Che cos'è una firma digitale?
Abilitate dalla comprovata tecnologia dell’infrastruttura a chiave pubblica (PKI), le firme digitali sono ampiamente riconosciute come miglior pratica per la verifica digitale delle transazioni elettroniche.
Le firme digitali forniscono “non ripudio”, ovvero la capacità di identificare l’autore e se il documento è stato modificato in seguito alla quando è stata apposta la firma digitale.
Questa funzionalità è particolarmente utile per i processi di flusso di lavoro in cui sono necessarie una o più approvazioni, come la gestione della catena di approvvigionamento o la gestione finanziaria di moduli come le note spese. Le firme digitali forniscono fiducia a clienti, cittadini e consumatori che il materiale proviene effettivamente dall'organizzazione di origine.
A seconda dei requisiti dell’organizzazione, Entrust può essere d’aiuto con una varietà di soluzioni per l'implementazione delle firme digitali. Certificati Entrust per Adobe CDS abilita la firma di certificati di firma documenti Entrust, mentre i certificati digitali di Entrust Managed PKI Services sono in grado di firmare una varietà di formati e comprendono funzionalità di autenticazione e crittografia. Entrust offre anche la consegna sicura di e-statement tramite il portfolio di prodotti Entelligence.
Conosciamo tutti le firme cartacee: una firma scritta a mano su un documento di carta. A parte le questioni legali e contrattuali, le proprietà principali di una firma cartacea sono:
- è intesa per essere associata a una persona in particolare;
- generalmente mostra un impegno relativo a un particolare documento, con un significato esatto a seconda del contesto.
Sebbene lungi dall’essere perfette, le firme cartacee svolgono sorprendentemente bene, in molte parti del mondo, il ruolo di base di transazioni commerciali e legali. Le società hanno imparato a utilizzare le firme cartacee in circostanze in cui una marcatura fisica su un documento cartaceo, coadiuvata da controlli e contesto sufficienti, fornisce prove richiamabili sufficienti di un impegno relativo a tale documento da parte della parte che appone la marcatura. Le prove sono importanti per ricostruire le circostanze, nel raro caso di controversie successive.
Come funzionano le firme digitali?
Una firma digitale è il termine utilizzato per contrassegnare o firmare un documento elettronico, mediante un processo inteso per essere analogo alle firme cartacee, ma che fa uso di una tecnologia nota come crittografia a chiave pubblica. Per le firme nel mondo elettronico sono richieste ulteriori proprietà di sicurezza. Questo perché, per le transazioni elettroniche senza incontri faccia a faccia e in presenza di modifiche potenzialmente non rilevabili sui documenti elettronici, la probabilità di controversie aumenta notevolmente. Le firme digitali affrontano entrambi questi problemi e offrono una sicurezza molto più intrinseca rispetto alle firme cartacee. Rispetto a tutte le altre forme di firma, le firme digitali sono di gran lunga le più facilmente verificabili e le più affidabili per quanto riguarda l'integrità del documento.
Qual è la differenza tra firme cartacee e firme digitali?
Proprietà
Firme cartacee
Firme digitali
È possibile pensare a una firma digitale come a un valore numerico, rappresentato come una sequenza di caratteri e calcolato utilizzando una formula matematica. La formula dipende da due input: la sequenza di caratteri che rappresentano i dati elettronici da firmare e un numero segreto denominato chiave privata della firma, associato alla parte firmataria e a cui solo tale parte ha accesso. (Una chiave pubblica corrispondente, che può essere pubblicata per essere visualizzata da tutti come un numero di telefono in una rubrica telefonica, consente la verifica della firma.) Il valore calcolato risultante, che rappresenta la firma digitale, viene quindi allegato ai dati elettronici proprio come una firma cartacea diventa parte di un documento cartaceo.
Questo ha due risultati fondamentali:
- La firma digitale può essere associata in modo univoco all'esatto documento firmato, poiché il primo input è la precisa sequenza di caratteri che rappresentano quei dati.
- La firma può essere associata in modo univoco alla persona che firma, perché il secondo input è la chiave privata che solo quella persona controlla.
Anche la verifica dell'autenticità di una firma digitale si basa su una formula. Qui la formula dipende da tre input: la sequenza di caratteri che rappresentano i dati elettronici presumibilmente firmati in origine, la chiave pubblica della parte firmataria e il valore che rappresenta la firma digitale presumibilmente autentica. La formula produce come output una semplice risposta: si o no. “Sì” significa che la firma digitale è effettivamente una firma digitale autentica sui dati elettronici presentati e associata alla parte collegata alla chiave pubblica utilizzata.
Come viene creata una firma digitale?
- Ottenere l’intero contesto della transazione o del documento elettronico e precisamente qual è l’impegno del firmatario;
- garantire che i dati che l’utente visualizza riflettano accuratamente i dati da firmare digitalmente;
- richiedere all’utente di segnalare di aver compreso l’impegno assunto e la volontà di vincolarsi a questo;
- autenticare l'utente in modo che la chiave privata dell'utente diventi disponibile per il dispositivo di firma;
- elaborare la firma in base alla chiave privata del firmatario e ai dati firmati;
- un server di timestamp che aggiunge facoltativamente un campo ora-data ai dati e alla firma del firmatario e quindi alla firma; e
- inoltrare la transazione firmata per l'elaborazione, l'archiviazione o la successiva verifica.