Upload
nevio-buono
View
218
Download
2
Embed Size (px)
Citation preview
Lezione 11
Il valore giuridico del documento informatico
La firma elettronica
2
Dalla sottoscrizione autografa alla firma elettronica
• La forma scritta: aspetti generali
• La crittografia: aspetti tecnici
• La firma digitale: aspetti tecnici e considerazioni generali
• La scelta del legislatore Gli interventi normativi I tipi di firma e il valore dei documenti firmati L’autorità di certificazione La validazione temporale
La forma scritta: aspetti generali 3
La forma scritta
Aspetti generali
La forma scritta: aspetti generali
Il ricorso alla forma scritta
• Nei rapporti tra privati la forma scritta è richiesta solo in alcuni casi
• Gli atti e i documenti pubblici richiedono, invece sempre la forma scritta
• Scrittura privata
La dichiarazione di volontà espressa per iscritto e sottoscritta
• Atto pubblico
Il documento redatto con le richieste formalità, da un notaio o da altro pubblico ufficiale, autorizzato ad attribuirgli pubblica fede nel luogo dove l’atto è formato
La forma scritta: aspetti generali
Forme scritte
Efficacia probatoria
atto pubblico scrittura privata
può essere contestato solo attraverso la querela
di falso
sottoscrizioneautenticata
può essere disconosciuta dacolui nei cuiconfronti vieneprodotta;può essere accertata in giudizio attraversoil processo diverificazione
può esserecontestatasolo attraverso la quereladi falso
Caratteristiche della forma scritta su supporto cartaceo
• Provenienza sottoscrizione
• Riservatezza timbri, sigilli
• Integrità supporto cartaceo
• Paternità sottoscrizione, autenticazione
La crittografia: aspetti tecnici 8
La crittografia
Aspetti tecnici
La crittografia: aspetti tecnici
Qualche cenno storico... (1)
Gli spartani usavano scrivere il messaggio su un pezzo di cuoio che arrotolavano intorno ad un bastone. Chi doveva decifrare il messaggio doveva possedere un bastone con lo stesso diametro....
La crittografia: aspetti tecnici
Qualche cenno storico ...(2)
• Più tardi si introduce un cifrario monoalfabetico, nel senso che ogni lettera del messaggio era sostituita con quella successiva nell’alfabeto (1,2,3 etc. posizioni avanti o indietro nell’alfabeto). Chi doveva decifrare il messaggio doveva conoscere la posizione scelta.
La crittografia: aspetti tecnici
Qualche cenno storico .... (3).
• Si utilizza anche un cifrario polialfabetico in cui le lettere del messaggio corrispondono alla posizione delle lettere di un altro messaggio, o di un libro, di un’opera etc.
La crittografia: aspetti tecnici 12
Messaggio in
chiaro M
Mittente
Messaggio in
chiaro
M
Destinatario
Rete “Insicura”
La crittografia: aspetti tecnici
Crittografia
Messaggio Cifrato
C
Chiave
Decifra
K2
D(C,K2)M
Chiave
CifraE(M,K1)C
K1
Intruso
Passivo
Attivo
La crittografia: aspetti tecnici 13
La crittografia: aspetti tecnici
Crittografia Simmetrica• I messaggi vengono cifrati e decifrati con la stessa chiave
(cioè K1=K2).
• Tutte le parti coinvolte nella transazione devono conoscere la chiave:– Serve un canale sicuro per la distribuzione della chiave, ma se c’è
un canale sicuro perché non usarlo sempre?
– Con quale frequenza si deve cambiare la chiave?
La crittografia: aspetti tecnici 14
La crittografia: aspetti tecnici
Crittografia Asimmetrica• Ogni partner coinvolto nella transazione ha due chiavi
correlate tra di loro, una pubblica (KP) e una segreta (KS)– La chiave pubblica è di dominio pubblico, tutti la conoscono e
tutti la possono usare!– La chiave segreta (o privata) è nota solo al proprietario!
• L’informazione cifrata con una delle due chiavi (KP o KS) può essere decifrata solo usando l’altra chiave (risp. KS o KP)!!
