Che cosa sono la firma digitale, i certificati e la marcatura temporale?

Per associare le chiavi pubbliche con il loro utente associato (proprietario della chiave privata), le infrastrutture a chiave pubblica (PKI) utilizzano certificati digitali. I certificati digitali sono le credenziali che permettono di verificare le identità degli utenti coinvolti in una transazione. Proprio come il passaporto identifica una persona come cittadino di un determinato Paese, lo scopo del certificato digitale è quello di stabilire l'identità degli utenti all'interno dell'ecosistema. Siccome tali certificati vengono impiegati per identificare gli utenti a cui vengono inviati i dati crittografati, o per verificare l'identità del firmatario delle informazioni, è indispensabile proteggerne l'autenticità e l'integrità al fine di mantenere l'affidabilità del sistema.

Un'autorità di certificazione (Certificate Authority, CA) rappresenta la componente principale di un'infrastruttura a chiave pubblica (PKI) responsabile della creazione di una catena gerarchica di fiducia. Le CA rilasciano le credenziali digitali utilizzate per certificare l'identità degli utenti. Le CA sono alla base della sicurezza di una PKI e dei servizi che supporta e quindi possono essere al centro di sofisticati attacchi mirati. Al fine di mitigare il rischio di attacchi contro le Autorità di certificazione, sono diventati necessari controlli fisici e logici nonché meccanismi di potenziamento, come moduli di sicurezza hardware (HSM) per garantire l'integrità di una PKI.

Nella crittografia a chiave pubblica, la firma del codice è un uso specifico delle firme digitali basate su certificato che consente a un'organizzazione di verificare l'identità dell'editore del software e certificare che il software non è stato modificato dal momento della sua pubblicazione.

Le firme digitali forniscono un processo crittografico collaudato agli editori di software e ai team di sviluppo interni per proteggere i propri utenti finali dai pericoli della sicurezza informatica, incluse le minacce persistenti avanzate (APT), come Duqu 2.0. Le firme digitali garantiscono l'integrità e l'autenticità del software. Le firme digitali consentono agli utenti finali di verificare le identità dell'editore convalidando contemporaneamente che il pacchetto di installazione non è stato modificato dal momento della firma. Tutti i sistemi operativi moderni cercano e convalidano le firme digitali durante l'installazione e gli avvisi relativi al codice non firmato possono determinare l'abbandono dell'installazione da parte degli utenti finali.

Che cos'è la marcatura temporale?

La marcatura temporale è un complemento sempre più prezioso per le pratiche di firma digitale, consentendo alle organizzazioni di registrare quando è stato firmato un elemento digitale, come un messaggio, un documento, una transazione o una parte di software. Per alcune applicazioni, le tempistiche di firma digitale sono fondamentali, come nel caso di transazioni azionarie, emissione di biglietti della lotteria e di alcuni procedimenti legali. Anche quando la tempistica non è intrinseca all'applicazione, la marcatura temporale è utile per la tenuta dei registri e i processi di controllo, poiché fornisce un meccanismo per dimostrare se il certificato digitale era valido nel momento in cui è stato utilizzato. La crescente importanza delle soluzioni di firma digitale ha creato una domanda corrispondente di marcatura temporale, quindi molti programmi software, ad esempio Microsoft Office, supportano funzionalità di marcatura temporale.

L'importanza della sicurezza

Se la marcatura temporale deve aggiungere valore reale, deve essere sicura.

Rischi associati a una marcatura temporale non sicura

• L'incapacità di fidarsi dei processi elettronici può comportare costosa documentazione cartacea per eseguire il backup di documenti elettronici.
• Manipolando l'orologio di un computer, un utente malintenzionato può facilmente compromettere un processo di marcatura temporale basato su software, invalidando così il processo di firma generale.
• I processi di marcatura temporale di firma digitale non sicuri possono esporre le organizzazioni a problemi di conformità e a sfide legali.
• Anche dopo la revoca di certificati e chiavi di firma privata, gli utenti possono comunque accedervi. Senza marcatura temporale, le organizzazioni non possono dimostrare se le firme sono state create prima o dopo la revoca di un certificato.

Ulteriori informazioni sulla marcatura temporale dei certificati di firma del codice.