Sull’uso della crittografia nelle firme digitali

Tempo di lettura stimato:4 Minuti, 15 Secondi

Il contributo che segue non pretende di esaurire l’ampio e complesso tema dell’uso della crittografia nelle firme digitali. Piuttosto, si propone di offrire spunti di riflessione critica, invitando il lettore a considerare le molteplici sfaccettature di questa tecnologia fondamentale.

Per incominciare, sembra imprescindibile delineare le definizioni di crittografia e firma digitale, concetti strettamente interconnessi.

Ed allora, detto in termini estremamente semplici, la crittografia è un processo di codifica di un messaggio, o di un’informazione, che rende il contenuto intellegibile unicamente ai soggetti autorizzati o in possesso di una chiave o di un codice.

La firma digitale, detto in termini altrettanto semplici, è un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

Ebbene, la crittografia utilizzata nella firma digitale è dunque di tipo asimmetrico. I sistemi a chiave asimmetrica usano due diverse chiavi, una pubblica e una privata, tra loro complementari, per effettuare con una la cifratura e con l’altra la decifratura di un file, di un documento o di un testo.

Nello specifico, il mittente può cifrare un testo usando la propria chiave privata ed inviare quindi al destinatario il testo cifrato assieme al testo in chiaro da cui è stato tratto. Il destinatario del messaggio potrà quindi decifrare il testo cifrato usando la chiave pubblica del mittente. Se la decifrazione del testo cifrato dà un risultato identico al testo in chiaro ricevuto, il destinatario può avere due certezze: innanzitutto che il messaggio è stato inviato dal titolare della chiave privata corrispondente alla chiave pubblica usata per la decifrazione; e in secondo luogo che il messaggio inviato non è stato modificato da terzi.

La cifratura asimmetrica non viene applicata a tutto il testo in chiaro, ma soltanto ad una abbreviazione dello stesso, la cd. “impronta”, estratta dal testo il chiaro.

La procedura di formazione della firma digitale si svolge quindi così: innanzitutto il mittente crea l’impronta del testo in chiaro, sulla quale viene generata la c.d. FUNZIONE DI HASH, che garantisce l’univocità dell’impronta (è una sequenza univoca di numeri, se il file dovesse essere modificato, tale sequenza cambierebbe); dopodiché il mittente cifra l’impronta usando la propria chiave privata ed ottiene la firma digitale del testo in chiaro, che viene inviata al destinatario assieme al testo in chiaro.

La verifica dell’autenticità e dell’integrità del messaggio accompagnato da firma digitale, invece, si svolge così: il destinatario applica al testo in chiaro ricevuto la funzione di Hash, estraendone una nuova impronta; quindi, decifra l’impronta cifrata ricevuta con il messaggio, mediante la chiave pubblica del mittente, ed infine confronta l’impronta estratta dal testo in chiaro con quella ottenuta attraverso la decifrazione: se le due impronte sono identiche, l’autenticità e l’integrità del messaggio sono garantite.

Perdonerete l’essenzialità di questo contributo, ma purtroppo al giorno d’oggi certe dinamiche non sono ancora ben chiare ai più. 

Per approfondire:

- G. FINOCCHIARO, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell'amministrazione digitale, in Contratto e impresa, 2011 fasc. 2, pp. 495 – 504.

- F. DELFINI, G. FINOCCHIARO (a cura di), Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno - Commento al regolamento UE 910/2014, Torino, 2017;

- M. CAMMARATA, E. MACCARONE, La firma digitale sicura, il documento informatico nell’ordinamento
italiano
, Milano, 2003;

- R. BORRUSO, Il documento informatico, la firma elettronica e la firma digitale alla luce delle ultime norme (d.lgs. 23 gennaio 2002 n. 10, d.p.r. 7 aprile 2003 n. 137 e l. 29 luglio 2003 n. 229), in Giustizia
civile
, 2004 fasc. 3, pt. 1, pp. 143 – 167;

- G. FINOCCHIARO, Firma digitale e firme elettroniche. Il quadro normativo italiano dopo il d.lgs. 10/2002, in Contratto e impresa, 2002;

- P. CONSALES, L’abuso della firma digitale ed i rimedi esperibili, in Diritto dell’informazione e dell’informatica, 2001;

- F. SORRENTINO, Firma digitale e firma elettronica: stato attuale e prospettive di riforma, in Diritto dell’informazione e dell’informatica, 2000;

- G. FINOCCHIARO, La firma digitale. Formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici, in Commentario del Codice Civile Scialoja- Branca, F. GALGANO (a cura di), Bologna, 2000;

- C. DI COCCO, Firma elettronica: il legislatore europeo disegna il quadro continentale, in Diritto e pratica delle Società, n. 12/2000, Milano, pp. 33 ss.;

- G. CIACCI, La firma digitale. Il sistema della firma digitale e il commercio elettronico su Internet. Commento al Dpr 513/97 e sue applicazioni pratiche, Il Sole-24Ore, 1999;

- G. FINOCCHIARO, Documento informatico e firma digitale, in Contratto e impresa, 1998;

- R. ZAGAMI, La firma digitale tra soggetti privati nel regolamento concernente “Atti, documenti e contratti in forma elettronica”, in Diritto dell’informazione e dell’informatica, 1997;

- R. ZAGAMI, Firme “digitali”, crittografia e validità del documento elettronico, in Diritto dell’informazione e dell’informatica, 1996.
The following two tabs change content below.

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.