Open  |  www.telecomitalia.it    
| Contatti |  
   
     Home
   MENU
Legislazione
Elementi distintivi
Prodotti e servizi
Contatti
I Certificatori
F.A.Q.
Manuale Operativo
Trattamento dati personali
Servizi ON-LINE
10 Regole d'oro
Posta Elettronica Certificata
Socio AssoCertificatori
   NORMATIVA
 




Legislazione

Panorama giuridico sulla Firma Digitale

La normativa italiana in materia di firma digitale, grazie al notevole impulso dato dal legislatore negli ultimi anni, presenta oggi un buon livello di completezza ed organizzazione.

La firma digitale basata sulla crittografia a chiave pubblica si è ormai affermata come principale strumento in grado di assicurare l'integrità e la provenienza dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa.

La firma digitale è quindi lo strumento ideale per creare il cosiddetto documento informatico, documento valido e rilevante dal punto di vista legale esattamente come i corrispondenti documenti cartacei. Questo risultato è stato possibile attraverso una serie di atti normativi che hanno visto il documento informatico assurgere a dignità di atto giuridico a tutti gli effetti di legge.

Il primo tassello di questo quadro normativo è rappresentato dall’Art. 15 della legge n. 59 del 15 marzo 1997 in materia di riforma e semplificazione amministrativa nella Pubblica Amministrazione. Questa legge, meglio nota come "Legge Bassanini", va inquadrata nell’ambito di una generale ristrutturazione della Pubblica Amministrazione per la quale svolge un ruolo fondamentale l'AIPA (Autorità per l’Informatica nella Pubblica Amministrazione), autorità indipendente istituita nel 1993 al fine di predisporre le norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche.

Nell’articolo citato viene sancito che "gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge". Si tratta di un’innovazione di portata eccezionale che introduce nel nostro ordinamento nuove forme di negozio (validità dei contratti stipulati per via telematica, trasmissione ed archivio di documenti in formato elettronico, firma digitale con piena validità legale).



I criteri e le modalità di applicazione del principio suddetto sono stati poi emanati attraverso il regolamento contenuto nel DPR 10 novembre 1997, n. 513. Tale regolamento ha stabilito quali sono gli scenari di riferimento giuridici, tecnologici ed organizzativi per ottenere quanto necessario ad un efficace utilizzo del documento informatico e della firma digitale. In particolare viene stabilito che il documento informatico soddisfa gli stessi requisiti dei documenti in formato scritto e viene sancito il principio che il documento informatico ha piena efficacia probatoria. I criteri di tale regolamento hanno portata molto ampia e sono validi sia nel settore pubblico che privato.

Un ulteriore provvedimento legislativo, il DPCM 8 febbraio 1999 recante :"Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici" ha regolato gli aspetti tecnici ed organizzativi di chi usufruisce ed opera con i documenti informatici e la firma digitale. In particolare vengono descritti gli algoritmi, le caratteristiche tecniche, gli standard in materia di generazione, conservazione e formato delle firme e dei certificati.

Con l’emanazione delle regole tecniche, l’Italia si è collocata al primo posto fra i Paesi dell’Unione Europea che hanno adottato nell’ordinamento giuridico interno il principio del pieno valore giuridico della firma digitale. Il fine ultimo di questo complesso sistema normativo è quello di rendere più efficace e meno costosa l’azione amministrativa, sia pubblica che privata, attraverso un impiego su vasta scala delle tecnologie dell’informazione.

Infine la pubblicazione della Circolare AIPA 26 luglio 1999, n.22 per l’iscrizione all’elenco pubblico dei certificatori costituisce il tassello conclusivo del processo legislativo descritto e che permette di rendere operativa la firma digitale. Tale circolare detta le norme per la formazione dell’Elenco Pubblico dei Certificatori, elenco tenuto dall’Autorità ed in cui vengono inserite, previa azione di verifica del soddisfacimento di opportuni requisiti, le società interessate ad esercitare l’attività di certificazione delle chiavi.

Il Certificatore a norma AIPA svolge l’attività di certificazione e può essere sia un soggetto pubblico che privato. In particolare deve poter garantire il rilascio del certificato digitale contenente la chiave pubblica, deve curare la pubblicazione dei certificati emessi e deve aggiornare appositi elenchi contenenti i certificati sospesi e revocati.

All’interno del quadro normativo descritto è quindi una concreta realtà per i privati, le imprese e le Pubbliche Amministrazioni poter scambiare documenti elettronici con la stessa validità dei corrispondenti documenti cartacei. L'uso legale della firma digitale consente enormi benefici sia per il settore pubblico che per il settore privato, migliorando i processi della Pubblica Amministrazione attraverso la razionalizzazione e l’accelerazione dei provvedimenti amministrativi, fornendo nel contempo la base tecnologica e la normativa adeguata alle imprese private per un significativo impatto sull’efficacia operativa e sui livelli dei servizio offerti.

top

Normativa Italiana

top

Normativa Europea

top

Organismi e Standard PKI

Gli standard, siano essi formali o de facto, sono un prerequisito essenziale per l’interoperabilità di prodotti e sistemi implementati da soggetti diversi. Questa necessità risulta ancora più stringente per il buon funzionamento di insfrastrutture complesse come una Certification Authority o una PKI. Sono presenti a livello internazionale numerosi standard e proposte (Internet Drafts) che definiscono i diversi aspetti funzionali di una PKI, anche in stretta relazione con i certificati nel formato X.509.

Ecco una breve panoramica sugli standard e sui draft più importanti in relazione ad una PKI.

