Firma digitale: le nuove regole tecniche

19/01/2011
di Alessandro Cecchetti

demat_7668924_xxlIl miglioramento dell’efficienza e della redditività aziendale, sostenuta dalle recenti innovazioni tecnologiche e normative in materia di conservazione sostitutiva, renderanno quest’ultimo un passaggio quasi obbligato per l’ottimizzazione delle procedure aziendali.

Difatti, il processo di digitalizzazione dei documenti cartacei, oggi, ma ancora di più nei prossimi anni, è e sarà la principale innovazione che le aziende dovranno e vorranno implementare nella gestione del loro business, migliorandolo, fino ad arrivare al concetto di massima qualità a minor costo. Vagliati gli innumerevoli vantaggi derivanti dall’implementazione dei processi di conservazione sostitutiva, quindi, sarà sempre maggiore il numero di realtà aziendali che adotteranno tale scelta.

In considerazione di ciò, e, pertanto, della diffusione delle smart-card (e degli altri dispositivi di firma) necessarie per la messa in opera dei processi conservazione sostitutiva, la Cnipa (DigitPA) ha ritenuto opportuno predisporre nuove regole tecniche che impongono modifiche agli algoritmi di calcolo dell’impronta[1] del documento informatico, innalzando così il livello di sicurezza del documento firmato e ad essi connesso. Tuttavia, prima di analizzare quanto tecnicamente introdotto dalla nuova normativa[2], sarà utile fare un breve richiamo sulle modalità operative della firma digitale.

Quest’ultima si realizza applicando algoritmi crittografici che servono a cifrare (rendere illeggibili) e decifrare (rendere nuovamente leggibili) alcuni dati. Infatti, se venisse cifrato l’intero documento, le tempistiche di cifratura sarebbero troppo dispendiose dal punto di vista temporale; quindi, per ovviare a tale problema, viene codificata soltanto l’impronta del documento. In sintesi, i passi necessari ad applicare la firma digitale ad un documento sono : 1) calcolare l’impronta del documento; 2) cifrare, con la chiave privata, l’impronta calcolata; 3) salvare l’impronta firmata assieme al documento originale.

Se qualcuno modificasse il documento originale – anche soltanto di una lettera – l’impronta calcolata non sarebbe più la stessa (la possibilità che siano identiche è di 2 elevata alla 160).

Chiarita la tecnologia che sta alla base della firma digitale vediamo che cosa cambia. In concreto: è stata aumentata la lunghezza minima della chiave crittografica (da 1024 a 2048); è stato modificato l’algoritmo di calcolo dell’impronta: da SHA-1, che prevede la generazione di un’impronta hash[3] di 160 bit (20 caratteri), a SHA-256, che porta la lunghezza dell’impronta a 256 bit (32 caratteri).

In tal modo, le due modifiche decise accrescono notevolmente il livello di sicurezza delle firme apposte. La chiave più lunga rende infatti enormemente più complessa un’eventuale operazione di forzatura della chiave, mentre l’aumento della lunghezza dell’impronta porta la probabilità di individuare un testo che generi lo stesso hash da 15 seguito da 47 zeri, a 115 seguito da 75 zeri. Un eventuale crackatura della firma digitale sarebbe pertanto ancora più difficile – se non impossibile – di quanto non lo sia oggi. La correzione è stata decisa in considerazione della diffusione dei dispositivi di firma, permettendo così anche alle generazioni future di poter mantenere la validità dei documenti informatici firmati digitalmente oggi.

Dicasi inoltre, che le regola tecniche impongono anche modifiche agli attributi contenuti nei certificati di firma, in modo da adeguarsi, in anticipo, alla imminente direttiva europea sulla firma digitale ed atta ad uniformare le leggi dei singoli Stati della Comunità Europea nella materia di cui trattasi. I nuovi attributi permetteranno di validare in ogni Paese della Comunità le firme apposte con un certificato emesso da una Certification Authority di un Paese diverso da quello di appartenenza, così che il nuovo formato rientrerà nel novero dei formati che tutti gli Stati membri si accingono ad introdurre. Questa variazione si rende pertanto un passaggio necessario per  giungere al riconoscimento dei documenti sottoscritti con firma digitale a livello europeo e, conseguentemente, al libero scambio di documenti informatici giuridicamente rilevanti.

Infine, riguardo alle tempistiche delle operazioni, sono previste scadenze temporali diverse per gli enti certificatori e per gli utilizzatori. Per i primi, essi avranno dovuto rendere disponibili le nuove applicazioni che consentono l’aggiornamento dei dispositivi di firma entro il 31 dicembre 2010. Gli utilizzatori invece potranno adeguare la firma entro digitale entro e non oltre il 30 giugno 2011. A partire da tale data non saranno più accettate firme digitali generate in assenza delle nuove specifiche tecniche fissate.

 

 

 


[1] L’impronta di un documento è una sequenza idi byte di lunghezza fissa che viene derivata dal documento stesso tramite un algoritmo detto HASH. Più è lunga la sequenza generata meno è probabile che due diversi documenti generino una stessa impronta.

[2] http://www.digitpa.gov.it/sites/default/files/normativa/Deliberazione_CNIPA_N_45_21-Mag-09_0.pdf (dall’entrata in vigore della Deliberazione – 3 settembre 2010, prorogata al 30 giugno 2011)

[3] Funzione atta a mappare tramite appositi algoritmi una stringa di lunghezza arbitraria ed indefinita in un’altra stringa di lunghezza predefinita.

Riproduzione riservata ©

ALTRE NEWS

Bocciata la raccomandata online. Avv. Fantini: ‘Occorre equilibrio fra diritti vecchi e nuovi’

La sentenza n. 7337 del 17 febbraio u.s. pronunciata dalla terza sezione penale della Corte di Cassazione dichiara l’inammissibilità dell’impugnazione allorché il relativo atto sia… Leggi Tutto

Web reputation. Un nuovo strumento a favore del diritto all’oblio

Con la diffusione dei social network e l’uso di internet si sviluppa fin da subito un nuovo modo di approcciarsi alle cose ed alle persone…. Leggi Tutto

Piano Ispettivo
Piano ispettivo del Garante: cosa ci aspetta nel prossimo semestre

Scarsa informazione e poca attenzione alla sicurezza dei dati personali. E’ quanto emerge dal resoconto relativo all’attività ispettiva e sanzionatoria condotta dal Garante nel corso… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form