Firme Digitali: Tutto Quello Che Devi Sapere

14.3.2024

Di Alessandro Mirani

L’educazione degli utenti alle prassi sicure è uno degli step critici delle politiche di sicurezza più efficaci. Spiegare agli utenti finali che seguire una prassi non è un ostacolo bensì un ponte tra noi e le necessità di tutti i giorni è quindi uno step molto importante.

Bisogna però fare anche i conti con certe scorciatoie che sono diventate usi comuni nella prassi di tutti i giorni ma che non seguono la “best practice”. Ad esempio, chi di noi non ha mai firmato un PDF con l’immagine della firma disegnata a mano o con le semplici iniziali stampate?

Per quanto questa pratica sia diventata comune, la verità è che queste “firme” non sono che “scarabocchi digitali”. La valenza legale è quasi sempre nulla e possono essere causa di incidenti di sicurezza e disguidi documentali.

In questo articolo vedremo cosa rende una firma digitale autentica e come fare ad usarla al meglio per la sicurezza della tua impresa e l’affidabilità delle tue informazioni.

Cosa sono le firme digitali

Una firma digitale serve a stabilire l’univoca identità di un firmatario. Nulla di diverso rispetto a una tradizionale firma manuale su carta dal punto di vista meramente teorico.

In pratica, però, le firme digitali richiedono diversi passaggi per costruire un solido collegamento tra l’identità del firmatario e la firma apposta. 

Se in passato la calligrafia ed altri elementi venivano usati per costruire questo legame, oggi viene impiegata la crittografia asimmetrica.

La crittografia asimmetrica impiega una coppia di chiavi, una pubblica (che viene condivisa) e una privata (che rimane al proprietario della firma). Queste chiavi consentono al proprietario della firma ed agli interlocutori di verificare che le informazioni scambiate siano:

  • integre
  • autentiche
  • non ripudiabili 

Una firma digitale è dunque una semplice stringa di testo che viene criptata dal proprietario della firma e che può essere decriptata da terze parti. 

Se chiunque possiede la chiave pubblica può decriptare il testo cifrato, solo chi possiede la chiave privata può criptarlo, rendendo dunque matematicamente certa l’identità del firmatario.

Ad esempio, è prassi comune per firmare una mail creare un hash del testo inviato (una stringa di numeri e lettere unica generata automaticamente da una funzione matematica), criptarlo con la chiave privata e poi metterlo in appendice alla mail.

Il destinatario della mail può creare un hash del testo ricevuto a sua volta, decriptarlo in appendice alla mail con la chiave pubblica e confrontare i due hash. 

Se i due hash coincidono significa che:

  • Il testo del messaggio ricevuto è identico a quello inviato (integrità)
  • Il mittente è effettivamente chi dice di essere (autenticità)
  • Il proprietario della chiave privata è l’unica persona responsabile per il contenuto del testo (non ripudiabilità)

Tipi di firma digitale

L’hash dei messaggi di testo è solo uno dei vari tipi di firma digitale che assicurano integrità, autenticità e non ripudiabilità.

Esistono le firme digitali qualificate (Qualified Electronic Signatures, QES), ovvero tipi di firma digitale riconosciuti da standard internazionali (come l’hashing appena descritto). Queste firme utilizzano diverse forme di crittografia o impiegano dispositivi dedicati alla creazione di firme autenticabili ma il principio di base rimane lo stesso.

Esistono poi le infrastrutture a chiave pubblica (Public key Infrastructure, PKI), che sono diventate molto diffuse nel web. Le PKI impiegano i certificati digitali che vengono emessi da enti conosciuti. Questi certificati vengono poi distribuiti agli utenti ed associati a dati anagrafici o ai dispositivi impiegati. Il certificato emesso diviene una sorta di lasciapassare che garantisce l’affidabilità degli interlocutori.