  • Raccomandazioni ITU-T
  • Internet RFC
  • Internet Draft
  • PKCS


Raccomandazioni ITU-T

Gli standard seguenti sono conosciuti come serie X dell’Unione Internazionale delle Telecomunicazioni – Telecomunicazioni (ITU-T), in passato conosciuta come CCITT. L’obiettivo della serie X è la standardizzazione delle reti e degli Open System Communication. La serie di raccomandazioni X.500 definisce i servizi di directory mentre lo standard X.509, la cui prima versione risale al 1988 e l’ultima versione al 1996, definisce in maniera specifica l’insfrastruttura di autenticazione utilizzata per l’accesso ai directory service. Il formato del certificato digitale viene descritto all’interno di X.509 e ne rappresenta soltanto una piccola parte. Le seguenti serie X rappresentano degli standard in qualche modo correlati alle PKI:



  • X.208 Specification of Abstract Syntax Notation 1 (ASN.1)
    ASN.1 è un linguaggio astratto usato per descrivere strutture dati in una macchina in modo indipendente dal tipo di implementazione. La struttura dati del certificato X.509, per esempio, è definita usando ASN.1.

  • X.209 Specification of Basic Encoding Rules for Abstract Syntax Notation 1 (ASN.1)
    X.209 descrive come codificare strutture dati formattati in ASN.1 in un formato binario, detto basic encoding rules (BER). Il distinguished encoding rules (DER) è un sottoinsieme del BER. DER è molto utilizzato nell’elaborazione dei certificati in formato X.509.

  • X.500 Information Technology – Open System Interconnection – The Directory: overview of concepts, models and services.
    Questa raccomandazione definisce in dettaglio i servizi di directory.

  • X.509 Information Technology – Open System Interconnection – The Directory: authentication framework.
    X.509 definisce i meccanismi di autenticazione per i directory X.500. Una parte di X.509 definisce i certificati digitali che hanno un ruolo importante in tutte le infrastrutture di PKI.




Internet RFC

Gli Internet Request for Comments (RFC) rappresentano degli standard, sia formali che di fatto, definiti dalla Internet Engineering Task Force (IETF). All’interno dell’IETF esiste il gruppo di lavoro PKIX che ha lavorato per l’implementazione di PKI basate su internet e sui certificati digitali definiti in X.509, emettendo diversi RFC ormai largamente accettati come standard. I seguenti RFC sono legati agli standard PKIX:

  • RFC 2459: "Certificate and CRL Profile"
  • RFC 2510: "Certificate Management Protocols"
  • RFC 2511: "Certificate Request Message Format"
  • RFC 2527: "Certificate Policy and Certification Practices Framework"
  • RFC 2528: "Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 PKI Certificates"
  • RFC 2559: "Operational Protocols - LDAPv2"
  • RFC 2560: "Online Certificate Status Protocol - OCSP"
  • RFC 2585: "Operational Protocols - FTP and HTTP"
  • RFC 2587: "LDAPv2 Schema"

Ogni RFC è associato ad uno stato; questo può essere solo storico o informativo, mentre altri possono essere standard reali. Per trovare informazioni dettagliate sullo stato di un RFC o per consultarlo, il sito Web IETF è un’ottima fonte:

http://www.ietf.org/







Internet Drafts

La standardizzazione di infrastrutture PKI è un discorso ancora completamente aperto. Ed è per questo motivo che diversi lavori sono disponibili solo come Internet Drafts, piuttosto che come RFC. Ci sono alcuni Internet Drafts comunque strettamente correlati con le PKI ed i seguenti sono i più significativi:

  • Internet X.509 Public Key Infrastructure PKIX Roadmap
  • Representation of Elliptic Curve Digital Signature Algorithm (ECDSA) Keys and Signatures in Internet X.509 Public Key Infrastructure Certificates
  • Certificate Management Messages over CMS
  • Time Stamp Protocol
  • Data Certification Server Protocol
  • Internet X.509 Public Key Infrastructure Qualified Certificates Profile
  • Diffie-Hellman Proof-of-Possession Algorithms
  • An Internet Attribute Certificate Porofile for Authorization
  • Basic Event Representation Token
  • Extending Trust in Non-repudiation Tokens in Time
  • Internet X.509 Public Key Infrastructure Operational Protocols – LDAPv3:
  • Simple Certificate Validation Protocol (SCVP)
  • Using HTTP as a Transport Protocol for CMP



PKCS

I PKCS (Public-Key Cryptography Standards) sono un insieme di standard definito da RSA dal 1991. Sebbene siano degli standard informali, oggi sono ampiamente accettati dalla comunità internazionale, soprattutto per la larga diffusione dell’algoritmo a chiave pubblica RSA. Alcuni PKCS sono stati anche pubblicati come RFC. Attualmente, i PKCS presenti e più conosciuti sono:

  • PKCS #1: RSA Encryption Standard.
  • PKCS #3: Diffie-Hellman Key-Agreement Standard.
  • PKCS #5: Password-Based Encryption Standard.
  • PKCS #6: Extended-Certificate Syntax Standard.
  • PKCS #7: Cryptographic Message Syntax Standard.
  • PKCS #8: Private-Key Information Syntax Standard.
  • PKCS #9: Selected Attribute Types.
  • PKCS #10: Certification Request Syntax Standard.
  • PKCS #11: Cryptographic Token Interface Standard.
  • PKCS #12: Personal Information Exchange Syntax Standard.
  • PKCS #13: Elliptic Curve Cryptography Standard.
  • PKCS #15: Cryptographic Token Information Format Standard.

Informazioni sui PKCS RSA possono essere reperite all’indirizzo:

http://www.rsa.com/



top