Firma Digitale

Slide 1: La firma digitale nella corrispondenza elettronica TrinacriaCamp 2007 Gianni “guelfoweb” Amato http://www.gianniamato.it

Slide 2: Cosa non è la firma digitale? NON è una firma passata sotto uno scanner.

Slide 3: Cosa è la firma digitale? E' un metodo per attestare che l’e-mail ricevuta sia stata effettivamente inviata dal mittente e che il contenuto non sia stato alterato.

Slide 4: Firma digitale “Forte” Detta anche firma elettronica avanzata, è quella regolamentata dal DPR 513/97 ed è l’unica che attribuisce al documento informatico valenza probatoria. Prevede che il certificato sia rilasciato da un’autorità di  certificazione iscritta all’albo dell’AIPA (Autorità per l'informatica nella pubblica amministrazione).

Slide 5: Firma digitale “Debole” Consente di verificare l’integrità del documento ma non del sottoscrittore. L’efficacia probatoria di tale sistema, pur non essendo negabile a priori, è a discrezione del giudice. Qualità, sicurezza, integrità e immodificabilità 

Slide 6: GnuPG - Gnu Privacy Guard E' lo strumento GNU per comunicare e immagazzinare dati in modo sicuro. Cifrare dati  Firmare documenti  è possibile creare il proprio certificato PGP/GPG in modo autonomo ed in pochissimi istanti

Slide 7: Perchè utilizzare GPG? - E’ Software Libero (GPL) - Non usa algoritmi brevettati - E’ compatibile con PGP - Aderisce allo standard OpenPGP (RFC2440) - E’ multipiattaforma: Linux/*nix, Windows, Mac - Si integra facilmente con plugin e molte applicazioni

Slide 8: Un passo indietro: la firma olografa

Slide 9: 1. Eva si impossessa del documento 2. Riproduce la firma di alice 3. Bob riceve il documento falso

Slide 10: Similitudine Cosa ha riprodotto Eva? Un documento simile all'originale  Una firma simile a quella di Alice  Bob ha motivo di sospettare?

Slide 11: Corrispondenza elettronica

Slide 12: firma digitale IL DOCUMENTO PUO' ESSERE COMPROMESSO!

Slide 13: chiave privata chiave pubblica FIRMA DIGITALE chiave privata chiave pubblica

Slide 14: chiave privata firma il messaggio

Slide 15: Di cosa ha bisogno Eva per riprodurre la firma digitale di Alice? 1. della chiave privata di Alice 2. password/pin della chiave privata di Alice

Slide 16: 1. Eva si impossessa del documento elettronico 2. Non altera la firma di Alice (spoofing) 3. Bob riceve il documento falso

Slide 17: Cosa deve fare Bob? chiave pubblica di Alice Controllare la validità della firma di Alice. SEMPRE!

Slide 18: Generare una coppia di chiavi gpg --gen-key L'utente sceglie: l'algoritmo da utilizzare  la lunghezza della chiave  il proprio ID  il periodo di validità  una password (punto debole?) 

Slide 19: Esportare le chiavi Chiave pubblica: gpg --output publickey.asc --export indirizzo@mail.com Chiave privata: gpg --output secretkey.asc --export-secret-keys Certificato di revoca: gpg --output revoca.asc --gen-revoke mia_chiave

Slide 20: Perchè un certificato di revoca? ci siamo dimenticati la password  abbiamo smarrito la chiave privata  la chiave privata è stata compromessa  abbiamo cambiato indirizzo email 

Slide 21: Firmiamo il documento “prova” questa è una prova gpg --clearsign prova

Slide 22: Documento “prova” firmato -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 questa è una prova -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFHH+Y1Txmfm2InrN8RAkv8AJ9o9xrSBZ0ILHIDwTISR3roBZ TZQQCeON3Q 9WIzZ1J25nbNiZgSwOHd9Sk= =Pg1U -----END PGP SIGNATURE-----

Slide 23: Cosa accade quando firmiamo un documento? La firma digitale si ottiene dalla combinazione tra la chiave privata e il testo 1. Viene creata “l’impronta” del testo originario mediante la propria chiave privata. Procedimento matematico (funzione hash). 2. Il testo del messaggio rimane in chiaro. 3. La firma ha lunghezza fissa. Per lo standard DSA sono previste chiavi fino a 1024 bit.

Slide 24: Verifichiamo la validità della firma nel documento “prova” gpg --verify prova Documento integro!

Slide 25: Modifichiamo una sola lettera al testo e verifichiamo la validità della firma nel documento “prova” -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 questa è una prova1 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFHH+Y1Txmfm2InrN8RAkv8AJ9o9xrSBZ0ILHIDwTISR3roBZ TZQQCeON3Q 9WIzZ1J25nbNiZgSwOHd9Sk= =Pg1U -----END PGP SIGNATURE-----

Slide 26: Verifichiamo la validità della firma nel documento “prova” gpg --verify prova Documento modificato!

Slide 27: Le chiavi pubbliche: Come ottenerle? 1. Chiedendola alla persona interessata 2. Recuperandola dai Key-Server

Slide 28: Cosa sono i Key-Server? Server dedicati al deposito e prelievo di  chiavi pubbliche Liberamente accessibili  Interconnessi tra loro 

Slide 29: Le chiavi pubbliche: Come distribuirle? Attraverso Key-Server  Includendola nel messaggio come allegato  Copiandola in un file di testo 

Slide 30: Le chiavi pubbliche: Perchè distribuirle? Per consentire al destinatario di verificare la  nostra firma Per consentire al destinatario di comunicare con  noi attraverso messaggi cifrati

Slide 31: Strumenti Open Source GnuPG command line per Linux/*nix, Windows, Mac  WinPT GUI GnuPG per Windows  Enigmail estensione GnuPG per Thunderbird  FireGPG estensione GnuPG per Firefox 

Slide 32: FireGPG

Slide 33: FireGPG

Slide 34: FireGPG

Slide 35: FireGPG

Slide 36: FireGPG

Slide 37: Link http://www.gnupg.org/ http://winpt.sourceforge.net/it/ http://enigmail.mozdev.org/ http://firegpg.tuxfamily.org/

Slide 38: </END>