La firma elettronica, garanzia tecnica e giuridica di sicurezza nel commercio elettronico

Autore:Bertil Cottier/Silvano Marioni
Carica:Professore ordinario di diritto della comunicazione/Responsabile e docente del Certificate of Advanced Studies Sicurezza Informatica
Pagine:331-348
RIEPILOGO

1. Introduzione. 2. L'importanza della chiave segreta. 3. Il problema della distribuzione delle chiavi. 4. La crittografia a chiave pubblica. 5. La firma digitale. 6. La necessità di soluzioni pratiche. 7. La fiducia nella chiave pubblica. 8. Le autorità di certificazione. 9. Il quadro normativo europeo. 10. La legislazione svizzera in tema di firma elettronica. 10.1. Le fonti... (visualizza il riepilogo completo)

 
ESTRATTO GRATUITO

Bertil Cottier , professore ordinario di diritto della comunicazione presso la Facolt di Scienze della comunicazione dell'Universit della Svizzera italiana e professore associato di diritto dei nuovi media presso la Facolt di diritto dell'Universit di Losanna.

Silvano Marioni , CISSP, responsabile e docente del Certificate of Advanced Studies Sicurezza Informatica presso la Scuola Universitaria Professionale della Svizzera Italiana. Consulente nei settori delle architetture Internet e della sicurezza informatica.

    Il presente lavoro nasce da una collaborazione degli autori sul tema delle relazione tra gli aspetti tecnologici e giuridici consolidatasi nell''organizzazione del Simposio "Tecnologia e Diritto" che si svolge ormai da nove anni a Bellinzona (http://www.ssig.ch/td).

Page 331

@1. Introduzione

Il successo del commercio elettronico si basa su due imperativi: il primo è tecnico, l'altro è giuridico.

Da un punto di vista tecnico bisogna assicurarsi che le transazioni siano confidenziali e sicure, o detto in altri termini che non possano essere ne intercettate ne modificate. Dal punto di vista giuridico deve essere messo in atto un quadro legislativo che, da una parte dia un valore legale ai documenti elettronici, e dall'altra assicuri che l'infrastruttura necessaria alle transazioni elettroniche sia di alta qualità e garantisca una sicurezza di primordine.

Senza queste condizioni il commercio elettronico non sarà mai affidabile (e in tutti i casi non sarà percepito come tale) e gli attori della vita economica, in primo luogo i consumatori, lo rifiuterebbero.

Per offrire il massimo della sicurezza e dell'affidabilità gli informatici hanno sviluppato uno strumento essenziale: la firma elettronica. Il presente contributo si concentrerà con una visione sia tecnica che giuridica su questo strumento decisivo, che non è tanto una firma nel senso classico del termine ma piuttosto un dispositivo tecnico di autenticazione e di protezione del testo digitale.

Page 332

Nella prima parte, l'accento sarà messo sugli aspetti tecnici del funzionamento della firma digitale che è strettamente legato alla crittografia e in particolare alla crittografia a chiave pubblica. Per capire quale legame intercorre tra la crittografia e la firma digitale verrà ripercorsa la storia della tecnologia analizzando l'evoluzione delle esigenze e delle soluzioni di crittografia. La parte giuridica di questo articolo presenterà innanzitutto il diritto europeo sulla firma elettronica, per concentrarsi in seguito sulle soluzioni adottate dal legislatore svizzero. Quest'ultimo si è ispirato in modo autonomo al diritto europeo per adottare un quadro legislativo esaustivo e originale che va dall'equivalenza tra la firma elettronica e la firma autografa alle condizioni di riconoscimento delle chiavi di firma passando dalla responsabilità dei fornitori dei servizi di certificazione. Con l'obiettivo di promuovere lo sviluppo del commercio elettronico non solo a favore degli operatori svizzeri ma anche degli operatori stranieri.

@2. L'importanza della chiave segreta

Un sistema crittografico permette di trasmettere in modo sicuro un messaggio tra due interlocutori che utilizzano una chiave di cifratura comune e segreta. Possiamo ricordare ad esempio il sistema di crittografia utilizzato da Giulio Cesare per comunicare con le sue legioni oppure i sistemi di crittografia, basati sui lavori di Leon Battista Alberti, Johannes Trithemius e Blaise de Vigenère, usati dagli stati nazionali nel rinascimento1.

La condizione fondamentale per una comunicazione sicura è che lo scambio della chiave di cifratura avvenga tra gli interlocutori senza che terze persone riescano ad intercettarla. E questa è sicuramente una condizione che gli stati nazionali sono sempre stati in grado di garantire finché si trattava di comunicare con un numero relativamente limitato di emissari e ambasciatori.

La situazione diventa più complessa quando c'è la necessità di comunicare in modo cifrato con un numero sempre più grande di interlocutori, come ad esempio nelle comunicazioni militari; una distribuzione di massa delle chiavi segrete, con i conseguenti rischi di intercettazione, può creare non pochi problemi organizzativi.

Page 333

Nel corso dell'ultimo conflitto mondiale questo problema si manifestò chiaramente nei sistemi di crittografia utilizzati dagli eserciti di tutte le parti belligeranti. Un esempio tipico è il caso del sistema di crittografia utilizzato dall'esercito tedesco, la famosa macchina Enigma, un'apparecchiatura a batteria che era utilizzata per le comunicazioni sul campo di battaglia.

