Come funziona la firma digitale qualificata?

Come funziona la firma digitale qualificata

{nome_autore}

Ultima modifica il: Maggio 2, 2023
Postazione di conoscenza
Come funziona la firma digitale qualificata? sproof

La firma digitale è l’equivalente non falsificabile della firma autografa. A condizione che le firme generate digitalmente siano conformi alle norme stabilite dal Regolamento eIDAS. La firma digitale non solo è a prova di falsificazione, ma è anche legalmente valida al 100%.

Tuttavia, l’argomento solleva ancora domande e incertezze per molte persone. La mia firma è sicura? La mia firma può essere falsificata? Come posso assicurarmi che la persona giusta abbia firmato?

Per rispondere a queste e ad altre domande, in questo articolo analizziamo come un documento può essere validamente firmato digitalmente e quali sono i requisiti necessari per farlo.

Ecco come è possibile firmare digitalmente un documento elettronico in modo sicuro

Definizione dei termini:

Le firme digitali sono utilizzate per autorizzare e convalidare i documenti in formato elettronico. Utilizzano complessi meccanismi crittografici per autenticare documenti e messaggi digitali, confermare l’identità dei firmatari e proteggere i dati da manipolazioni e falsificazioni durante la trasmissione.

Le firme digitali sono dotate di strumenti di backend per garantire che solo una persona autorizzata possa firmare un documento e per impedire modifiche dopo la firma.

La firma digitale viene generata con un identificativo digitale unico, denominato “certificato digitale” o “certificato a chiave pubblica”. I certificati digitali sono emessi da autorità di certificazione (CA) accreditate dopo aver verificato l’identità del richiedente.

  • Un’autorità di certificazione (CA) è un’organizzazione autorizzata a emettere certificati digitali. Agisce come una terza parte fidata (TTP) che verifica l’identità del titolare di un certificato. Un’autorità di certificazione certifica anche il possesso di una chiave pubblica.
  • Un certificato digitale è un passaporto elettronico che identifica il partecipante a una conversazione protetta da PKI e consente a individui e istituzioni di scambiare dati online in modo sicuro. I dati vengono crittografati e decrittografati utilizzando una coppia di chiavi pubbliche e private.
  • Una chiave pubblica è un identificativo numerico unico che viene utilizzato per criptare i dati o verificare le firme digitali. Viene emessa da un’autorità di certificazione per una persona o un’organizzazione ed è pubblicamente accessibile a chiunque ne abbia bisogno.
  • Una chiave privata è nota solo al suo proprietario. Viene utilizzata per decifrare i dati creati con la corrispondente chiave pubblica o per generare firme digitali.

Le firme digitali e i certificati digitali sono strettamente collegati. Le loro applicazioni e i loro usi dipendono dal modo in cui questi sistemi vengono implementati e dal funzionamento della rispettiva infrastruttura PKI. Un certificato digitale viene talvolta definito anche certificato di firma digitale, in quanto conferma la chiave pubblica (autenticità) dell’autorità di firma.

Perché ho bisogno di una firma digitale e di un certificato digitale?

Cominciamo con un semplice esempio. Alice e Bob vogliono comunicare o firmare insieme un documento.

Scenario 1: esempio di ingresso

Come funziona la firma digitale

Alice possiede due chiavi crittografiche digitali: una pubblica (PA) e una privata/segreta (SA). La chiave pubblica può essere trasmessa. La chiave privata, invece, deve essere tenuta segreta da Alice e conservata in modo sicuro.

Alice crea un certificato digitale che contiene la sua chiave pubblica e il suo indirizzo e-mail. Invia questo certificato a Bob per condividere la sua chiave pubblica con Bob.

Alice può ora firmare un documento con la sua chiave privata e inviarlo a Bob. Bob può quindi verificare se la chiave pubblica di Alice corrisponde alla firma apposta con la chiave privata di Alice.

Le chiavi private e pubbliche sono quindi due facce della stessa medaglia. Tutto ciò che viene firmato con una chiave privata può essere verificato con la corrispondente chiave pubblica.

In questo modo si garantisce che solo Alice possa firmare con la sua chiave privata.

Tuttavia, è necessario introdurre un’ulteriore misura di sicurezza.
È necessario garantire che il collegamento tra la chiave pubblica di Alice e il suo ID utente (ad esempio, l’indirizzo e-mail) sia effettivamente verificato.

Scenario 2: Cosa può accadere se il certificato non viene controllato?

Come funziona la firma digitale - certificato

Questa volta Mallory vuole fingere di essere Alice e comunicare con Bob. Mallory non possiede né la chiave privata di Alice né quella di Bob. Tuttavia, possiede la propria coppia di chiavi private-pubbliche.

Mallory vuole convincere Bob che la sua chiave privata appartiene ad Alice. Per farlo, crea un certificato con la sua chiave pubblica e l’e-mail di Alice e lo invia a Bob. Bob pensa di aver ricevuto la chiave pubblica da Alice.

Mallory può ora firmare i documenti con la sua chiave privata e inviarli a Bob. Quest’ultimo può controllare nuovamente le firme con la chiave pubblica e vedere quali corrispondono. Bob è ora convinto che Alice abbia firmato il messaggio. In realtà, però, si tratta di Mallory.

