PKI

• Che cosa è la PKI?
• Cosa si intende con confidenzialità, integrità, autenticazione e non ripudio?
• Che cosa è l'Autorità di Certificazione (Certification Authority)?
• Che cosa è la Registration Authority?
• Cosa è il manuale operativo?
• Cosa è la marcatura temporale?

PKI

Che cosa é la PKI?

Per PKI (Public-Key Infrastructure) s’intende l’infrastruttura necessaria per consentire un uso appropriato ed efficiente di una serie di funzionalità consentite dalla crittografia a chiave pubblica quali la firma digitale, l’autenticazione, la cifratura/decifratura e la marcatura temporale dei documenti. In generale, le PKI sono un insieme di servizi di sicurezza che permettono l’utilizzo della crittografia a chiave pubblica e dei certificati, documenti che attestano il legame tra un soggetto e la sua chiave pubblica, nelle comunicazioni di rete. Le entità coinvolte in una PKI sono i soggetti stessi dei certificati e la Certification Authority, autorità che crea i certificati e attesta la loro veridicità. I soggetti dei certificati possono essere non solo persone ma anche entità legali, compagnie, sistemi e applicazioni software che necessitino di chiavi pubbliche certificate
Quindi lo scopo di un’infrastruttura a chiave pubblica è fornire una piattaforma affidabile per la gestione, da parte di una Autorità di Certificazione, dei servizi di firma digitale e di crittografia.
Grazie alla PKI è possibile realizzare :

• La Confidenzialità
• L’integrità
• L’autenticazione
• Il non ripudio

Cosa si intende con confidenzialità, integrità, autenticazione e non ripudio?

La confidenzialità è la garanzia che il messaggio può essere compreso solo dal suo destinatario.

L’integrità è la prevenzione della alterazione o manipolazione indebita delle informazioni. Garantire l'integrità significa quindi eliminare il rischio di cancellazioni o modifiche dei dati da parte di soggetti non autorizzati.

L’autenticazione consiste nella verifica dell'identità di una persona o di un’altra entità.

Il non ripudio serve per fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete. Assume due modalità:
Non ripudio dell'origine : prova chi è il mittente di una spedizione.
Non ripudio della destinazione : prova che la spedizione è arrivata ad uno specifico destinatario.
Generalmente il servizio di non ripudio è richiesto laddove bisogna avere garanzie di avvenuta spedizione/ricezione di flussi telematici.

Che cosa è l'Autorità di Certificazione (Certification Authority)?

Una Certification Authority è un ente pubblico o privato che emette certificati che attestano il legame tra utente e la propria chiave pubblica.
Infatti l’obiettivo della CA è quello di certificare la validità delle chiavi pubbliche. Ciò significa che la CA autentica la coppia (utente, chiave pubblica) in modo inequivocabile. In fondo, la CA svolge lo stesso ruolo dell’anagrafe quando quest’ultima rilascia le carte di identità per autenticare la coppia (dati anagrafici dell’utente, foto). Per svolgere correttamente il suo ruolo, la CA mantiene un archivio di chiavi pubbliche che risulta sicuro ed accessibile a tutti, ed inoltre protetto da attacchi in scrittura non autorizzati.
La CA svolge i seguenti compiti fondamentali:

• Accettare le richieste di certificati
• Verificare identità dei richiedenti
• Emettere il certificato
• Pubblicare i certificati emessi, revocati
• Revocare i certificati

Che cosa è l'Registration Authority?

La Registration Authority è una identità responsabile dell’identificazione e autenticazione dei proprietari dei certificati. In presenza di una RA (autorità non obbligatoria) la CA provvede alla firma e all’emissione dei certificati.

Cosa è il manuale operativo?

Il manuale operativo definisce le procedure applicate dal certificatore nello svolgimento della propria attività. Il manuale operativo deve essere depositato presso l'Autorità per l'informatica nella Pubblica Amministrazione e pubblicato a cura del certificatore in modo da essere consultabile per via telematica.

Cosa è la marcatura temporale?

Qualora sia necessario attribuire ad un documento certezza circa il momento in cui è stato redatto ed è divenuto valido, si ricorre alla marcatura temporale. L’operazione, avviene secondo la seguente procedura:

• L’impronta del documento viene inviata al servizio di marcatura temporale (normalmente una CA), l’impronta costituisce un riferimento certo al testo originale ma non ne consente la ricostruzione

• Il servizio di marcatura aggiunge all’impronta ricevuta la data e l’ora , ottenendo l’impronta marcata

• L’impronta marcata viene cifrata con la chiave privata del servizio ottenendo la marca temporale da cui è possibile recuperare mediante la chiave pubblica del servizio l’impronta del documento e la data e l’ora della sua generazione

• La marca temporale viene inviata al richiedente il quale la allega al documento