Enigma era dotata di una tastiera, una serie di lampadine corrispondenti alle lettere dall'alfabeto e un sistema di rulli mobili che modificavano, battuta dopo battuta, i collegamenti tra i tasti e le lampadine. Impostando una posizione iniziale dei rulli, il testo battuto sulla tastiera veniva cifrato diventando incomprensibile.

La controparte impostava la medesima posizione iniziale dei rulli e, ribattendo il testo cifrato, lo riotteneva leggibile; la posizione iniziale dei rulli era la chiave segreta di cifratura. Tutte le postazioni dotate di una macchina Enigma ricevevano regolarmente un identico libretto con le chiavi segrete che dovevano essere cambiate ogni giorno.

Questa condivisione della medesima chiave da parte di tutti gli interlocutori era la parte più debole del sistema perché dava agli avversari l'enorme vantaggio di poter analizzare un numero elevato di messaggi cifrati con la medesima chiave segreta. Aumentava in questo modo il rischio di scoperta della chiave segreta, caso in cui le comunicazioni di tutti gli interlocutori perdevano la loro segretezza

Questo fatto fu abilmente sfruttato dai servizi inglesi, che nel centro di Bletchley Park, riuscirono dopo molte prove a trovare il sistema per scoprire le chiave segrete e conseguentemente leggere i messaggi cifrati dell'esercito tedesco.

Una possibile soluzione poteva essere quella di avere una chiave segreta per ogni coppia di interlocutori ma questo avrebbe aumentato in modo esponenziale il numero delle chiavi segrete da distribuire con enormi problemi logistici.

@3. Il problema della distribuzione delle chiavi

Il problema della distribuzione di massa delle chiavi segrete restò insoluto fino al dopoguerra, quando l'avvento dell'informatica avrebbe dato agli studiosi di crittografia nuove opportunità di ricerca e nuovi strumenti di lavoro.

I tempi stavano maturando e si stava preparando una vera e propria rivoluzione che avrebbe portato negli anni Settanta a sistemi di crittografia utilizzabili in contemporanea da più utenti.

Page 334

Due ricercatori americani, Withfield Diffie e Martin Hellman, intuirono che nell'allora nascente rete Internet ci sarebbero state delle esigenze di riservatezza non solo per gli stati e le aziende, ma anche per le comunicazioni dei privati cittadini; per questo si doveva trovare una soluzione crittografica per condividere le chiavi segrete tra più interlocutori in modo indipendente, sicuro e semplice da usare.

Nel 1976 presentarono un sistema per lo scambio delle chiavi segrete attraverso l'invio di informazioni pubbliche. Il sistema prevedeva che gli interlocutori, dotati del medesimo algoritmo informatico, ottenessero ciascuno un numero che poteva essere scambiato pubblicamente e che reinserito dalla controparte nel medesimo algoritmo informatico generavano quasi miracolosamente un numero identico per entrambi: la chiave segreta.

Il sistema rivoluzionava i dogmi della crittografia ufficiale e permetteva la comunicazione con un numero infinito di interlocutori senza che si fosse precedentemente stabilito alcuno scambio di informazioni.

C'era solo un piccolo problema: i due interlocutori dovevano scambiarsi in contemporanea le informazioni e quindi il sistema non si prestava per comunicazioni differite nel tempo come ad esempio la posta elettronica.

@4. La crittografia a chiave pubblica

La svolta fondamentale avvenne l'anno successivo quando tre ricercatori del MIT, Ronald Rivest, Adi Shamir e Leonard Adleman, stimolati dalle ricerche di Diffie e Hellman, intuirono la possibilità di un sistema di crittografia asimmetrico, in cui per cifrare e decifrare venivano utilizzati sistemi di calcolo e chiavi differenti.

Il sistema oltre a permettere lo scambio delle chiavi senza che gli interlocutori si conoscessero in anticipo, aveva il vantaggio, rispetto a quello di Diffie e Hellman, di poter essere utilizzato in modo differito; cosa che avrebbe permesso in seguito lo sviluppo dei sistemi di comunicazione sicura di Internet, dalla posta elettronica sicura al commercio elettronico.

L'algoritmo, che si chiamò RSA dalle iniziali dei suoi inventori, fu una grande rivoluzione rispetto alle tecniche della crittografia esistenti che prevedevano solo strumenti di cifratura in cui, sia il sistema di calcolo, sia la chiave segreta dovevano essere identici e simmetrici per i due interlocutori.

Page 335

L'algoritmo RSA viene detto asimmetrico perché si basa su una coppia di chiavi complementari: una chiave, utilizzata per cifrare, che deve essere obbligatoriamente resa pubblica e una chiave utilizzata per decifrare, che deve essere mantenuta segreta.

Per inviare un messaggio protetto a qualcuno, basta ottenere la sua chiave pubblica e utilizzarla per cifrare, sicuri che il destinatario sarà in grado di decifrarlo con la sua chiave privata. In questo modo la crittografia a chiave pubblica garantisce una comunicazione riservata dei dati senza nessuno scambio anticipato di delle chiavi segrete.

Ma il grosso vantaggio che questo algoritmo asimmetrico aveva rispetto ai tradizionali algoritmi simmetrici è una funzione che fino ad allora non era neanche stata immaginata: la possibilità di avere la certezza che il messaggio era stato inviato da una persona definita e la garanzia che non fosse stato modificato.

@5. La firma digitale

In questo caso le chiavi sono utilizzate in...

Per continuare a leggere

RICHIEDI UNA PROVA