Come spesso avviene nelle rivoluzioni informatiche, un innovazione di particolare impatto sulla vita sociale genera un enorme volume di domande ed incomprensioni sull’argomento.

In quest’articolo cominceremo ad analizzare e a meglio comprendere il funzionamento della firma digitale ed i suoi effetti pratici nella vita comune o nelle attività economiche.

E' associata stabilmente al documento informatico e lo arricchisce di informazioni che attestano con certezza l'integrità, l'autenticità e la non ripudiabilità dello stesso.

• Integrità: garanzia che il documento non è stato manomesso dopo la sottoscrizione.
• Autenticità: garanzia dell’identità di chi firma.
• Non ripudio: l’autore non può disconoscere il documento firmato.
• Valore legale: il documento elettronico sottoscritto digitalmente ha lo stesso valore legale di un documento cartaceo sottoscritto con firma autografa.

La firma digitale consente anche, a chi ha firmato ed inviato i documenti in via telematica, di sapere con certezza quando i documenti sono stati ricevuti dal destinatario.

Ma nella pratica cos’e’ una firma digitale? La risposta e’ complessa ma provando a sintetizzare possiamo dire che è il risultato di un processo di calcolo che, a partire da un oggetto informatico (tipicamente, un documento) e da alcune informazioni strettamente associate alla persona(coppia di chiavi asimmetriche), produce un secondo oggetto informatico (il documento firmato) che attesta la volontà espressa dalla persona nel sottoscrivere l'oggetto originario al quale è stato applicato il processo di firma.

Semplificando fino all’estremo possiamo dire che è un “file speciale” associato ad un documento o una mail il più delle volte “scambiato” attraverso internet o tramite supporti speciali (smartcard).
Ovviamente a tutela di questo file e del suo valore si schiera una complessa tecnologia di cifratura.

In modo analogo alla tradizionale sottoscrizione autografa dei documenti cartacei, la firma digitale attesta la volontà del titolare della chiave privata di sottoscrivere il documento informatico e quindi di assumere la responsabilità del suo contenuto.

Il suo valore e’ quindi estremamente significativo ma analizziamo le principali differenze con una firma autografa:

La firma digitale non deve essere confusa, nel modo più assoluto, con la digitalizzazione della firma autografa, ovvero la rappresentazione digitale di un'immagine corrispondente alla firma autografa.

Per applicare la propria firma digitale ad un documento informatico il titolare di una coppia di chiavi deve procedere secondo il seguente processo procedura (totalmente automatizzabile):

• esegue la cifratura dell'impronta del documento utilizzando la chiave privata
• allega il certificato rilasciato dall'Autorità di certificazione
• allega il documento in chiaro
• spedisce il tutto in una busta (formato standard PKCS#7) al destinatario.

Il destinatario, per essere certo dell'autenticità e dell'integrità del messaggio arrivato, effettua la procedura di verifica, che consiste nei seguenti passi:

• apre la busta
• accede al certificato del mittente
• eventualmente accede ai servizi dell'Autorità di certificazione che ha rilasciato il certificato per verificare che non ci siano atti di revoca o di sospensione nei confronti dello stesso.
• decodifica il messaggio con la chiave pubblica del mittente, ottenendo l'impronta del documento originario. Se l'esito dell'operazione è positivo, significa che il certificato è valido e che il messaggio ha come paternità il mittente (in quanto esiste ed è valido l'abbinamento chiave pubblica/chiave privata)

Poi, per essere sicuro dell'integrità del messaggio:

• calcola l'impronta del documento in chiaro allegato
• confronta l'impronta ottenuta con quella arrivata. Se l'esito del risultato è positivo, il documento non è stato manomesso ed è perfettamente corrispondente a quello che il mittente ha firmato.

L'impronta è' il processo tramite il quale è possibile ottenere da un qualsiasi oggetto informatico (ad esempio, un documento lungo e complesso a piacere) una sequenza di bit a lunghezza fissa (128 o 160 bit). L'operazione è necessaria per garantire il requisito di integrità del messaggio firmato e spedito, in quanto permette il confronto tra l'impronta del documento originario (allegata dal mittente nel messaggio spedito al destinatario) e quella calcolata dal destinatario sul documento in chiaro ricevuto (ottenuta durante il processo di verifica). Poiché è praticamente impossibile (possibilità di collisione uguale a 10 alla -48) che due documenti diversi (differenti anche per un solo bit) abbiano stesse impronte, se l'esito del confronto è positivo si ha la certezza che il documento non è stato alterato da nessuno dopo che il mittente lo ha firmato e spedito. Ricondurre documenti di qualunque dimensione ad un stringa di bit molto corta permette di effettuare confronti molto più veloci rispetto a quelli necessari nel caso in cui l'operazione dovesse effettuarsi sul documento intero.

Nei prossimi articoli esamineremo piu’ nel dettaglio come dotarsi di firma digitale, definiremo il ruolo delle CA (Certification Authority) e analizzeremo in modo piu’ pratico come impiegare la firma digitale per firmare ad esempio la propria posta elettronica.