Firma Digitale

4,419 views

Published on

La firma digitale nella corrispondenza elettronica - TrinacriaCamp 2007

Published in: Technology
  • Be the first to comment

Firma Digitale

  1. 1. La firma digitale nella corrispondenza elettronica TrinacriaCamp 2007 Gianni “guelfoweb” Amato http://www.gianniamato.it
  2. 2. NON è una firma passata sotto uno scanner. Cosa non è la firma digitale?
  3. 3. E' un metodo per attestare che l’e-mail ricevuta sia stata effettivamente inviata dal mittente e che il contenuto non sia stato alterato . Cosa è la firma digitale?
  4. 4. Firma digitale “Forte” Detta anche firma elettronica avanzata, è quella regolamentata dal DPR 513/97 ed è l’unica che attribuisce al documento informatico valenza probatoria . <ul><li>Prevede che il certificato sia rilasciato da un’autorità di certificazione iscritta all’albo dell’AIPA (Autorità per l'informatica nella pubblica amministrazione) . </li></ul>
  5. 5. Firma digitale “Debole” Consente di verificare l’integrità del documento ma non del sottoscrittore . L’efficacia probatoria di tale sistema, pur non essendo negabile a priori, è a discrezione del giudice . <ul><li>Qualità, sicurezza, integrità e immodificabilità </li></ul>
  6. 6. è possibile creare il proprio certificato PGP/GPG in modo autonomo ed in pochissimi istanti GnuPG - Gnu Privacy Guard E' lo strumento GNU per comunicare e immagazzinare dati in modo sicuro. <ul><li>Cifrare dati </li></ul><ul><li>Firmare documenti </li></ul>
  7. 7. Perchè utilizzare GPG? - E’ Software Libero (GPL)‏ - Non usa algoritmi brevettati - E’ compatibile con PGP - Aderisce allo standard OpenPGP (RFC2440)‏ - E’ multipiattaforma: Linux/*nix, Windows, Mac - Si integra facilmente con plugin e molte applicazioni
  8. 8. Un passo indietro: la firma olografa
  9. 9. 1. Eva si impossessa del documento 2. Riproduce la firma di alice 3. Bob riceve il documento falso
  10. 10. <ul><li>Un documento simile all'originale </li></ul>Cosa ha riprodotto Eva? Similitudine <ul><li>Una firma simile a quella di Alice </li></ul>Bob ha motivo di sospettare?
  11. 11. Corrispondenza elettronica
  12. 12. IL DOCUMENTO PUO' ESSERE COMPROMESSO! firma digitale
  13. 13. chiave privata chiave pubblica chiave privata chiave pubblica FIRMA DIGITALE
  14. 14. chiave privata firma il messaggio
  15. 15. Di cosa ha bisogno Eva per riprodurre la firma digitale di Alice? 1. della chiave privata di Alice 2. password/pin della chiave privata di Alice
  16. 16. 1. Eva si impossessa del documento elettronico 3. Bob riceve il documento falso 2. Non altera la firma di Alice (spoofing)‏
  17. 17. Cosa deve fare Bob? Controllare la validità della firma di Alice. SEMPRE! chiave pubblica di Alice
  18. 18. Generare una coppia di chiavi <ul><li>l'algoritmo da utilizzare </li></ul><ul><li>la lunghezza della chiave </li></ul><ul><li>il proprio ID </li></ul><ul><li>il periodo di validità </li></ul><ul><li>una password (punto debole?)‏ </li></ul>gpg --gen-key L'utente sceglie:
  19. 19. Esportare le chiavi gpg --output revoca.asc --gen-revoke mia_chiave gpg --output secretkey.asc --export-secret-keys gpg --output publickey.asc --export indirizzo@mail.com Chiave pubblica: Chiave privata: Certificato di revoca:
  20. 20. Perchè un certificato di revoca? <ul><li>ci siamo dimenticati la password </li></ul><ul><li>abbiamo smarrito la chiave privata </li></ul><ul><li>la chiave privata è stata compromessa </li></ul><ul><li>abbiamo cambiato indirizzo email </li></ul>
  21. 21. gpg --clearsign prova Firmiamo il documento “prova” questa è una prova
  22. 22. Documento “prova” firmato -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 questa è una prova -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux)‏ iD8DBQFHH+Y1Txmfm2InrN8RAkv8AJ9o9xrSBZ0ILHIDwTISR3roBZTZQQCeON3Q 9WIzZ1J25nbNiZgSwOHd9Sk= =Pg1U -----END PGP SIGNATURE-----
  23. 23. Cosa accade quando firmiamo un documento? 1. Viene creata “ l’impronta ” del testo originario mediante la propria chiave privata. Procedimento matematico (funzione hash). 2. Il testo del messaggio rimane in chiaro . 3. La firma ha lunghezza fissa . Per lo standard DSA sono previste chiavi fino a 1024 bit . La firma digitale si ottiene dalla combinazione tra la chiave privata e il testo
  24. 24. gpg --verify prova Verifichiamo la validità della firma nel documento “prova” Documento integro!
  25. 25. Modifichiamo una sola lettera al testo e verifichiamo la validità della firma nel documento “prova” -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 questa è una prova1 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux)‏ iD8DBQFHH+Y1Txmfm2InrN8RAkv8AJ9o9xrSBZ0ILHIDwTISR3roBZTZQQCeON3Q 9WIzZ1J25nbNiZgSwOHd9Sk= =Pg1U -----END PGP SIGNATURE-----
  26. 26. gpg --verify prova Documento modificato! Verifichiamo la validità della firma nel documento “prova”
  27. 27. Le chiavi pubbliche: Come ottenerle? 1. Chiedendola alla persona interessata 2. Recuperandola dai Key-Server
  28. 28. Cosa sono i Key-Server? <ul><li>Server dedicati al deposito e prelievo di chiavi pubbliche </li></ul><ul><li>Liberamente accessibili </li></ul><ul><li>Interconnessi tra loro </li></ul>
  29. 29. Le chiavi pubbliche: Come distribuirle? <ul><li>Attraverso Key-Server </li></ul><ul><li>Includendola nel messaggio come allegato </li></ul><ul><li>Copiandola in un file di testo </li></ul>
  30. 30. Le chiavi pubbliche: Perchè distribuirle? <ul><li>Per consentire al destinatario di verificare la nostra firma </li></ul><ul><li>Per consentire al destinatario di comunicare con noi attraverso messaggi cifrati </li></ul>
  31. 31. Strumenti Open Source <ul><li>GnuPG command line per Linux/*nix, Windows, Mac </li></ul><ul><li>WinPT GUI GnuPG per Windows </li></ul><ul><li>Enigmail estensione GnuPG per Thunderbird </li></ul><ul><li>FireGPG estensione GnuPG per Firefox </li></ul>
  32. 32. FireGPG
  33. 33. FireGPG
  34. 34. FireGPG
  35. 35. FireGPG
  36. 36. FireGPG
  37. 37. http://www.gnupg.org/ http://winpt.sourceforge.net/it/ http://enigmail.mozdev.org/ http://firegpg.tuxfamily.org/ Link
  38. 38. </END>

×