Categoria: Sicurezza | Venerdì 30 Agosto 2019,

Le firme digitali sono diventate fonte di confusione. I concetti in gioco non sono ciò che confonde tanto quanto il modo in cui le firme digitali sono descritte, commercializzate e regolamentate. Ciò è dovuto al fatto che le firme digitali sono così strettamente legate alle firme elettroniche e, come al solito, nessuno può essere d'accordo sulla nomenclatura. E naturalmente c'è il mosaico di leggi internazionali che può rendere le cose ancora più torbide. E tutto questo si somma a molte organizzazioni - quelle che non sono legalmente obbligate - che decidono che non ne vale la pena e che la evitano del tutto. Questo è un errore. Mentre le firme elettroniche e digitali sono state tradizionalmente viste soprattutto come uno strumento contrattuale in grado di fornire un consenso adeguato senza che le due parti si incontrino fisicamente - le firme digitali sono in grado di fare molto di più. Possono affermare la propria identità e verificare l'integrità di un file o di un programma. E nel 2019, questo non è mai stato così importante. Così, oggi cercheremo di chiarire un po' le cose. Parleremo delle Firme Elettroniche e Digitali, di cosa fanno e perché dovrebbero essere utilizzate per molto più di un semplice contratto. Facciamola finita.

Dove si parla di Firma Digitale?

Gli Stati Uniti hanno approvato l'Electronic Signatures in Global and National Commerce (ESIGN) Act nel 2000, e da allora l'hanno modificata. Ha reso legali le firme elettroniche e digitali in quasi tutti i contesti. Nel 2016 l'UE ha emanato il regolamento eIDAS (Electronic Identity and Trust Services), che fornisce un quadro di riferimento per le firme elettroniche e digitali. Il problema di entrambi - almeno dal punto di vista della firma digitale (ci sono anche molti problemi di firma non digitale) - è che non menzionano mai esplicitamente le firme digitali per nome. Piuttosto, si è lasciati liberi di estrapolare. E storicamente questo è andato male. Non che questo tipo di cose siano rare. Molte di queste leggi e regolamenti sono scritti per essere tecnologicamente, e a volte anche come soluzioni, in modo che possano rimanere rilevanti più a lungo. [Inserire l'affermazione del boilerplate sulla tecnologia e la sicurezza informatica in rapida evoluzione]. Ma questo porta ad alcune situazioni piuttosto confuse - come il GDPR che dice ai siti web di usare HTTPS, ma senza mai menzionarlo esplicitamente, o SSL/TLS, o uno qualsiasi dei meccanismi effettivi usati nel mondo reale per criptare i dati in transito. In questo caso, il risultato è che molte persone non hanno idea di quale sia la differenza tra una Firma Elettronica (a volte chiamata Firma Elettronica) e una Firma Digitale. I due elementi sono spesso utilizzati in modo intercambiabile. E il valore aggiunto fornito dalla Firma Digitale si perde nella riproduzione casuale. 

Le firme elettroniche e le firme digitali sono la stessa cosa? Sì e no. 

Una firma digitale è un tipo di firma elettronica, ma non tutte le firme elettroniche sono una firma digitale. In altre parole, le firme digitali sono un sottoinsieme di firme elettroniche Che cos'è una firma elettronica? Una firma elettronica, in senso convenzionale, si riferisce a qualsiasi processo elettronico che indica l'accettazione legale di un accordo/registrazione. Una firma elettronica è composta da due componenti: Metodo di autenticazione dell'identità Processo sicuro con un Audit Trail Con "Processo sicuro con un Audit Trail", intendiamo un metodo per dimostrare che la prova che il file o il documento è stato firmato in modo sicuro e può essere contabilizzato attraverso ogni fase del processo. Esistono diversi meccanismi per l'autenticazione dell'identità. Una firma elettronica standard utilizza solo l'autenticazione a fattore singolo. Verifica l'identità utilizzando elementi quali indirizzi e-mail, social media ID, password, PIN del telefono - metodi di autenticazione non esattamente all'avanguardia. Né del tutto affidabile. Le firme elettroniche avanzate, definite da eIDAS, utilizzano l'autenticazione multifattoriale, che aumenta la sicurezza. Questo ci porta a..... Cos'è una firma digitale? Ok, ricordate come abbiamo appena detto che una Firma Elettronica richiede sia un metodo di autenticazione che un processo sicuro con un audit trail? Beh, una Firma Digitale è un tipo di Firma Elettronica che utilizza certificati digitali e PKI per l'autenticazione e la crittografia/guida per la sicurezza e la sua traccia di controllo. Le Firme Digitali sono Firme Elettroniche Avanzate (e in alcuni casi Firme Elettroniche Qualificate - arriveremo al prossimo). eIDAS definisce le Firme Elettroniche Avanzate come tali: Unicamente legato al firmatario Capace di identificare il firmatario Facilmente utilizzabile con un alto livello di fiducia da parte del firmatario Collegato ai dati firmati in modo tale che qualsiasi modifica a tali dati sia rilevabile Per essere chiari, mentre eIDAS è stato scritto per essere tecnologicamente neutrale, questo si riferisce principalmente alle firme elettroniche che utilizzano la Crittografia a chiave pubblica - Firme Digitali. Cos'è una firma elettronica qualificata? Questo è uno specifico tipo di firma digitale, il più legalmente riconoscibile in termini eIDAS. eIDAS suddivide le firme elettroniche in tre categorie: Firme elettroniche di base Firme elettroniche avanzate Firme elettroniche qualificate Le ultime due categorie, Firme elettroniche avanzate e Firme elettroniche qualificate, sono entrambe firme digitali che richiedono una CA per rilasciare un certificato di firma digitale. Andremo nello specifico un po' più tardi, ma una Firma Digitale Qualificata è fondamentalmente una Firma Digitale a Validazione Estesa. Il CA deve eseguire un controllo approfondito del firmatario e la chiave di firma deve essere fisicamente memorizzata su un dispositivo qualificato come un token hardware fisico, una scheda dati o un HSM basato su cloud. Le firme digitali qualificate sono considerate alla pari delle firme fisiche e possono essere utilizzate per tutte le imprese dell'UE.

