1 / 20

Firma digitale: analisi normativa italiana e europea

Firma digitale: analisi normativa italiana e europea. Marco Andolfo matr.0000232246 Corso Tecnologie per la sicurezza LS a.a. 2004/2005. Prime regolamentazioni …. Il primo Paese europeo ad avere emanato una normativa sulla firma digitale è la Germania "Multimedia Gesetz" legge del 1997.

gavril
Download Presentation

Firma digitale: analisi normativa italiana e europea

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Firma digitale: analisi normativa italiana e europea Marco Andolfo matr.0000232246 Corso Tecnologie per la sicurezza LS a.a. 2004/2005

  2. Prime regolamentazioni …. • Il primo Paese europeo ad avere emanato una normativa sulla firma digitale è la Germania • "Multimedia Gesetz" legge del 1997

  3. In Italia • La firma digitale viene regolamentata nella legge del 15 marzo 1997 n. 59 (“Bassanini 1”) divenuto DPR 513/97 • L' art. 15 comma 2 sancisce: • la validità e la rilevanza giuridica degli strumenti informatici nelle scritture e nelle comunicazioni • la firma digitale è riconosciuta a livello giuridico sia nel settore della pubblica amministrazione e sia in quello dei privati • La firma digitale assume la stessa validità della firma autografa

  4. Estratto dalla legge Bassanini “Gli atti, i dati e i documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici e telematici, sono validi e rilevanti ad ogni effetto di legge”

  5. Obbiettivi • Compiti: • Semplificare i rapporti Stato-cittadino • Fornire nuovi servizi per gli uffici pubblici • Regolare gli atti informatici prima trattati caso per caso • Regolamentare le tecniche di firma supportate • Regolamentare le procedure di certificazione

  6. Regolamento tecnico • Utilizzo della crittografia asimmettrica (art. 1) • La chiave privata si può registrare su qualsiasi tipo di supporto idoneo a cura del depositante (art. 7) • La chiavepubblica deve essere certificata e consultabile in forma telematica (art 8) • La certificazione deve essere effettuata da un certificatore o CA (Certification Authority) approvato e riconosciuto dall’AIPA (Autorità per l’Informatica nella Pubblica Amministrazione)

  7. Regolamento tecnico • L’AIPA deve conservare e gestire l’elenco dei certificatori • I certificati emessi devono essere conformi al formato X.509 oppure alla specifica pubblica PKCS#6 e PKCS#9 • L’AIPA riconosce, se attestato, certificatori di paesi stranieri • Supporto della marca temporale ( misure basate su UTC)

  8. Regolamento tecnico • Tre tipologie di chiavi previste: • Firma in senso proprio • Certificazione della chiave pubblica • Generazione della marca temporale • Non è consentito l'utilizzo delle chiavi per scopi diversi da quelli previsti per le singole tipologie. • Le chiavi hanno lunghezza minima di 1024 bit • Le chiavi pubbliche sono custodite per un periodo non inferiore a 10 anni a cura del certificatore

  9. Algoritmi utilizzati • Algoritmi di generazione e verifica delle firme digitali • RSA • DSA • Algoritmi di hash • RIPEMD-160 • SHA-1

  10. La normativa europea • Vengono introdotte normative anche in altre nazioni europee • L’Unione Europea (UE) decide di introdurre la Direttiva 1999/93/CE per uniformare l’utilizzo di questo strumento all’interno dei paesi della comunità

  11. Caratteristiche della direttiva • Concetto di “firma elettronica” • “L'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” • Esempi: autenticazione con username/password, firma digitale, carta d’identità elettronica …. • La firma elettronica ha validità legale! • È considerata un tipo di firma “debole” se paragonata a quella digitale

  12. Caratteristiche della direttiva • Ruolo dei certificatori • Enti che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche • Sono catalogati in diverse classi a seconda del ruolo di sicurezza che esercitano • Libertà tecnologica • La firma elettronica non deve essere generata con una particolare tecnologia

  13. Caratteristiche della direttiva • Possibilità di adottare strumenti di autenticazioni sviluppabili in futuro • Riconoscimento legale delle firme digitali e dei servizi di certificazione, anche provenienti da altri Stati membri dell’Unione o da Paesi terzi • Sviluppare servizi informatici da utilizzare nella pubblica amministrazione dei Paesi • Promuovere lo sviluppo del commercio elettronico

  14. Conseguenze … • La direttiva definisce aspetti di natura “generale” • Incongruenze nella normativa italiana • Viene riconosciuta solo la firma digitale definita dall’Unione “firma elettronica avanzata” • Supporto della sola crittografia asimmetrica • Compiti dei certificatori • La definizione delle operazioni di certificazione o di revoca rimangono immutate

  15. Cambiamenti… Il DPR 513/97 non è più valido! Decreto Legislativo 23 gennaio 2002, n. 10 "Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche"

  16. I nuovi provvedimenti • Introduzione del concetto di firma elettronica • Ruolo della firma digitale • Forma avanzata di firma elettronica • Venogono riconosciute le procedure tecnico-procedurali finalizzate a garantire l'identificazione del sottoscrittore e l'autenticità del documento • Dispositivo per la creazione di una firma sicura • l'apparato strumentale, usato per la creazione di una firma elettronica

  17. I nuovi provvedimenti • Ruolo dei certificatori • Certificatori semplici • Per erogare servizi per le firme elettroniche • Non necessitano di autorizzazione per la loro attività • Certificatori accreditati • Ricoprono il ruolo dei certificatori del DPR513/97 • Sono riconosciuti a livello europeo • Certificatori notificati • Si collocano ad un livello ufficiale “inferiore” ai precedenti

  18. I nuovi provvedimenti • Tipi di certificati • Certificati qualificati • Analoghi a quelli definiti nel DPR 513/97 • Emessi da certificatori notificati o accreditati • Certificati non qualificati • Rapporti Pubblica Amministrazione – Privato • Uso di un certificato qualificato • Emesso solo da un certificatore accreditato • Situazione analoga a quella descritta nel DPR 513/97

  19. I nuovi provvedimenti • Rapporti fra Privati • Uso di certificato qualificati o non • Emessi da qualsiasi certificatore • “ognuno decide di chi e quanto fidarsi”

  20. Bibliografia • Centro Nazionale per l’Informatica nella Pubblica Amministrazione C.N.I.P.A. (ex-AIPA) • www.cnipa.gov.it • Progetto Firma Digitale Regione Emilia-Romagna • www.regione.emilia-romagna.it/firma.digitale • DPR 513/97 • Decreto legislativo 10 gennaio 2002

More Related