La crittografia: aspetti tecnici
Esempio-----BEGIN PGP PUBLIC KEY BLOCK-----Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com>
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zvNB-----END PGP PUBLIC KEY BLOCK-----
La crittografia: aspetti tecnici 16
Messaggio in
chiaro M
MittenteKSM – KPM
Messaggio in
chiaro
M
Destinatario
KPD – KSD
Rete “Insicura”
La crittografia: aspetti tecnici
Riservatezza & Integrità
Messaggio Cifrato
C
Chiave
Decifra
KSD
D(C,KSD)M
Chiave
CifraE(M,KPD)C
KPD
Intruso KPM – KPD
Passivonon è in grado di
decifrare il messaggio
Attivoè in grado di produrre un
messaggio falso
La crittografia: aspetti tecnici 17
Messaggio in
chiaro M
MittenteKSM – KPM
Messaggio in
chiaro
M
Destinatario
KPD – KSD
Rete “Insicura”
La crittografia: aspetti tecnici
Garanzia di provenienza & Integrità
Messaggio Cifrato
C
Chiave
Decifra
KPM
D(C,KPM)M
Chiave
CifraE(M,KSM)
C
KSM
Intruso KPM – KPD
Passivoè in grado di decifrare il
messaggio (ha KPM)
Attivonon può produrre
un messaggio falso
Messaggio in
chiaro M
MittenteKSM – KPM
Messaggio in
chiaro
M
Destinatario
KPD – KSD
Rete “Insicura”
La crittografia: aspetti tecnici Riservatezza & Integrità & Provenienza
Messaggio Cifrato
C2
Chiave
Decifra
KSD
D(C2,KSD)C
Chiave
CifraE(M,KSM)
C
KSM
Intruso KPM – KPD
Attivonon può produrre
un messaggio (non ha KSM per passare
da M a C)
E(C,KPD)C2
+KP
D
D(C,KPM)M
+KPM
Passivonon può decifrare il messaggio (non ha KSD per passare
da C2 a C)
La crittografia: aspetti tecnici 19
La crittografia: aspetti tecnici
La cifratura del documento è un sistema sicuro?
• La sicurezza offerta si basa sulla pratica impossibilità di decifrare il testo inviato.– In realtà è possibile, generando tutte le chiavi possibili, riuscire a
decodificare un messaggio inviato usando la crittografia asimmetrica.
– Il problema è che questo approccio richiede un tempo enorme di calcolo da parte di un computer.
– Collegando però tra di loro più computer il tempo si riduce.
La firma digitale 20
Introduzione alla firma digitale
Aspetti tecnici e considerazioni generali
La firma digitale 21
Introduzione alla firma digitale
l’hash del documento
• Problemi:– Cifrare è un’operazione LENTA– La doppia cifratura è ridondante
• Uno schema più semplice è basato su funzioni hash (H) che generano un riassunto (digest) del messaggio– Dato M è facile calcolare H(M)– Dato H(M) è praticamente impossibile ricavare M– Nessuno è in grado di generare due messaggi che abbiano lo stesso
digest [M1M2 H(M1)H(M2)]
La firma digitale 22
Introduzione alla firma digitale
Firma Digitale: hash + cifra
Messaggio in
chiaroM
MittenteKSM – KPM
Destinatario
KPD – KSDRete “Insicura”
H(M)MDHas
h
CifraE(MD,KSM)
S
Messaggio FirmatoM+S
Messaggio in
chiaroM
H(M)MDHas
h
Decifra
D(S,KPM)MD
Confronta
Introduzione alla firma digitale Requisiti della firma digitale
• Provenienza M firma il documento con la sua chiave privata
• Riservatezza solo se M critta il documento con la chiave pubblica di D
• Integrità Il sistema rileva qualsiasi modificare del documento
una volta sottoscritto
• Paternità ?
La firma digitale presenta tutte le caratteristiche che abbiamo visto per la forma scritta su supporto cartaceo?
La firma digitale 24
Introduzione alla firma digitale E la paternità del documento?Come attribuire il documento ad una persona determinata?
Si istituiscono uno o più registri che alla chiave pubblica associano i dati identificativi della persona.
In questo modo, D non solo sa che il documento è stato firmato da M ma anche che M è il sig. Mario Rossi, nato a… etc:
La scelta del legislatore 25
La scelta del legislatore
Gli aspetti normativi
Gli interventi normativi 26
La scelta del legislatore Gli interventi normativi
Le leggi che disciplinano le condizioni perché al documento elettronico sia attribuito valore giuridico sono:
• Legge 59/97 • DPR 513/97 DPR 445/00 • Decreto legislativo 10/02 che modifica il DPR 445/00 recependo la
normativa comunitaria 99/93/CE• DPR 137/03 • DPCM 13 gennaio 2004
Questi testi normativi presentano non pochi problemi di coordinamento.
La scelta del legislatore
Firma forte e firma debole
Il legislatore comunitario ha introdotto un sistema che prevede due tipi di firma:
- quella elettronica avanzata (cosiddetta forte o sicura)
ha i requisiti analoghi a quella autografa ed è ammessa come prova in giudizio, dando luogo a documenti validi e rilevanti a tutti gli effetti di legge
- quella elettronica semplice (cosiddetta debole)
non ha i requisiti analoghi a quella autografa, anche se non deve essere considerata legalmente inefficace e inamissibile in giudizio per il semplice fatto che non è una firma sicura
28
La scelta del legislatore I tipi di firma introdotti dal legislatore nazionale
• firma elettronicaInsieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica
• firma elettronica avanzataFirma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare il controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati
• firma elettronica qualificatala firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma
• firma digitaleUn particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici
• firma digitale autenticataL'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico. L’autenticazione è effettuata mediante l’apposiizone della firma digitale del pubblico ufficiale
I tipi di firma 29
La scelta del legislatore Forma e efficacia dei documenti informatici
Documenti informatici Forma Efficacia
Documento informatico privo di firma
Non possiede il requisito della forma scritta
Fa piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotti non li disconosce
Documento con firma elettronica Forma scritta Liberamente valutabile dal giudice tenuto conto della sua qualità e sicurezza (link15)
Documento
con firma avanzata
Forma scritta Liberamente valutabile dal giudice tenuto conto della sua qualità e sicurezza
Documento con firma qualificata o con firma digitale
Forma scritta Piena prova fino a querela di falso
Documento con firma digitale autenticata
Atto pubblico Piena prova fino a querela di falso
Le autorità di certificazione 30
La scelta del legislatore Le autorità di certificazione
Chi intende utilizzare un sistema di chiavi asimmetriche di cifratura con gli effetti previsti dalla legge deve:
• munirsi di un’idonea coppia di chiavi
• rendere pubblica una di esse mediante la procedura di certificazione
Le autorità di certificazione 31
La scelta del legislatore Le autorità di certificazione
La procedura di certificazione coinvolge l’autorità di certificazione.
