La firma digitale

  1. Alessio Arrigoni
  2. Blog
  3. La firma digitale

La firma digitale è un metodo per attestare che un messaggio di posta elettronica che abbiamo ricevuto sia stato effettivamente inviato dal mittente dichiarato e che il suo contenuto non sia stato alterato.

Che cosa è la firma digitale?

É possibile che abbiamo ricevuto un messaggio di posta elettronica con una serie di numeri e lettere in coda al messaggio stesso. Sebbene possa sembrare un inutile allungamento del testo o un qualche tipo di errore, queste stringhe alfanumeriche dette “fingerprint” possono essere usate per autenticare il mittente e la correttezza del messaggio. La generazione della firma digitale avviene sfruttando un algoritmo che “mescolerà” il testo del messaggio con una chiave. Il risultato sarà una serie di numeri e lettere apparentemente senza senso.

Perché dovremo usare la firma digitale?

La possibilità che un malintenzionato simuli il nostro indirizzo di posta e la necessità di essere certi dell’origine del messaggio di posta elettronica che riceviamo, sono tutte valide ragioni per attuare l’uso della firma digitale. L’autenticazione serve soprattutto per la corrispondenza in ambito business, quando risulta vitale attestare che le informazioni provengano effettivamente dal mittente visualizzato. Un messaggio di posta elettronica firmato indica anche che il suo contenuto non è stato modificato dato che ogni minima modifica comprometterebbe la validità della firma stessa.

Come funziona?

Prima di poter capire come funziona la firma digitale, è bene comprendere un po' di terminologia.

  • Keys: le chiavi sono usate per creare la firma digitale. Per ogni firma, esiste una chiave pubblica ed una privata.
    • Chiave pubblica: la chiave pubblica è la porzione della chiave che è messa a disposizione degli altri utenti. Se si effettua l’upload della chiave pubblica in un “public key ring” o se si invia ad un altro utente, quella è la chiave che sarà usata per validare la firma. Una lista di persone che ha firmato la nostra lista a chiave pubblica sono incluse nella stessa. La possibilità di identificare questa lista di persone è subordinata alla ricezione delle loro chiavi pubbliche, che faranno parte del “key ring”.
    • Chiave privata: la chiave privata è quella chiave che serve per firmare il messaggio di posta elettronica. La chiave privata è protetta da password e non deve essere data a nessuno.
  • Key ring: il key ring è un raccoglitore delle chiavi pubbliche (si pensi al comune portachiavi). In pratica programmi come PGP, permettono di inserire le chiavi pubbliche ricevute direttamente o scaricate d un server. Un “public key server” contiene e mette a disposizione su internet le chiavi pubbliche di tutte quelle persone che intendono pubblicare e rendere disponibili le proprie chiavi.
  • Fingerprint: ogni firma digitale corrisponde ad una impronta digitale (che in pratica corrisponde a quella serie di numeri e lettere posti in coda al messaggio di posta elettronica), questa serve ad attestare che effettivamente il documento è stato firmato dal corrispondente.
  • Key certificate: quando si estrae dal proprio key ring, solitamente si controlla anche il certificato abbinato a quella chiave, dove possiamo visionare le informazioni circa la chiave:
    • proprietario
    • data di creazione
    • data di scadenza.
  • Web of trust: quando qualcuno firma la nostra chiave pubblica, questo conferma alle altre persone, magari che hanno delle perplessità, che la chiave effettivamente appartiene al creatore. Praticamente chi firma la chiave fa da garante. Infatti più firme si collezionano, più diventa affidabile. É sempre buona norma controllare i fingerprint dei firmatari.

Il processo di creazione, di importazione e uso delle chiavi è abbastanza diretto:

  1. Generare la coppia di chiavi usando programmi come Pretty Good Privacy, più brevemente PGP, o GNU Privacy Guard (GnuPG).
  2. Incrementate l’autenticità della nostra chiave pubblica facendola firmare dai colleghi, per esempio, che hanno anch’essi delle loro chiavi. Nel processo di autenticazione della nostra chiave pubblica, loro confermeranno che il fingerprint della chiave effettivamente appartiene al creatore.
  3. Effettuando l’upload della nostra chiave pubblica firmata su un server, permetteremo a chi riceve della posta elettronica da noi di poter controllare l’autenticità della chiave.
  4. Firmare digitalmente le nostre e-mail.

I particolari di creazione, gestione, importazione ed esportazione delle chiavi variano a seconda del programma usato.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Differenze e tipi di infezione che possono colpire un PC

Leggi tutto...
Una domanda molto comune in diverse sedi è se un programma anti-malware protegga anche contro i virus e se il proprio antivirus possa bastare contro ogni tipo di minaccia informatica. Con il ...

Essere consapevoli della sicurezza informatica

Leggi tutto...
Certamente avremo sentito parlare di numeri di carte di credito rubati e virus informatici dannosi. Forse ne siamo stati vittima noi stessi. Una delle migliori difese contro queste minacce, è ...

La sicurezza informatica nei dispositivi elettronici

Leggi tutto...
Quando pensiamo alla sicurezza informatica, ricordiamoci che anche dispositivi come smartphone e tablet, possono essi stessi essere vulnerabili ad attacchi. Quindi è bene prendere le opportun ...

Gli antivirus gratuiti senza pubblicità

Leggi tutto...
Su tutti i computer è necessario un antivirus come misura minima di sicurezza per proteggersi da malware, virus informatici e infezioni provenienti dal web. Molti sono gli antivirus gratuit ...

Attacchi informatici: sql injection, una piaga, parte I

Leggi tutto...
Recentemente mi sono trovato a dover metter mano su portali che frequentemente mostravano dei contenuti indesiderati.Ma qual'era la causa? La risposta è molto semplice: SQL Injection.SQL Injection con ...

Come scegliere una password sicura... a prova di hacker

Leggi tutto...
Tema che ho già trattato in passato, ma è sempre bene ogni tanto ritornarci vista la sua importanza: l’annosa questione delle password. Molti utenti vedono questo aspetto come un ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...