Il problema è che Mallory ha la possibilità di creare un collegamento tra la sua chiave pubblica e l’ID utente di Alice.

Tuttavia, vogliamo evitare che ciò accada e per questo abbiamo bisogno di una terza parte.

Scenario 3: come farlo bene?

Digitale Signatur

Trent è una terza parte fidata che garantisce la verifica del collegamento tra la chiave pubblica di Alice e il suo ID utente. Trent verifica l’identità di Alice, ad esempio controllando il suo ID con Video Ident, e autentica il certificato digitale.

Alice può ora firmare i messaggi e Bob può essere sicuro che il messaggio provenga davvero da Alice. Questo ci permette di creare firme digitali a prova di falsificazione!

Sono quindi importanti due cose:

  1. In primo luogo, è necessario stabilire l’identità di Alice e collegare la sua UserID a una chiave pubblica. Alice possiede sempre la chiave privata in un archivio sicuro. O lei stessa o attraverso un fornitore di terze parti sicuro come sproof.
  2. In secondo luogo, quando viene fornita una firma, l’identità del firmatario deve essere verificata, ad esempio tramite un messaggio push sul cellulare.

Questo ci permette di produrre firme digitali qualificate che sono sicure almeno quanto le firme analogiche.

Tecnicamente, ogni firma digitale creata per un documento specifico è unica e quindi estremamente difficile da falsificare. La capacità della firma digitale di garantire l’integrità e l’autenticità dei documenti elettronici, indicando al contempo il consenso del firmatario, consente ad aziende, appaltatori e clienti di interagire online e di scambiare informazioni in modo sicuro.

Tecnicamente, ogni firma digitale creata per un documento specifico è unica e quindi estremamente difficile da falsificare. La capacità della firma digitale di garantire l’integrità e l’autenticità dei documenti elettronici, indicando al contempo il consenso del firmatario, consente ad aziende, appaltatori e clienti di interagire online e di scambiare informazioni in modo sicuro.

Digitale Signatur

Excursus: Chi sono Alice, Bob e Mallory?

Alice, Bob e Mallory sono personaggi di fantasia che fungono da sinonimi per gli attori principali della comunicazione e dello scambio di dati. Invece di parlare di individui anonimi, queste persone sono personificate attraverso l’uso di Alice, Bob e Mallory. Questo metodo facilita la presentazione di relazioni e processi complessi e ne facilita la comprensione da parte del lettore.

Chi sono Alice e Bob?
Alice e Bob sono figure rappresentative dei partecipanti a una comunicazione tra due parti. Alice agisce come l’iniziatore che stabilisce la comunicazione. Bob assume il ruolo di colui che riceve il messaggio. Alice di solito cerca di inviare un messaggio a Bob, mentre Bob attende il messaggio di Alice.

Chi è Mallory?
Mallory è un attaccante attivo di una comunicazione che non ha paura di intervenire nella comunicazione per manipolare i messaggi o modificare i dati. Come man-in-the-middle (MITM), Mallory è particolarmente pericoloso per Alice e Bob, che però possono proteggersi da lui con l’aiuto della crittografia.
Senza l’uso della crittografia …

  • … le trasmissioni di dati sono suscettibili di manipolazione da parte di terzi. Ad esempio, Mallory potrebbe utilizzare i dati intercettati per i propri scopi o modificarli senza essere notata.
  • … Mallory potrebbe impersonare un’altra persona e quindi accedere a informazioni riservate.
  • … Alice potrebbe affermare senza riconoscere che alcuni dati sono stati falsificati da Mallory.

Tuttavia, è importante sottolineare che

  • … la crittografia NON è in grado di impedire a Mallory di modificare o intercettare i dati inosservati.
  • … che non è esclusa l’interruzione o l’impedimento dei collegamenti.
  • … l’uso della crittografia è comunque un importante meccanismo di protezione per ridurre al minimo il rischio di manipolazione dei dati.

Chi è Trent?
Trent, che deriva dall’inglese “trusted entity”, è una terza parte affidabile. Ad esempio, come Autorità di Certificazione, o CA in breve.

Calcolatore del ROI

Calcolate l'impatto ecologico ed economico della firma elettronica nella vostra azienda. Gratuito e non vincolante.

CALCOLA ORA IL ROI

Altre voci del blog

  • Pronti per eIDAS 2.0: perché la vostra azienda ha bisogno

    spoof Ident - Aggregatore di identità europeo

    Ottobre 9, 2025
    {nome_autore}

  • La fine del caos delle identità: l’integrazione di tutte le

    spoof Ident - Aggregatore di identità europeo

    Ottobre 9, 2025
    {nome_autore}

  • Legge sulla protezione dei dati in fase di transizione: intervista

    Protezione dei dati in Europa - sproof

    Agosto 27, 2025
    {nome_autore}

    Sproof post del blog Katharina Raabe-Stuppnig
  • Questo sito è registrato su wpml.org come sito di sviluppo. Passa a un sito di produzione con la chiave remove this banner.