L’ autorità deve procedere a:
• identificare la persona che fa la richiesta;
• rilasciare il certificato digitale che associa ad una persona identificata una chiave pubblica (link21);
• pubblicare il certificato in un apposito registro;
Le autorità di certificazione 32
La scelta del legislatore Certificato Digitale
• AC• Periodo di validità• Nominativo• Chiave pubblica• Informazioni
aggiuntive • ... ...
La validazione temporale 33
La scelta del legislatore La validazione
temporalePer poter opporre a terzi la data e l’ora del documento informatico si ricorre al procedimento di validazione temporale
La validazione temporale 34
La scelta del legislatore La marca temporale
La validazione temporale si ottiene mediante apposizione al documento informatico della marca temporale:• su richiesta dell’utente il sistema di validazione temporale apporrà la marca temporale al documento;• la validità della marca temporale potrà essere verificata utilizzando la chiave pubblica del sistema di validazione.
La scelta del legislatore le fasi di produzione della marca
temporalel’hash del documento viene inviato dal richiedente al certificatore
il certificatore appone la marca temporale cioè aggiunge la data e l’ora e la cifra con la propria chiave privata
la marca temporale viene inviata al richiedente che la allega al documento
La validazione temporale 36
La scelta del legislatore La marca temporale
• data
• ora
• n.serie
della marca
.....
Registrodelle Imprese
Notificazioni alGarante
dati personali
Archiviazionedei documenti
contabili
Fattureelettroniche
Istanze allapubblica
amministrazione
Protocolloinformatico
Registrazioneatti di compravendita
da parte dei notai
Dichiarazioneambientale
Domanda diarbitratoAGEA
(erogaz. agricole)
Anagrafebovina
Procedureper acquistobeni e servizi
da parte della PA
Processo civiletelematico
e registro informatico giustizia
firma digitale
Contesti in cui è previsto l’uso della firma digitale
Due esempi di applicazione
la conservazione sostitutiva dei documenti contabili e fiscali ai sensi della delibera
CNIPA 11/04 e del DM 23 gennaio 2004
la fattura elettronica ai sensi del decreto legislativo 52/04
La conservazione sostitutiva
conservazione
documenti informatici
documenti analogici
documenti informatici
esibizione memorizzazione conservazione
su supporto cartaceo o informatico
nel luogo di conservazione
spedito per via telematica
su supporto leggibile nel tempo
ordine cronologico
senza soluzione di continuità tra i periodi di imposta
funzioni di ricerca determinate
firma elettronica qualificata e marca temporale sull’insieme dei documenti
o
sull’evidenza informatica contenente l’impronta o le impronte dei documenti o dell’insieme di essi
del responsabile della conservazioned
ocu
men
ti s
tati
ci n
on
mod
ific
abil
i
ogni 15 giorni per le fatturealmeno annualmente per
gli altri documenti
La conservazione di documenti analogici su supporto digitale
• memorizzazione dell’immagine del documento su supporto digitale
• ordine cronologico, senza soluzione di continuità tra i periodi di imposta
• firma elettronica qualificata e marca temporale sull’insieme dei documenti o sull’evidenza informatica contenente l’impronta o le impronte dei documenti o dell’insieme di essi da parte del responsabile della conservazione
• ulteriore apposizione del riferimento temporale e della firma elettronica qualificata del pubblico ufficiale per attestare la conformità di quanto memorizzato al documento d’origined
ocu
men
ti
orig
inal
i
La riproduzione dei documenti informatici su supporto idoneo
riversamento diretto riversamento sostitutivo
processo che trasferisce uno o più documenti conservati da un supporto ad un altro, non alterando la loro rappresentazione digitale
processo che trasferisce uno o più documenti conservati da un supporto ad un altro, alterando la loro rappresentazione digitale
non sono previste particolari modalità
documenti digitali e analogici conservati:
firma digitale e riferimento temporale del responsabile
documenti digitali con firma e documenti analogici originali unici:
firma digitale e riferimento temporale anche del pubblico ufficiale
La fattura elettronica Il decreto legislativo 52/04
Condizioni:- Accordo con il destinatario- Attestazione della data- Autenticità dell’origine- Integrità del contenuto- Non deve contenere
macroistruzionio codice eseguibile
marca temporale
firma digitale