|
LA
SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO
INTERNET
Studio
per il corso di "ECONOMIA E GESTIONE DELLE IMPRESE COMMERCIALI:
E-commerce - Franchising e accordi di distribuzione"
presso l'Università Commerciale "Bocconi"
di Milano, in collaborazione con Matteo
Bianchi e Alessandro
Buzzi.
FIRMA
DIGITALE (3/3)
AUTORITÀ
DI CERTIFICAZIONE
Tutta la costruzione che poggia sulla firma digitale
ha però un serio punto debole: la gestione degli elenchi
delle chiavi pubbliche. Infatti in mancanza di un reale
controllo chiunque potrebbe depositare una chiave a
nome di un altro e quindi spacciarsi per lui. Affinché
tutto il sistema funzioni e dia garanzie di fiducia,
occorre dunque instaurare una rigorosa infrastruttura
di certificazione che garantisca l'effettiva identità
di ciascuno: quindi un terzo, dotato di imparzialità
nei confronti degli utenti, che certifichi per l'appunto,
l'autenticità delle chiavi e la corrispondenza della
chiave pubblica con il suo titolare. Questo ruolo è
ricoperto dal "Certificatore", comunemente chiamato
Autorità di Certificazione", al quale il DPR n° 513/1997
attribuisce, tra gli altri, l'obbligo di identificare
con certezza la persona che fa richiesta della certificazione,
rilasciare e rendere pubblico il certificato, procedere
tempestivamente alla revoca ed alla sospensione del
certificato, dandone immediata pubblicazione e comunicando,
altresì, all'Autorità per l'Informatica nella Pubblica
Amministrazione (AIPA) e al singolo utente la cessazione
della propria attività di certificatore, con preavviso
di almeno sei mesi. Per garantire l'identità dei soggetti
che utilizzano la firma digitale e per fornire protezione
nei confronti di possibili danni derivanti da un esercizio
non adeguato delle attività di certificazione, il DPR
n.513/97 richiede che il soggetto certificatore sia
in possesso di particolari requisiti e sia incluso in
un elenco pubblico, consultabile per via telematica,
predisposto ed aggiornato a cura dell'Autorità per l'informatica
nella Pubblica Amministrazione. Va inoltre precisato
che tale Certificatore non è un'Autorità centrale bensì
un soggetto giuridico, pubblico o privato. Dal punto
di vista pratico funziona così: chi desiderasse utilizzare
la firma digitale deve innanzitutto recarsi presso un
Autorità di registrazione per il riconoscimento. Tale
Autorità (le cui funzioni potrebbero essere svolte dagli
sportelli bancari, dagli uffici postali…) invierà i
dati acquisiti al Certificatore consegnando al richiedente
una smartcard (una specie di tessera bancomat dotata
però di microchip e non di banda magnetica) e un software
che, insieme, consentiranno di generare, con l'aiuto
di un personal computer, la chiave pubblica che dovrà
essere inviata al Certificatore, il quale provvederà
alla sua pubblicazione. La chiave privata invece rimane
memorizzata indelebilmente all'interno della stessa
smartcard. In mancanza della smartcard non sarà quindi
possibile apporre la firma digitale. Va aggiunto che
le "istruzioni" presenti nel microchip della smartcard
include un sistema di sicurezza che la disabilita dopo
alcuni tentativi di effrazione, in modo da evitare eventuali
tentativi di cracking. Tali Certification Authority
garantiscono quindi la provenienza e la paternità delle
chiavi, rilasciando opportuni certificati: lo standard
adottato è l' ISO X.509; stranamente non ha avuto riconoscimento
legale il ben più diffuso PGP (Pretty Good Privacy).
Nonostante siano presenti ancora alcune incertezze legislative,
vale la pena di ricordare come l'Italia si sia posta
all'avanguardia essendo il primo paese ad avere attribuito
piena validità giuridica ai documenti elettronici.
|
