elettronica qualificata, ossia più sistemi che consentano l'identificazione univoca del titolare, uno solo dei quali è la firma digitale a chiavi asimmetriche. Di fatto, però, nella realtà concreta, la firma digitale è l'unico tipo di firma elettronica qualificata oggi conosciuto e utilizzato, per cui i due concetti tendono a coincidere.

All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta , equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata). Tuttavia vi è una significativa differenza tra firma autografa e firma digitale rispetto alla procedura di disconoscimento. Nel primo caso infatti è sufficiente che il convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere probatorio. Nel secondo caso (firma digitale), l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. Vi è quindi un'inversione dell'onere della prova dall'attore verso il convenuto. Sulla questione del valore probatorio del documento informatico c'è stata in Italia una lunga discussione che è sfociata in modifiche normative contraddittorie.

La titolarità della firma digitale è garantita dai "certificatori " (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità, che possono essere accreditati presso il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) (in tal caso vengono chiamati certificatori accreditati), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria. I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un certificatore è la società Postecom (Poste Italiane)).

L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica, inserita nel certificato) è a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale.

È fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perché sia certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.

La vulnerabilità più nota è strettamente correlata al fatto che una smart card è un computer limitato, poiché manca dei dispositivi di I/O. Pertanto, in generale il processo globale di generazione della firma digitale non può essere considerato sicuro, poiché il PC utilizzato per generare l'impronta del documento da firmare (cui la smart card è necessariamente interfacciata) è potenzialmente insicuro. Il rischio concreto è che alla fine il PC possa ottenere dalla smart card una firma su un documento arbitrariamente scelto, diverso da quello visualizzato sullo schermo ed effettivamente scelto dall'utente. Chiaramente l'utente potrebbe non essere consapevole dell'esistenza di un siffatto documento, per cui tale problema può essere considerato molto grave. Secondo il parere di Rivest esiste una contraddizione intrinseca tra possedere un dispositivo sicuro ed usare una “interfaccia utente ragionevolmente personalizzabile” che supporti il download delle applicazioni. In altri termini, si potrebbe pensare ad un’applicazione molto sicura per la firma digitale che sia eseguibile su computer stand-alone (portatili), tali da non permettere l'esecuzione di altri programmi. In caso contrario, il processo di firma digitale rimane inerentemente insicuro, poiché i PC non possono rappresentare piattaforme sicure. Secondo Rivest la firma digitale non dovrebbe essere considerata come una prova non ripudiabile, ma semplicemente come un'evidenza plausibile. Così per gli utenti dovrebbero esistere casi ben definiti in cui poter ripudiare la firma. Il problema, ben noto in letteratura, è complesso e non ammette una soluzione completa fintanto che il PC è parte del processo di generazione della firma. Recentemente sono state proposte soluzioni euristiche che permettono di mitigarne le conseguenze.

Un'altra ben nota vulnerabilità è derivante dalla possibilità per i documenti di incorporare macro-istruzioni o codice eseguibile (si pensi ad esempio alle macro dei documenti Word, oppure al codice Javascript dei documenti PDF). Il problema è che un documento contenente istruzioni non è statico, nel senso che la visualizzazione (la presentazione) del suo contenuto potrebbe dipendere da tali istruzioni. Per esempio, si consideri il caso di un contratto che include un valore che dipende dalla data di sistema, in modo tale che, dopo una certa data, il valore visualizzato sia modificato. La firma digitale dovrebbe essere in grado di evitare la modifica di ciò che un documento mostra all'utente, allo scopo di garantire l'integrità dell'informazione, non solo in termini tecnici, ma anche dal punto di vista degli effetti (legali) prodotti dai bit che compongono i documenti digitali. Nell’esempio precedente, chiaramente i bit del contratto digitale non variano, ma il loro effetto, in termini di contenuto rappresentato, sì. Sfortunatamente, la firma digitale non è in grado di rilevare il comportamento dinamico del documento, tantomeno i suoi (pericolosamente dinamici) effetti legali, in quanto è ottenuta a partire dai bit che compongono il documento mediante l'applicazione di una funzione di hash crittografico prima, e l'esecuzione di un algoritmo di crittografia asimmetrica (tipicamente RSA) poi. Questa vulnerabilità è ben nota ed il modo per contrastarla è banalmente quello di forzare l'utente a verificare la presenza di macro nel documento prima della firma, quindi assumendo che egli sia in grado di svolgere tale compito. Esistono anche alcuni lavori scientifici in letteratura che definiscono approcci sistematici per contrastare tale vulnerabilità. Un'ulteriore metodo suggerito è quello di restringere i formati permessi per i documenti a quelli che non supportano l'inclusione di istruzioni, come il testo (es. ASCII), PDF/A, le immagini. Altri possibili attacchi, documentati in letteratura, riguardano l'uso dei font ed altre tecniche legate alla visualizzazione non statica del contenuto del documento (es, inclusione di oggetti esterni, attacchi basati sulla versione del browser per documenti HTML, testo nascosto attraverso il colore dei font, etc.).

La vigente normativa italiana, comunque, esclude espressamente la validità della firma per le sopraddette tipologie di documenti: l'art. 3, comma 3 del DPCM 13 gennaio 2004 recita infatti "Il documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma non produce gli effetti di cui all'articolo 10, comma 3, del testo unico (ora art. 21 comma 2 del Codice dell'Amministrazione Digitale) se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" .

Il 21 giugno 2008 viene divulgato un articolo in cui si descrive la scoperta fatta dal gruppo del Professor Francesco Buccafurri, ordinario alla facoltà di Ingegneria di Reggio Calabria, di una nuova vulnerabilità che affligge la firma digitale. Ciò che viene provato non è la vulnerabilità degli algoritmi di firma o dei dispositivi: si tratta di un attacco mai prima documentato che consente di firmare documenti con contenuto ambiguo e che sfrutta tecniche fino a quella data non note, agendo su formati ritenuti esenti da tale comportamento "dinamico". Dal punto di vista degli effetti, tale vulnerabilità, è assimilabile a quella già nota determinata dalla presenza di istruzioni nei documenti. Tuttavia la tecnica con la quale opera è significativamente diversa. La vulnerabilità sfrutta la caratteristica di quei Sistemi Operativi di identificare il tipo di file, e quindi il software da utilizzare per renderne intelligibile il contenuto, attraverso l'estensione (infatti il comportamento "dinamico" del documento viene attivato dalla modifica della sua estensione), risultando quindi applicabile solo in tali Sistemi Operativi. In linea di principio la vulnerabilità potrebbe essere facilmente risolta includendo negli “authenticated attributes” della busta PKCS#7 il mime-type del file soggetto a firma, di modo da eliminare l'ambiguità sul software da utilizzare per visualizzare il documento e neutralizzare l'attacco. Tuttavia una soluzione del genere comporterebbe l'adeguamento dei software di verifica della firma attualmente in uso, quindi non è di facile attuazione pratica.

Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novità della fattispecie, ma è presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM 13 gennaio del 2004, e che quindi i documenti con tale ambiguità non producano gli effetti probatori previsti dall'art. 21 del Codice dell'Amministrazione Digitale.

• Firma elettronica scritta
• Fattura elettronica
• Blind signature

• Progetto OpenSignature
• Fattura elettronica
• Gestione elettronica documentale

Portale Crittografia

Portale Diritto

Portale Sicurezza informatica