|
LA
SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO
INTERNET
Studio
per il corso di "ECONOMIA E GESTIONE DELLE IMPRESE COMMERCIALI:
E-commerce - Franchising e accordi di distribuzione"
presso l'Università Commerciale "Bocconi"
di Milano, in collaborazione con Matteo
Bianchi e Alessandro
Buzzi.
FIRMA
DIGITALE (2/3)
CHIAVE
ASIMMETRICA E FUNZIONE DI HASH
Essa si basa sul sistema crittografico a chiave pubblica
(o asimmetrica) di almeno 1024 bit, che, come si è visto,
garantisce la possibilità di attribuire un documento
ad un determinato soggetto con assoluta certezza ed
opponibilità ai terzi; requisito fondamentale affinché
si instauri il rapporto fiduciario che sta alla base
di qualsiasi attività di commercio elettronico. Tale
sistema di chiave asimmetrica consente quindi di inviare
messaggi che possono essere letti solo da colui che
possiede la relativa chiave privata: il destinatario
di cui abbiamo utilizzato la chiave pubblica. Tale struttura
consente ai suoi utilizzatori di ''firmare'' i documenti
in modo da attribuirsene la paternità: per fare ciò
basta crittografare il messaggio utilizzando la propria
chiave privata. Per leggerlo occorre decodificarlo utilizzando
la relativa chiave pubblica, accessibile a tutti: se
la decifrazione avverrà con successo, si ha la prova
incontrovertibile che il messaggio è stato scritto proprio
da quel mittente, in quanto nessun altro all'infuori
di lui possiede la chiave privata necessaria per crittografarlo.
Nella realtà però si utilizza un sistema di chiavi miste,
utilizzando uno strumento che prende il nome di funzione
di hash. Si tratta di una particolare funzione che ricevendo
in ingresso un numero qualsiasi (il grande numero binario
che costituisce il documento da firmare), produce in
uscita un numero molto più piccolo (una ventina di byte)
il cui valore dipende in modo strettissimo dal valore
di ingresso. Il valore ottenuto da questa elaborazione,
si chiama impronta del documento originario, in quanto
ne costituisce una sorta di impronta digitale. Questa
funzione inoltre deve essere tale da garantire che modifiche
anche minime al documento sino evidenziate con impronte
differenti. Una volta ottenuta l'impronta del documento
(ben più maneggevole del documento stesso) questa viene
crittografata con la chiave privata del mittente. Il
risultato di ciò è la vera firma digitale applicata
al messaggio. Chi vuole verificare l'autenticità di
un documento relativamente ad una data firma, non fa
altro che applicare a sua volta la funzione convenzionale
di hash per ricavarne l'impronta. Dopodiché prende la
presunta firma e la decifra utilizzando la chiave pubblica
dell'autore, ottenendo così una seconda impronta. Ora
basta confrontare le due impronte, quella ricavata direttamente
dal documento e quella ottenuta dalla decodifica mediante
chiave pubblica: se esse coincidono si può essere certi
che il documento è stato realmente generato dalla stessa
persona che ne ha generato la ''firma''.
Clicca sull'immagine per ingrandirla
A
questo punto è facile comprendere la definizione di
firma digitale data dal DPR 513/1997 secondo la quale
essa è "il risultato della procedura informatica (validazione)
basta su un sistema di chiavi asimmetriche a coppia,
una pubblica e una privata, che consente al sottoscrittore
tramite la chiave privata e al destinatario tramite
la chiave pubblica, rispettivamente, di rendere manifesta
e di verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici"
(art. 1 lett. b).
|
