Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
vuoi
o PayPal
tutte le volte che vuoi
GENERAZIONE DELLA COPPIA DI CHIAVI
La generazione della coppia di chiavi per la sottoscrizione digitale deve avvenire all'interno del dispositivo di firma (smart card) rilasciato o indicato dal certificatore. Questo per garantire la segretezza assoluta della chiave di sottoscrizione, che sarà calcolata e memorizzata all'interno della smart card dove rimarrà per l'intero periodo di validità.
Oltre alla chiave di sottoscrizione, nel dispositivo di firma verrà memorizzato anche, con un'apposita procedura, il relativo certificato elettronico. È evidente l'importanza di utilizzare un dispositivo di firma sicuro che garantisca la segretezza della chiave di sottoscrizione e permetta al titolare di proteggerla con un codice identificativo personale (PIN) o un sistema biometrico (basato sul riconoscimento della sua impronta digitale oppure sulla scansione dell'iride).
Riassumendo, il soggetto che intende munirsi di un
prodotto di firma elettronica di seguito denominato titolare - deve rivolgersi ad un certificatore. Il certificatore, dopo averlo identificato ed essersi accertato dell'autenticità della richiesta, gli fornisce un dispositivo di firma sicuro insieme al software e all'hardware necessari per lo svolgimento di tutte le operazioni connesse alla firma elettronica. Il titolare esegue il processo di generazione delle chiavi di sottoscrizione, che avviene all'interno del dispositivo di firma, e poi comunica al certificatore, attraverso un canale riservato, la chiave pubblica generata. Il certificatore, dopo aver verificato il possesso della chiave segreta da parte del titolare e la bontà della coppia di chiavi generata, emette il certificato elettronico, che collega i dati anagrafici del titolare alla chiave pubblica da questa generata, con la specificazione della data e dell'ora di emissione. Il trasmessa, e lo registra in un giornale con
Un'apposita certificato elettronico viene anche memorizzato nel dispositivo di firma del titolare procedura di personalizzazione, abilitandolo alla generazione di firme elettroniche.
GENERAZIONE E VERIFICA DI UNA FIRMA ELETTRONICA
Il processo di generazione di una firma elettronica comprende 4 fasi:
- Applicazione di una funzione di HASH al file contenente la rappresentazione del documento che si vuole firmare, con conseguente generazione della sua impronta digitale a 160 bit. Questa operazione avviene sulla stazione di lavoro (PC) del sottoscrittore;
- Introduzione, nell'apposito lettore, del dispositivo di firma (smart card) del sottoscrittore il quale è invitato a digitare il PIN per abilitarlo;
- Invio dell'impronta digitale del file all'interno del dispositivo di firma e applicazione alla stessa di un algoritmo crittografico asimmetrico (RSA) che utilizza la chiave segreta del sottoscrittore (di non lunghezza non inferiore a 1024 bit).
presente nella smart card. La firma elettronica è il risultato di questo algoritmo crittografico ed è generata all'interno del dispositivo di firma. Questo assicura un elevato livello di sicurezza informatica in quanto la chiave segreta non deve transitare sulla stazione di lavoro del titolare dove potrebbero esserci dei software che, all'insaputa dell'utente, ne producono una copia e la inviano a soggetti "malintenzionati". Per lo stesso motivo, l'algoritmo crittografico perché rimane protetto all'interno della smart card; non può essere manomesso
invio del file che include la firma elettronica generata e il certificato elettronico del sottoscrittore. A questo proposito, occorre citare l'art. 36 del d.P.C.M. 13 gennaio 2004 il quale specifica, infatti, che "alla firma digitale deve essere allegato il certificato qualificato corrispondente alla chiave pubblica da utilizzare per la verifica". (VEDI SCHEMA)
1.5 - PAG. 52) e si compone anch’esso diLa verifica di una firma elettronica è il processo inverso a quello di generazionequattro fasi:
- applicazione della funzione di HASH alla rappresentazione digitale del documento che si trovaall’interno del file firmato, con conseguente generazione della sua impronta digitale a 160 bit.
- decodifica della firma elettronica utilizzando la chiave pubblica che si trova nel certificato inclusonel file firmato. Il risultato è l’impronta digitale di 160 bit che è all’origine della firma oggetto diverifica.
L’impronta di cui alla fase a) viene confrontata con l’improntac) di cui alla fase b) e se coincidono:
- si ha la certezza che la firma elettronica corrisponde alla rappresentazione digitale deldocumento, ovvero che questo non è stato modificato dopo la sottoscrizione (garanziadell’integrità);
- si presume che il sottoscrittore sia il titolare del certificato elettronico.
dal quale è stata prelevata la chiave pubblica utilizzata per la decodifica della firma. Per definizione, infatti, solo lui possiede l'altra chiave della coppia, quella segreta, memorizzata nella sua smart card, che ha prodotto la firma verificata (funzione indicativa e dichiarativa). Da notare che se il titolare consegna la sua smart card ad un'altra persona e gli comunica anche il PIN questa può generare esattamente la sua firma.
