Firma, certificati e marcatura

 

Che cos'è un certificato digitale?

Per associare le chiavi pubbliche con il loro utente associato (proprietario della chiave privata), le infrastrutture a chiave pubblica (PKI) utilizzano certificati digitali. I certificati digitali sono le credenziali che permettono di verificare le identità degli utenti coinvolti in una transazione. Proprio come il passaporto identifica una persona come cittadino di un determinato Paese, lo scopo del certificato digitale è quello di stabilire l'identità degli utenti all'interno dell'ecosistema. Siccome tali certificati vengono impiegati per identificare gli utenti a cui vengono inviati i dati crittografati, o per verificare l'identità del firmatario delle informazioni, è indispensabile proteggerne l'autenticità e l'integrità al fine di mantenere l'affidabilità del sistema.

 

Che cos'è un'Autorità di certificazione?

Un'autorità di certificazione (Certificate Authority, CA) rappresenta la componente principale di un'infrastruttura a chiave pubblica(PKI) responsabile della creazione di una catena gerarchica di fiducia. Le CA rilasciano le credenziali digitali utilizzate per certificare l'identità degli utenti. Le CA sono alla base della sicurezza di una PKI e dei servizi che supporta e quindi possono essere al centro di sofisticati attacchi mirati. Al fine di mitigare il rischio di attacchi contro le Autorità di certificazione, sono diventati necessari controlli fisici e logici nonché meccanismi di potenziamento, come moduli di sicurezza hardware (HSM) per garantire l'integrità di una PKI.

 

Che cos'è la firma del codice?

Nella crittografia a chiave pubblica, la firma del codice è un uso specifico delle firme digitali basate su certificato che consente a un'organizzazione di verificare l'identità dell'editore del software e certificare che il software non è stato modificato dal momento della sua pubblicazione.

Le firme digitali forniscono un processo crittografico collaudato agli editori di software e ai team di sviluppo interni per proteggere i propri utenti finali dai pericoli della sicurezza informatica, incluse le minacce persistenti avanzate (APT), come Duqu 2.0. Le firme digitali garantiscono l'integrità e l'autenticità del software. Le firme digitali consentono agli utenti finali di verificare le identità dell'editore convalidando contemporaneamente che il pacchetto di installazione non è stato modificato dal momento della firma. Tutti i sistemi operativi moderni cercano e convalidano le firme digitali durante l'installazione e gli avvisi relativi al codice non firmato possono determinare l'abbandono dell'installazione da parte degli utenti finali.

 

Che cos'è una firma digitale?

Le firme digitali forniscono un processo crittografico collaudato agli editori di software e ai team di sviluppo interni per proteggere i propri utenti finali dai pericoli della sicurezza informatica, incluse le minacce persistenti avanzate. Le firme digitali garantiscono l'integrità e l'autenticità del software e dei documenti consentendo agli utenti finali di verificare le identità degli editori mentre convalidano che il codice o il documento non siano stati modificati dal momento della firma.

Le firme digitali vanno oltre le versioni elettroniche delle firme tradizionali impiegando tecniche crittografiche per aumentare drasticamente la sicurezza e la trasparenza, entrambe fondamentali per stabilire fiducia e validità legale. Come applicazione della crittografia a chiave pubblica, le firme digitali possono essere applicate in molti contesti diversi, da un cittadino che presenta una dichiarazione dei redditi online, a un addetto agli appalti che stipula un contratto con un fornitore, a una fattura elettronica, a uno sviluppatore di software che pubblica un codice aggiornato.

La firma digitale è altresì utile per le organizzazioni che cercano di preservare l'integrità aziendale proteggendo il copyright e agevolando la concessione di licenze. Ad esempio, un'azienda come Microsoft può utilizzare la firma per garantire che il suo software non possa essere rilasciato da una società non affiliata a Microsoft. Inoltre, è importante per garantire l'integrità della catena di fornitura e la provenienza dei componenti. Se accoppiata con un'infrastruttura a chiave pubblica (PKI), diventa un potente strumento per garantire che i componenti software non vengano manomessi o contaminati prima di essere distribuiti nei prodotti o nei sistemi.

 

Che cos'è la marcatura temporale?

La marcatura temporale è un complemento sempre più prezioso per le pratiche di firma digitale, consentendo alle organizzazioni di registrare quando è stato firmato un elemento digitale, come un messaggio, un documento, una transazione o una parte di software. Per alcune applicazioni, le tempistiche di firma digitale sono fondamentali, come nel caso di transazioni azionarie, emissione di biglietti della lotteria e di alcuni procedimenti legali. Anche quando la tempistica non è intrinseca all'applicazione, la marcatura temporale è utile per la tenuta dei registri e i processi di controllo, poiché fornisce un meccanismo per dimostrare se il certificato digitale era valido nel momento in cui è stato utilizzato. La crescente importanza delle soluzioni di firma digitale ha creato una domanda corrispondente di marcatura temporale, quindi molti programmi software, come Microsoft Office, supportano funzionalità di marcatura temporale.

 

L'importanza della sicurezza

Se la marcatura temporale deve aggiungere valore reale, deve essere sicura.

 

Rischi associati a una marcatura temporale non sicura

  • L'incapacità di fidarsi dei processi elettronici può comportare costosa documentazione cartacea per eseguire il backup di documenti elettronici.
  • Manipolando l'orologio di un computer, un utente malintenzionato può facilmente compromettere un processo di marcatura temporale basato su software, invalidando così il processo di firma generale.
  • I processi di marcatura temporale di firma digitale non sicuri possono esporre le organizzazioni a problemi di conformità e a sfide legali.
  • Anche dopo la revoca di certificati e chiavi di firma privata, gli utenti possono comunque accedervi. Senza marcatura temporale, le organizzazioni non possono dimostrare se le firme sono state create prima o dopo la revoca di un certificato.