La firma digitale

  1. Alessio Arrigoni
  2. Blog
  3. La firma digitale

La firma digitale è un metodo per attestare che un messaggio di posta elettronica che abbiamo ricevuto sia stato effettivamente inviato dal mittente dichiarato e che il suo contenuto non sia stato alterato.

Che cosa è la firma digitale?

É possibile che abbiamo ricevuto un messaggio di posta elettronica con una serie di numeri e lettere in coda al messaggio stesso. Sebbene possa sembrare un inutile allungamento del testo o un qualche tipo di errore, queste stringhe alfanumeriche dette “fingerprint” possono essere usate per autenticare il mittente e la correttezza del messaggio. La generazione della firma digitale avviene sfruttando un algoritmo che “mescolerà” il testo del messaggio con una chiave. Il risultato sarà una serie di numeri e lettere apparentemente senza senso.

Perché dovremo usare la firma digitale?

La possibilità che un malintenzionato simuli il nostro indirizzo di posta e la necessità di essere certi dell’origine del messaggio di posta elettronica che riceviamo, sono tutte valide ragioni per attuare l’uso della firma digitale. L’autenticazione serve soprattutto per la corrispondenza in ambito business, quando risulta vitale attestare che le informazioni provengano effettivamente dal mittente visualizzato. Un messaggio di posta elettronica firmato indica anche che il suo contenuto non è stato modificato dato che ogni minima modifica comprometterebbe la validità della firma stessa.

Come funziona?

Prima di poter capire come funziona la firma digitale, è bene comprendere un po' di terminologia.

  • Keys: le chiavi sono usate per creare la firma digitale. Per ogni firma, esiste una chiave pubblica ed una privata.
    • Chiave pubblica: la chiave pubblica è la porzione della chiave che è messa a disposizione degli altri utenti. Se si effettua l’upload della chiave pubblica in un “public key ring” o se si invia ad un altro utente, quella è la chiave che sarà usata per validare la firma. Una lista di persone che ha firmato la nostra lista a chiave pubblica sono incluse nella stessa. La possibilità di identificare questa lista di persone è subordinata alla ricezione delle loro chiavi pubbliche, che faranno parte del “key ring”.
    • Chiave privata: la chiave privata è quella chiave che serve per firmare il messaggio di posta elettronica. La chiave privata è protetta da password e non deve essere data a nessuno.
  • Key ring: il key ring è un raccoglitore delle chiavi pubbliche (si pensi al comune portachiavi). In pratica programmi come PGP, permettono di inserire le chiavi pubbliche ricevute direttamente o scaricate d un server. Un “public key server” contiene e mette a disposizione su internet le chiavi pubbliche di tutte quelle persone che intendono pubblicare e rendere disponibili le proprie chiavi.
  • Fingerprint: ogni firma digitale corrisponde ad una impronta digitale (che in pratica corrisponde a quella serie di numeri e lettere posti in coda al messaggio di posta elettronica), questa serve ad attestare che effettivamente il documento è stato firmato dal corrispondente.
  • Key certificate: quando si estrae dal proprio key ring, solitamente si controlla anche il certificato abbinato a quella chiave, dove possiamo visionare le informazioni circa la chiave:
    • proprietario
    • data di creazione
    • data di scadenza.
  • Web of trust: quando qualcuno firma la nostra chiave pubblica, questo conferma alle altre persone, magari che hanno delle perplessità, che la chiave effettivamente appartiene al creatore. Praticamente chi firma la chiave fa da garante. Infatti più firme si collezionano, più diventa affidabile. É sempre buona norma controllare i fingerprint dei firmatari.

Il processo di creazione, di importazione e uso delle chiavi è abbastanza diretto:

  1. Generare la coppia di chiavi usando programmi come Pretty Good Privacy, più brevemente PGP, o GNU Privacy Guard (GnuPG).
  2. Incrementate l’autenticità della nostra chiave pubblica facendola firmare dai colleghi, per esempio, che hanno anch’essi delle loro chiavi. Nel processo di autenticazione della nostra chiave pubblica, loro confermeranno che il fingerprint della chiave effettivamente appartiene al creatore.
  3. Effettuando l’upload della nostra chiave pubblica firmata su un server, permetteremo a chi riceve della posta elettronica da noi di poter controllare l’autenticità della chiave.
  4. Firmare digitalmente le nostre e-mail.

I particolari di creazione, gestione, importazione ed esportazione delle chiavi variano a seconda del programma usato.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.
Leggi tutto ...
Categoria: Sicurezza informatica

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Come rendere più sicura la nostra rete locale

Leggi tutto...
Molto si dice sulla sicurezza delle reti Wi-Fi, tuttavia questo è solamente uno dei tasselli che consentono di arrivare a proteggere efficacemente i dati memorizzati sui propri sistemi. Per ...

Allarme Coinhive per gli utenti Android

Leggi tutto...
Anche se i Bitcoin e tutte le principali criptomonete hanno perso oltre il 50% del loro valore in soli due mesi, l’attenzione degli hacker in questo settore non sembra diminuire. Nonostante le ...

Dove non arriva l’antivirus

Leggi tutto...
L'antivirus è un programma fondamentale per tutti i computer, senza il quale il sistema operativo rimarrebbe vulnerabile a malware e virus e aperto alle intrusioni esterne di hacker e pir ...

I segnali che il nostro pc è infetto da virus

Leggi tutto...
Saper riconoscere i segnali di un'infezione da malware o virus sul computer è molto importante per evitare le possibili conseguenze negative che questo può portare e per intervenir ...

Come infettare un computer via posta elettronica

Leggi tutto...
I virus sono i più antichi parassiti noti all'uomo, spesso portatori di malattie terribili e mortali. Con l'invenzione dei computer, i programmatori furono tanto spiritosi da copiare ...

Proteggere i nostri dispositivi portatili

Leggi tutto...
Molti utenti di computer, in particolare coloro che viaggiano per affari, si affidano a pc portatili e PDA perché sono piccoli e facilmente trasportabili. Ma mentre queste caratteristiche li ...

Articoli recenti

Leggi le ultima novità dal blog.

Miti e verità su Esqueleto Explosivo 2: quello che i giocatori devono sapere

Leggi tutto...
Miti e verità su Esqueleto Explosivo 2: quello che i giocatori devono sapere Esqueleto Explosivo 2, dello sviluppatore Thunderkick, cattura l'attenzione dei giocatori indipendentemente ...

Social media: come scegliere i canali giusti per promuovere la tua attività

Leggi tutto...
I social media sono uno strumento fondamentale per molte attività, ma scegliere i canali giusti è essenziale per massimizzare i risultati. Non tutti i social sono adatti a ogni tipo di ...

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...