La firma digitale

  1. Alessio Arrigoni
  2. Blog
  3. La firma digitale

La firma digitale è un metodo per attestare che un messaggio di posta elettronica che abbiamo ricevuto sia stato effettivamente inviato dal mittente dichiarato e che il suo contenuto non sia stato alterato.

Che cosa è la firma digitale?

É possibile che abbiamo ricevuto un messaggio di posta elettronica con una serie di numeri e lettere in coda al messaggio stesso. Sebbene possa sembrare un inutile allungamento del testo o un qualche tipo di errore, queste stringhe alfanumeriche dette “fingerprint” possono essere usate per autenticare il mittente e la correttezza del messaggio. La generazione della firma digitale avviene sfruttando un algoritmo che “mescolerà” il testo del messaggio con una chiave. Il risultato sarà una serie di numeri e lettere apparentemente senza senso.

Perché dovremo usare la firma digitale?

La possibilità che un malintenzionato simuli il nostro indirizzo di posta e la necessità di essere certi dell’origine del messaggio di posta elettronica che riceviamo, sono tutte valide ragioni per attuare l’uso della firma digitale. L’autenticazione serve soprattutto per la corrispondenza in ambito business, quando risulta vitale attestare che le informazioni provengano effettivamente dal mittente visualizzato. Un messaggio di posta elettronica firmato indica anche che il suo contenuto non è stato modificato dato che ogni minima modifica comprometterebbe la validità della firma stessa.

Come funziona?

Prima di poter capire come funziona la firma digitale, è bene comprendere un po' di terminologia.

  • Keys: le chiavi sono usate per creare la firma digitale. Per ogni firma, esiste una chiave pubblica ed una privata.
    • Chiave pubblica: la chiave pubblica è la porzione della chiave che è messa a disposizione degli altri utenti. Se si effettua l’upload della chiave pubblica in un “public key ring” o se si invia ad un altro utente, quella è la chiave che sarà usata per validare la firma. Una lista di persone che ha firmato la nostra lista a chiave pubblica sono incluse nella stessa. La possibilità di identificare questa lista di persone è subordinata alla ricezione delle loro chiavi pubbliche, che faranno parte del “key ring”.
    • Chiave privata: la chiave privata è quella chiave che serve per firmare il messaggio di posta elettronica. La chiave privata è protetta da password e non deve essere data a nessuno.
  • Key ring: il key ring è un raccoglitore delle chiavi pubbliche (si pensi al comune portachiavi). In pratica programmi come PGP, permettono di inserire le chiavi pubbliche ricevute direttamente o scaricate d un server. Un “public key server” contiene e mette a disposizione su internet le chiavi pubbliche di tutte quelle persone che intendono pubblicare e rendere disponibili le proprie chiavi.
  • Fingerprint: ogni firma digitale corrisponde ad una impronta digitale (che in pratica corrisponde a quella serie di numeri e lettere posti in coda al messaggio di posta elettronica), questa serve ad attestare che effettivamente il documento è stato firmato dal corrispondente.
  • Key certificate: quando si estrae dal proprio key ring, solitamente si controlla anche il certificato abbinato a quella chiave, dove possiamo visionare le informazioni circa la chiave:
    • proprietario
    • data di creazione
    • data di scadenza.
  • Web of trust: quando qualcuno firma la nostra chiave pubblica, questo conferma alle altre persone, magari che hanno delle perplessità, che la chiave effettivamente appartiene al creatore. Praticamente chi firma la chiave fa da garante. Infatti più firme si collezionano, più diventa affidabile. É sempre buona norma controllare i fingerprint dei firmatari.

Il processo di creazione, di importazione e uso delle chiavi è abbastanza diretto:

  1. Generare la coppia di chiavi usando programmi come Pretty Good Privacy, più brevemente PGP, o GNU Privacy Guard (GnuPG).
  2. Incrementate l’autenticità della nostra chiave pubblica facendola firmare dai colleghi, per esempio, che hanno anch’essi delle loro chiavi. Nel processo di autenticazione della nostra chiave pubblica, loro confermeranno che il fingerprint della chiave effettivamente appartiene al creatore.
  3. Effettuando l’upload della nostra chiave pubblica firmata su un server, permetteremo a chi riceve della posta elettronica da noi di poter controllare l’autenticità della chiave.
  4. Firmare digitalmente le nostre e-mail.

I particolari di creazione, gestione, importazione ed esportazione delle chiavi variano a seconda del programma usato.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.
Leggi tutto ...
Categoria: Sicurezza informatica

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Il phishing

Leggi tutto...
Il phishing è un tentativo di frode attivato mediante internet che ha lo scopo di carpire informazioni personali a cui solo noi abbiamo accesso come ad esempio l’username, la password, ...

Truffe telefoniche: i numeri a cui dobbiamo prestare attenzione

Leggi tutto...
Non ci si può distrarre un attimo che un’altra truffa è in agguato. Questa ricorda tanto i virus che parecchi anni fa rubavano traffico quando si doveva ancora comporre un numero ...

Gli antivirus gratuiti senza pubblicità

Leggi tutto...
Su tutti i computer è necessario un antivirus come misura minima di sicurezza per proteggersi da malware, virus informatici e infezioni provenienti dal web. Molti sono gli antivirus gratuit ...

Programmi free anti ransomware

Leggi tutto...
I Ransomware sono la peggior categoria di virus che ci possa capitare, diffusi a livello mondiale e capaci di colpire anche i PC dotati dì un antivirus aggiornato. Questa categoria di virus ...

10 consigli da seguire per evitare il furto d’identità

Leggi tutto...
Furto d'identità, in cosa consiste? Tutti noi ormai abbiamo tante informazioni elettroniche quali password per accedere all'email o ai vari social, numero di carta di credito e via ...

I crimini informatici per il 2014

Leggi tutto...
L'anno che è concluso da poco più di un mese, dal punto di vista del crimine informatico, ha visto un sensibile incremento dei malware per il sistema operativo Android, e a detta degli esperti, l'anno ...

Articoli recenti

Leggi le ultima novità dal blog.

Social media: come scegliere i canali giusti per promuovere la tua attività

Leggi tutto...
I social media sono uno strumento fondamentale per molte attività, ma scegliere i canali giusti è essenziale per massimizzare i risultati. Non tutti i social sono adatti a ogni tipo di ...

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...