Diversi tipi di firma digitale

Stiamo discutendo le firme digitali nel contesto della firma dei documenti in questo articolo. Ma, le firme digitali possono essere utilizzate in diversi contesti. Sarebbe giusto sostenere che la Firma Digitale è la spina dorsale della PKI. Le firme digitali possono essere apposte su di esse: Documenti e file software di posta elettronica E sono usati per autenticare i certificati PKI digitali X.509 - certificati SSL/TLS, certificati S/MIME, codici e certificati di firma dei documenti. Le firme digitali fanno molto di più che autenticare l'identità del firmatario e proteggere i file dalla manomissione. Possono autenticare server e applicazioni web, sono usati per proteggere i sistemi di posta elettronica aziendali, ci sono moltissimi modi per usarli. Anche in questo caso, oggi ci stiamo concentrando sulla firma dei documenti, ma le firme digitali giocano un ruolo importante in tutto il panorama digitale.

Classi di Firme Digitali

Per evitare qualsiasi confusione, questo non si riferisce agli standard eIDAS per le firme elettroniche. Questo riguarda in realtà le tre classi di certificati di firma digitale e le firme digitali che essi producono. O, per dirla in un altro modo, questa è fondamentalmente la versione per la firma dei documenti dei livelli di convalida dei certificati SSL/TLS. Ogni Autorità di Certificazione usa la propria, ma i requisiti sono gli stessi in tutti i settori.

Firme Digitali di Classe Uno

Queste sono l'equivalente di un certificato DV SSL. Sono il tipo più semplice di certificato di firma del documento per acquisire e affermare il minor numero di identità. Sono convalidati semplicemente utilizzando un indirizzo e-mail e un nome utente. Di conseguenza, le firme digitali Class One non possono essere utilizzate per documenti commerciali legali e sono consigliate solo per l'uso in ambienti a basso rischio.

Firme digitali di classe due

La convalida organizzativa (OV) del mondo dei certificati di firma del documento, i certificati di firma digitale di classe due autenticano l'identità del firmatario rispetto a un database pre-verificato. Questo è un bene per gli ambienti con rischio moderato e può essere utilizzato per l'e-filing di documenti fiscali.

Classe Tre Firme Digitali

Fondamentalmente la convalida estesa dei certificati di firma digitale. Per creare Firme Digitali di Classe Tre, l'individuo o l'organizzazione deve presentarsi di fronte alla CA emittente per dimostrare la propria identità. Le Firme Digitali di Classe Tre sono buone praticamente ovunque. Soddisfano un elevato onere legale e sono consigliate per le Imprese e per qualsiasi ambiente ad alto rischio.

Chi usa le firme digitali?

Le Firme Digitali sono ampiamente utilizzate nel settore commerciale, nel governo - quasi ogni industria ha un uso per le firme digitali, anche se il loro uso non è stato ancora ampiamente adottato. Ecco alcuni esempi:

• Industria finanziaria - I settori finanziari di tutto il mondo utilizzano le firme digitali per una litania di articoli di business diversi. Negli Stati Uniti, le firme digitali possono essere utilizzate per contratti, online banking, prestiti, assicurazioni - tutti regolati dal suddetto ESIGN Act del 2000.


• Governo - Miriadi di agenzie governative americane firmano digitalmente tutte le loro pubblicazioni, dai bilanci alle linee guida legali alle leggi del Congresso. Ma gli Stati Uniti sono ben lungi dall'essere i soli in questa pratica, i paesi dell'UE che aderiscono a eIDAS fanno ampio uso delle firme digitali.


• Sanità - L'industria sanitaria è uno dei maggiori utilizzatori di certificati digitali, a causa del fatto che la maggior parte delle cartelle cliniche sono online e c'è un grande bisogno di affermare l'identità e l'autenticità in un contesto medico. L'uso della firma digitale è regolato da HIPAA e ESIGN negli Stati Uniti, eIDAS e GDPR in Europa, e da altre leggi nazionali in altre località.


• Produzione - L'industria manifatturiera ha un'ampia gamma di utilizzi della firma digitale. Si tratta di un enorme strumento per accelerare i processi come la progettazione del prodotto, il QA, il marketing e le vendite. E naturalmente, come abbiamo accennato, le firme digitali sono parte integrante della sicurezza informatica, delle reti e della maggior parte delle altre industrie adiacenti a Internet.

Come faccio a firmare digitalmente i documenti?

La prima cosa da fare prima di firmare digitalmente è acquisire un certificato di firma digitale. Come abbiamo appena discusso, ci sono tre diverse classi. Purtroppo, non ci sono certificati di firma gratuita dei documenti da avere. Questo è un po' diverso da SSL/TLS, l'identità della parte affidataria deve essere convalidata. Questo è il punto centrale delle Firme Digitali. E la convalida non è economica. Quindi, è necessario investire un po' di soldi. Francamente, c'è una gamma di prezzi che dipende da una serie di fattori determinati dal proprio caso d'uso. Alcuni certificati di Classe Uno costano fino a $13. Altre classi possono essere a centinaia. Dipende davvero da cosa vuoi usarlo per la firma elettronica pdf e per quale classe hai bisogno.