Una autorità di certificazione (CA) è un’organizzazione (pubblica o privata)
autorizzata a rilasciare certificati che attestano la corrispondenza
tra una chiave pubblica e l’identità del titolare della stessa chiave.
Di conseguenza, come vedremo, attestano l’identità di chi ha firmato il
documento (digitale) da noi ricevuto.
Le caratteristiche che una CA deve avere sono definite dal D.P.R 513/97 il
quale impone che le CA siano società per azioni con un capitale sociale
non inferiore a quello necessario per svolgere attività bancaria, in
possesso dei vari requisiti tecnico gestionali, ed iscritte al CNIPA
(Centro Nazionale per l’Informatica nella Pubblicha Amministrazione).
Alcuni esempi di CA sono Poste Italiane, Telecom Italia, BNL.
Il sistema di identificazione (mediante firma digitale) è un processo
abbastanza complesso nel quale le CA coprono un ruolo particolarmente
importante e delicato. Legalmente una CA è la così detta “terza parte
fidata”, la quale ha il compito di garantire la corrispondenza tra chiave
pubblica ed il titolare della stessa, garantendo quindi l’identità del
firmatario del documento. Tutto inizia al momento della sottoscrizione
del servizio di firma digitale; è infatti a questo punto che la CA si
assicura dell’identità del sottoscrivente e gli assegna una coppia di
chiavi (una pubblica ed una privata) che serviranno poi per tutte le
operazioni di firma e di riconoscimento.
Un equivalente della CA può essere visto nell’ ufficio comunale che
rilascia le carte di identità: con l’apposizione del timbro sulla carta di
identità il comune attesta che la persona sulla foto è quella indicata
nel documento (corrispondenza biunivoca foto – identità). La CA fa la
stessa cosa, solamente si ha una corrispondenza chiave
pubblica – identità.
La coppia di chiavi digitali (pubblica e privata) sono quindi
codici crittografici legati da una relazione matematica nota; non è
praticamente possibile ricavare la chiave privata dalla pubblica. La
chiave privata è “conosciuta” solo dal titolare, o per meglio dire
è posseduta generalmente memorizzata all’interno di una smart card
(o di qualche altro supporto informatico es. chiavi usb) e serve per
poter firmare (o cifrare) i documenti informatici. La chiave pubblica
è invece resa disponibile a tutti mediante appositi registri pubblici
(key repositories) gestiti dalle CA stesse e permette il controllo
della firma. Le due chiavi possono essere utilizzate anche come sistema
di cifratura asimmetrico (basta cifrare tutto il documento anzichè la
sola impronta), garantendo così segretezza di comunicazione dato che un
documento cifrato con una chiave privata può essere decifrato unicamente
con la corrispondente chiave pubblica e viceversa.
Oltre al rilascio delle chiavi crittografiche la CA provvede anche a
rilasciare un certificato digitale che al momento dell’apposizione della
firma verrà allegato al documento (che è stato firmato). Il certificato
è un documento di testo nel quale sono contenute (principalmente)
informazioni riguardanti il titolare della firma, la sua chiave pubblica,
informazioni riguardanti la stessa CA ed il periodo di validità del
certificato (generalmente 2 anni); il certificato è poi cifrato attraverso
la chiave privata della CA.
Ecco cosa avviene quando apponiamo la firma su un documento digitale. Per
prima cosa viene calcolata l’impronta del documento, questà è una sorta di
compressione (mediante funzioni di hash) a perdita totale del contenuto
informativo, questa operazione restituisce una stringa di bit (160 bit)
che costituiscono l’impronta del documento (due documenti differenti
anche di un solo bit restituiscono stringhe diverse), questa viene
codificata con la chiave privata del firmatario ed allegata assieme al
certificato rilasciato dalla CA al documento in chiaro (impronta cifrata
e certificato costituiscono quindi la firma)
Al momento del controllo della firma la prima operazione è quella di
decifrare l’impronta con la chiave pubblica del mittente: se questa
operazione riesce siamo sicuri dell’identità dello stesso (mittente),
in quanto è la CA che ce lo garantisce. L’impronta viene poi ricalcolata
sul documento ricevuto e confrontata con quella che era stata allegata
al messaggio, se le due combaciano siamo certi che il messaggio non è
stato manomesso dopo l’atto di firma.
Come tutti i certificati anche quello rilasciato dall CA ha una scadenza,
possiamo avere però la necessità di garantire l’autenticità di un
documento per un tempo indefinito, proprio a questo proposito le CA hanno
la facoltà di apporre delle marche temporali, le quali non sono altro che
certificati che vengono allegati al momento della firma del documento (e
quindi devono essere rilasciati in periodo di validità del certificato
di firma) che certificano il fatto che il documento sia stato firmato
in un momento in cui il certificato di firma era valido, assegna quindi
validità legale anche se il certificato di firma è scaduto.
Logicamente come provvede al rilascio dei certificati provvede anche
alla loro revoca, i certificati revocati vengono pubblicati sempre nei
soliti registri pubblici.
Quando si riceve un documento firmato si può controllare l’identità del
firmatario, verificare che il documento non sia stato manomesso dopo la
firma e controllare la validità dello stesso certificato consultando gli
appositi registri o decifrando mediante la chiave pubblica della CA il
certificato e leggendo il contenuto del certificato stesso.
Le principali funzioni svolte da una CA sono quindi:
- verifica dell’identità del richiedente
- emissione dei certificati
- pubblicazione dei certificati emessi (key repositories)
- pubblicazione dei certificati revocati
- apposizione di marche temporali
Ecco alcuni link:
http://www.cnipa.gov.it (sito ufficiale CNIPA)