Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

L’IMPORTANZA DELL’IDENTITÀ IN INTERNET

Certificati digitali, firme elettroniche e token crittografici

La firma digitale (digital signature) rappresenta l’equivalente elettronico della firma tradizionale.

Se per verificare l’autenticità di una firma apposta su carta si può ricorrere all’esperienza di periti specializzati, per la firma digitale, invece, è richiesto l’intervento dei certificati digitali.

Un certificato digitale è un documento d'identità del mondo digitale e può essere paragonato a ciò che nel mondo reale è rappresentato dalla carta d'identità o dal passaporto.

I certificati digitali contengono sia le informazioni necessarie all’identificazione di un soggetto, sia gli strumenti per la verifica delle firme elettroniche relative ad esso, ovvero la chiave pubblica.

Associato ad ogni certificato, di pubblico dominio, c’è lo strumento informatico con il quale l’utente può apporre le firme, ovvero la chiave privata.

Quest’ultima, diversamente dalla chiave pubblica, deve essere gelosamente custodita.

Una criticità nell’uso dei certificati digitali e delle firme elettroniche è data dall’impossibilità, da parte di chi deve verificare l’identità di un soggetto, di valutare l’autenticità delle informazioni contenute nei certificati digitali.

Paradossalmente, un certificato può essere creato da chiunque e può essere corredato da informazioni d’identificazione fasulle.

Per ovviare a questo problema, è necessario fare riferimento ad una parte fidata, in gergo denominata Certification Authority (CA), che rilasci i certificati e, nel contempo, ne assicuri l’integrità e l’autenticità.

Un ulteriore problema è rappresentato dalla gestione delle chiavi private da parte dell’utente: la divulgazione delle chiavi private darebbe modo a chiunque di impersonare pienamente, nella virtualità della Rete, il proprietario.

Per tale motivo, nei contesti dove è richiesto un elevato grado di robustezza dell’autenticazione, come quello della firma digitale, le chiavi private non possono essere conservate su un personal computer e sono quindi fornite attraverso uno strumento elettronico specializzato, detto token crittografico, che spesso assume la forma di una smartcard o di un dispositivo USB.

Tale token crittografico non permette l’estrazione delle chiavi private ma effettua esso stesso le operazioni di firma comunicando con il PC.

I certificati digitali e l’utilizzo della crittografia asimmetrica, ovvero quella le cui chiavi possono essere distinte in privata e pubblica, hanno utilizzi più estesi rispetto a quelli esposti nel presente contesto dell’autenticazione. In particolare, non è solo possibile firmare documenti elettronici o autenticarsi presso servizi ma anche cifrare, e ovviamente decifrare, i documenti per garantirne la confidenzialità.