Anche le blockchain stanno divenendo un importante sistema di validazione firme digitali. All’interno di una blockchain, infatti, integrità, autenticità e non ripudiabilità dei dati sono matematicamente assicurate dal meccanismo di validazione necessario per inserire i blocchi nella catena. 

Esistono dunque varie soluzioni, gratuite o a pagamento, che puoi impiegare per firmare digitalmente i documenti; per capire quale scegliere è però bene che tu conosca i limiti delle firme digitali.

Le firme digitali, come ogni altro meccanismo di controllo nella storia, hanno subito e continuano a subire attacchi e raggiri che, in alcuni casi, ne hanno minato la validità

Incidenti informatici e firme digitali

In un bollettino di sicurezza di Giugno 2023, Microsoft ha pubblicamente dichiarato che un importante provider ha emesso certificati che sono poi stati impiegati per condurre attacchi di spoofing (impersonificazione di un altro dispositivo o di un altro utente da parte di un hacker per rubare informazioni importanti). 

Microsoft ha imposto al provider di rafforzare il proprio processo di emissione dei certificati ma non è stato né il primo né l'ultimo caso nella storia di certificati digitali compromessi. 

Basti pensare che, in generale, tutte le firme digitali basate sull’approccio descritto sopra (chiave pubblica e privata) sono esposte alle vulnerabilità comuni nei sistemi crittografici. 

La più banale di queste: la possibilità che una chiave privata venga intercettata o scoperta.

Applicare la crittografia al messaggio non è garanzia di imperitura segretezza. Esistono diversi tipi di algoritmo crittografico, alcuni meno sicuri di altri.

Per questa ragione, nel 2023 NIST ha aggiornato la sicurezza sulle firme digitali, suggerendo gli algoritmi da impiegare per la generazione delle chiavi, ad esempio quello a curva ellittica: Elliptic Curve Digital Signature Algorithm. 

La funzione hash scelta per creare la firma è inoltre una possibile vulnerabilità ed è consigliabile usare una funzione al livello di SHA-3.

È inoltre sempre importante tenere conto dei requisiti legali. In Europa ad esempio, eIDAS è il regolamento che stabilisce i requisiti di certificazione firma digitale.

Conclusione

Una vera firma digitale che abbia valenza legale è più di una semplice immagine recante la firma manuale di una persona. Bisogna dimostrare che integrità, autenticità e non ripudiabilità siano garantiti dalla tecnologia scelta. 

È dunque fondamentale conoscere le varie tipologie di firma digitale esistenti ed i loro limiti, soprattutto in relazione ai requisiti legali e alla sicurezza informatica.

Per poter prendere una scelta informata, è sempre bene tenere da conto gli elementi chiave di una buona firma digitale:

  • Impiegare una crittografia moderna che consenta di identificare il firmatario in modo unico e affidabile.
  • Consistenza delle funzioni hash per garantire l'integrità dei dati coinvolti.
  • Legalità e conformità alle normative, come i regolamenti eIDAS nell'Unione Europea. 
  • Usabilità ed esperienza utente per facilitare l'adozione e l'utilizzo.

Ho menzionato in apertura come una politica di sicurezza non adottata volentieri non è altro che una vulnerabilità in più.

Le firme digitali sicure diventeranno un buon costume nel momento in cui saranno intuitive come le firme manuali. Trova la migliore combinazione di questi elementi e sarai sicuro che i tuoi utenti accetteranno di buon grado questa prassi sicura.

Articoli recenti

Logistica Farmaceutica e Tracciabilità: Le Migliori Soluzioni

NSO (Nodo Smistamento Ordini) per le Aziende Farmaceutiche: Una Guida Completa

Tor: Guida a The Onion Router

Bot e Intelligenza Artificiale: Come Funzionano

Criminalità Informatica: Proteggi i Tuoi Dati Online

Proteggiti dagli Attacchi Informatici: Soluzioni Efficaci

Firma Grafometrica: a cosa serve e come funziona

Vulnerability Assessment e Penetration Test