Firma digitale: le nuove regole tecniche

Il miglioramento dell’efficienza e della redditività aziendale, sostenuta dalle recenti innovazioni tecnologiche e normative in materia di conservazione sostitutiva, renderanno quest’ultimo un passaggio quasi obbligato per l’ottimizzazione delle procedure aziendali.

Difatti, il processo di digitalizzazione dei documenti cartacei, oggi, ma ancora di più nei prossimi anni, è e sarà la principale innovazione che le aziende dovranno e vorranno implementare nella gestione del loro business, migliorandolo, fino ad arrivare al concetto di massima qualità a minor costo. Vagliati gli innumerevoli vantaggi derivanti dall’implementazione dei processi di conservazione sostitutiva, quindi, sarà sempre maggiore il numero di realtà aziendali che adotteranno tale scelta.

In considerazione di ciò, e, pertanto, della diffusione delle smart-card (e degli altri dispositivi di firma) necessarie per la messa in opera dei processi conservazione sostitutiva, la Cnipa (DigitPA) ha ritenuto opportuno predisporre nuove regole tecniche che impongono modifiche agli algoritmi di calcolo dell’impronta[1] del documento informatico, innalzando così il livello di sicurezza del documento firmato e ad essi connesso. Tuttavia, prima di analizzare quanto tecnicamente introdotto dalla nuova normativa[2], sarà utile fare un breve richiamo sulle modalità operative della firma digitale.

Quest’ultima si realizza applicando algoritmi crittografici che servono a cifrare (rendere illeggibili) e decifrare (rendere nuovamente leggibili) alcuni dati. Infatti, se venisse cifrato l’intero documento, le tempistiche di cifratura sarebbero troppo dispendiose dal punto di vista temporale; quindi, per ovviare a tale problema, viene codificata soltanto l’impronta del documento. In sintesi, i passi necessari ad applicare la firma digitale ad un documento sono : 1) calcolare l’impronta del documento; 2) cifrare, con la chiave privata, l’impronta calcolata; 3) salvare l’impronta firmata assieme al documento originale.

Se qualcuno modificasse il documento originale – anche soltanto di una lettera – l’impronta calcolata non sarebbe più la stessa (la possibilità che siano identiche è di 2 elevata alla 160).

Chiarita la tecnologia che sta alla base della firma digitale vediamo che cosa cambia. In concreto: è stata aumentata la lunghezza minima della chiave crittografica (da 1024 a 2048); è stato modificato l’algoritmo di calcolo dell’impronta: da SHA-1, che prevede la generazione di un’impronta hash[3] di 160 bit (20 caratteri), a SHA-256, che porta la lunghezza dell’impronta a 256 bit (32 caratteri).

In tal modo, le due modifiche decise accrescono notevolmente il livello di sicurezza delle firme apposte. La chiave più lunga rende infatti enormemente più complessa un’eventuale operazione di forzatura della chiave, mentre l’aumento della lunghezza dell’impronta porta la probabilità di individuare un testo che generi lo stesso hash da 15 seguito da 47 zeri, a 115 seguito da 75 zeri. Un eventuale crackatura della firma digitale sarebbe pertanto ancora più difficile – se non impossibile – di quanto non lo sia oggi. La correzione è stata decisa in considerazione della diffusione dei dispositivi di firma, permettendo così anche alle generazioni future di poter mantenere la validità dei documenti informatici firmati digitalmente oggi.

Dicasi inoltre, che le regola tecniche impongono anche modifiche agli attributi contenuti nei certificati di firma, in modo da adeguarsi, in anticipo, alla imminente direttiva europea sulla firma digitale ed atta ad uniformare le leggi dei singoli Stati della Comunità Europea nella materia di cui trattasi. I nuovi attributi permetteranno di validare in ogni Paese della Comunità le firme apposte con un certificato emesso da una Certification Authority di un Paese diverso da quello di appartenenza, così che il nuovo formato rientrerà nel novero dei formati che tutti gli Stati membri si accingono ad introdurre. Questa variazione si rende pertanto un passaggio necessario per  giungere al riconoscimento dei documenti sottoscritti con firma digitale a livello europeo e, conseguentemente, al libero scambio di documenti informatici giuridicamente rilevanti.

Infine, riguardo alle tempistiche delle operazioni, sono previste scadenze temporali diverse per gli enti certificatori e per gli utilizzatori. Per i primi, essi avranno dovuto rendere disponibili le nuove applicazioni che consentono l’aggiornamento dei dispositivi di firma entro il 31 dicembre 2010. Gli utilizzatori invece potranno adeguare la firma entro digitale entro e non oltre il 30 giugno 2011. A partire da tale data non saranno più accettate firme digitali generate in assenza delle nuove specifiche tecniche fissate.