CRITTOGRAFIA e FIRMA DIGITALE



Aspetti legali (D.lgs 196/03 e BS 7799)
indietro
avanti

SICUREZZA INFORMATICA SUL WEB
by Nanni Bassetti

LA CRITTOGRAFIA E LA FIRMA DIGITALE

 

Crittare o criptare è una parola che deriva dal Greco e significa “nascondere”, quindi ormai è usata per indicare dei sistemi di codifica tali da “nascondere” un'informazione a chi non ha la “chiave” per poterla svelare e renderla comprensibile o “in chiaro”.

Ormai si sente spesso parlare della crittografia e della firma digitale, ma anche queste due tecnologie sono utilissime e bellissime ma ancora un po' farraginose !

Infatti per utilizzare la firma digitale, bisogna avere un software istallato sul proprio computer, per esempio il PGP (Pretty Good Privacy), che permette di crittare ogni file o messaggio di e-mail, ma poi anche il destinatario di questi messaggi deve avere il PGP istallato e deve saperlo usare ed aggiornare il suo “portachiavi”.x

Ma facciamo un passo indietro, per comunicare in “codice” due persone potrebbero accordarsi su una chiave di crittaggio e passarsi i messaggi, facciamo un esempio:

il soggetto A e B si accordano che il loro codice deve sostituire ogni lettera del messaggio con quella successiva, quindi una parola come ROMA diverrebbe SPNB, chiaramente è un sistema semplicissimo da decifrare, ma ammettendo che sia un buon codice di crtittaggio, fintanto che qualcuno non scopre la chiave nessuno potrà capire i messaggi scambiati tra A e B.

Ma se un giorno qualcuno lo scopre ? Magari ha intercettato una conversazione tra A e B mentre si accordavano sulla chiave da usare oppure ha trovato un post-it , ecc. ecc.

Ecco che il sistema diventa insicuro, per questo si usano i sistemi a doppia chiave o a chiave assimetrica (poiché quello dell'esempio è un sistema a chiave simmetrica).

Il sistema a doppia chiave funziona così:

il soggetto A ha una chiave pubblica ed una privata che chiameremo rispettivamente PUA e PRA;

il soggetto B ha una chiave pubblica ed una privata che chiameremo rispettivamente PUB e PRB;
il soggetto A divulga la sua PUA e anche il soggetto B divulga la sua PUB.

Se A ha necessità di scrivere un messaggio crittato a B allora A deve crittare il messaggio usando laPUB !
Ma per leggere il messaggio A avrebbe bisogno della PRB, che non possiede e che nessuno possiede all'infuori di B, quindi una volta crittato il messaggio, nemmeno più A potrà leggerlo.

Quando B riceve il messaggio, lo decripta con la sua chiave privata e lo legge, questo sistema garantisce una forte grado di sicurezza, dato che B non dovrà mai comunicare a nessuno la sua chiave privata e quindi non ci saranno mai intercettazioni.

Con il PGP si può anche creare una “Firma Digitale”, ossia un codice criptato che identifica univocamente il mittente.

Con questa firma in calce ad ogni messaggio o documento, si può finalmente identificare un'azienda o persona ed ad oggi la firma digitale ha validità legale, infatti la Camera di Commercio ha dotato ogni azienda di smart-card contenente la PUB e la Signature (firma).

Il problema è rappresentato dall'uso di questi strumenti, infatti le aziende hanno la smart-card ma non hanno il lettore, le aziende non hanno ricevuto alcuna formazione sull'uso della firma digitale, insomma la tecnologia c'è, ma manca la volontà di usarla correttamente.