Il testo del documento viene visualizzato a video insieme ai dati del sottoscrittore prelevati dal certificato elettronico allegato alla firma, a dimostrazione dell'esito favorevole del test di cui alla fase c). (VEDI SCHEMA 1.6 - PAG. 54).
L'esito favorevole del test di cui alla fase c) del processo di verifica non è sufficiente per affermare che una firma elettronica è valida, ma occorre accertarsi che al momento della sottoscrizione il certificato elettronico non era scaduto, revocato o sospeso. L'art. 21,
c. 3, corrispondente alla chiave utilizzata per la sottoscrizione del codice dell'amministrazione digitale dichiara, infatti, che "l'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione". Per sapere se al momento della sottoscrizione il certificato era revocato o sospeso, è necessario accedere alle liste dei certificati revocati e sospesi (CRL e CSL) che, per disposizioni di legge, sono predisposte, aggiornate e pubblicate con tempestività dal certificatore. 1.5.2 Attribuzione di una data certa Dal punto di vista archivistico e giuridico, è fondamentale conoscere la data del documento, ossia la data in cui viene formato l'originale. Passando dal documento cartaceo al documento informatico questa esigenza aumenta in misura esponenziale perché per verificare la validità di unaPer verificare la validità di una firma elettronica, è necessario risalire alla data in cui è stata generata e accertarsi che, in quel periodo, il certificato elettronico associato alla chiave di sottoscrizione non fosse scaduto, revocato o sospeso. Pertanto, è importante che il documento sia localizzato, specificando nel testo la data e il luogo di formazione, e che questi dati siano autenticati da un soggetto terzo in grado di conferire loro valore legale.
Per assegnare una data certa a un documento, è possibile utilizzare una marca temporale generata da un sistema chiamato notaio elettronico. Questo sistema è in grado di:
- Mantenere la data e l'ora in modo che non si discostino per più di un minuto secondo dalla scala di Tempo Universale Coordinato (UTC)
- Generare una struttura dati che comprende:
- L'identificativo dell'emittente
- Il numero di serie della marca temporale
- La data e l'ora di generazione della marca
valore dell'impronta digitale del documento;
l'algoritmo di sottoscrizione della marca temporale;
l'identificativo del certificato relativo alla chiave di verifica della marca;
sottoscrivere digitalmente la struttura dati citata;
garantire un tempo di risposta non superiore a un minuto;
soddisfare i requisiti di sicurezza e robustezza di più alto livello, internazionalmente riconosciuti.
Il processo di generazione di una marca temporale si articola in 4 fasi:
a) applicazione di una funzione di HASH al documento informatico a cui si vuole associare una marca temporale, con conseguente creazione della sua impronta digitale a 160 bit;
b) trasmissione notaio elettronico, secondo le procedure stabilite dal gestore del servizio di marcatura temporale;
c) generazione e sottoscrizione digitale della struttura dati sopra descritta e trasmissione della marca così ottenuta al soggetto che l'ha
Richiesta: temporaled) associazione della marca temporale al documento informatico a cui si riferisce. – (VEDI SCHEMA 1.7 PAG.60)
L'art. 50 del D.P.C.M. 13 gennaio 2004 stabilisce che tutte le marche temporali generate da un notaio elettronico devono essere conservate in un apposito archivio digitale, non modificabile, per un periodo non inferiore a 5 anni, prolungabile su richiesta dell'interessato. L'opzione relativa al prolungamento del periodo di conservazione è particolarmente utile qualora si voglia (o si debba) utilizzare le marche temporali per estendere la validità dei documenti informatici oltre la data di scadenza delle chiavi di sottoscrizione.
La presenza di una marca temporale valida associata a un documento informatico permette di eseguire il processo di validazione temporale, definito come "il risultato della procedura informatica con cui si attribuisce, a uno o più documenti informatici, un riferimento temporale opponibile a terzi".
dove persi intende un’informazione contenente la data e l’ora di esistenza del documento.riferimento temporaleTuttavia esistono altri metodi per attribuire una data certa al documento:
- il riferimento temporale della segnatura di protocollo;
- il riferimento temporale ottenuto attraverso la procedura di conservazione;
- il riferimento temporale ottenuto dall’utilizzo di posta elettronica certificata.
1.5.3 Immodificabilità del contenuto e della forma
Il contenuto di un documento che è stato perfezionato in ogni sua parte non deve poter essere modificato etantomeno modificato senza che ve ne rimanga traccia. Nel caso dei documenti informatici non è affattosemplice soddisfare questa condizione e il problema si pone sia in fase di produzione che nel successivoperiodo di conservazione. Infatti, con i più comuni Word processing è possibile scrivere un testo,modificarlo, cambiare la forma grafica e l’impaginazione, cancellare
alcune parole o interi paragrafi, ecc. ovvero è possibile modificare forma e contenuto
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
