Una firma digitale su un documento è come un’impronta virtuale che verifica l’identità della persona o dell’entità che l’ha firmato.
A differenza delle firme autografe, che si possono facilmente falsificare, le firme digitali sono altamente sicure perché sono protette dalla crittografia. Scopri come funzionano le firme digitali e assicurano l’autenticità e l’integrità di messaggi digitali, documenti e altri trasferimenti di dati.
Cos’è una firma digitale?
Firme digitali vs. firme elettroniche
Come funzionano le firme digitali?
Le firme digitali sono sicure?
Per cosa si usano le firme digitali?
Autenticazione
Integrità dei dati
Non ripudiabilità
Rimani al sicuro con le firme digitali
FAQ sulle firme digitali
Cos’è una firma digitale?
Una firma digitale è un metodo crittografico che verifica l’autenticità e l’integrità di documenti digitali, messaggi o software.
Le firme digitali sono create con algoritmi crittografici e spesso si presentano come brevi tag aggiunti a un documento. Hanno numerose applicazioni in vari settori, dalla firma di contratti legali alla sicurezza del banking online, dei record sanitari, della distribuzione di software e delle email crittografate end-to-end.
Come una firma autografa su carta, le firme digitali autenticano i dati ma si differenziano dalle firme fisiche nei seguenti modi.
Autenticazione
Mentre le firme autografe sono spesso verificate visivamente confrontandole con una firma di riferimento, le firme digitali sono verificate con algoritmi di verifica della firma, quindi sono più difficili da falsificare. La verifica ha successo solo se la firma è stata creata dal firmatario nominato sul documento verificato.
Le firme autografe non dipendono dai dati firmati e sembrano sempre uguali. Quindi, puoi semplicemente copiare una firma fisica su un altro documento. Al contrario, le firme digitali sono sempre una funzione dei dati firmati, quindi non puoi semplicemente aggiungerle a un altro documento.
Integrità dei dati
Allo stesso modo, le firme autografe verificano solo l’identità del firmatario, mentre le firme digitali verificano sia l’identità del firmatario sia l’integrità del documento.
In breve, una firma digitale valida verifica che un documento provenga da un mittente noto e non sia stato manomesso da quando è stato firmato.
Firme digitali vs. firme elettroniche
Anche se i termini “firma digitale” e “firma elettronica (firma elettronica)(nuova finestra)” sono spesso usati come sinonimi, non sono la stessa cosa.
Una firma elettronica è una categoria legale ampia e può essere semplice come un nome su un documento digitale, a seconda della giurisdizione. Al contrario, una firma digitale è un tipo di firma elettronica che è protetta dalla crittografia.
Come funzionano le firme digitali?
Le firme digitali utilizzano la crittografia a chiave pubblica(nuova finestra) (nota anche come crittografia a chiave asimmetrica) per autenticare i documenti. Questo avviene generando una coppia di chiavi correlate:
- Una chiave privata, che viene mantenuta segreta e utilizzata per creare la firma
- Una chiave pubblica, che chiunque può usare per verificare la firma
In termini semplificati, ecco come funzionano la firma e la verifica:
1. Quando un mittente firma digitalmente un documento, viene utilizzata una funzione hash per creare un “hash” dei dati. Un hash è una stringa di lunghezza fissa di numeri e lettere simile a un’impronta digitale.
2. L’hash viene poi firmato con la chiave privata del firmatario, formando una firma digitale che viene inviata con il documento.
3. Il destinatario riceve il documento, calcola un hash dal documento ricevuto e usa la chiave pubblica del firmatario per verificare la firma con l’hash calcolato. Se l’algoritmo di verifica della firma accetta la firma, l’hash calcolato e la chiave pubblica, la firma è valida.
Una firma digitale valida verifica che i dati firmati provengano dal firmatario e non siano stati alterati.
Le firme digitali sono sicure?
Poiché le firme digitali sono legate criptograficamente al documento firmato, sono molto più sicure di una firma autografa o di una semplice firma elettronica. La verifica di una firma digitale può avere successo solo se viene utilizzato lo stesso documento sia per la firma che per la verifica.
Ma la sicurezza di una firma digitale dipende dal mantenimento della sicurezza delle chiavi di firma. Se la chiave privata viene rubata, un attaccante può creare firme digitali a nome del firmatario.
Inoltre, il verificatore deve conoscere l’identità del firmatario a cui appartiene la chiave pubblica. In altre parole, quando ricevi un documento firmato digitalmente, come puoi essere sicuro che la chiave pubblica che stai utilizzando per verificare la sua firma digitale appartenga al firmatario e non a un attaccante che cerca di impersonarlo?
Quando ricevi un documento firmato digitalmente, come puoi essere sicuro che la chiave pubblica che stai utilizzando per verificare la sua firma digitale appartenga al firmatario?
Infrastruttura a chiave pubblica
Una soluzione è utilizzare i certificati digitali emessi da organizzazioni terze fidate chiamate autorità di certificazione (CA). I certificati digitali contengono le chiavi pubbliche di individui e organizzazioni e verificano che appartengano al titolare del certificato.
Questo sistema di CA, noto come infrastruttura a chiave pubblica (PKI), aiuta a garantire che la verifica della firma digitale sia affidabile.
Chiavi affidabili di Proton Mail
Un’altra soluzione è utilizzare PGP per le firme digitali, o il suo standard aperto, OpenPGP. A differenza del PKI, OpenPGP ha un modello di fiducia decentralizzato in cui gli utenti possono verificare l’identità di altri utenti.
Ad esempio, con Proton Mail, puoi contrassegnare una chiave pubblica come fidata per ciascuno dei tuoi contatti. Se quella chiave pubblica cambia, riceverai un avviso che la verifica del mittente è fallita così potrai chiedere al tuo contatto se hanno davvero cambiato la loro chiave pubblica.
Se l’identità del mittente è verificata, vedrai questo simbolo di lucchetto nell’indirizzo Da:
ProtonCA
Oltre a verificare le singole chiavi, OpenPGP include anche OpenPGP CA(nuova finestra), un sistema per verificare le chiavi degli indirizzi email sotto un determinato dominio. In Proton, abbiamo creato un’autorità di certificazione chiamata ProtonCA in modo che altri fornitori e utenti esterni a Proton possano verificare più facilmente le chiavi dei nostri utenti.
Per cosa vengono utilizzate le firme digitali?
Le firme digitali svolgono tre funzioni principali nella sicurezza delle informazioni: autenticazione, garanzia dell’integrità dei dati e non ripudio.
Autenticazione
Una firma digitale valida verifica che il messaggio provenga dal mittente dichiarato, non da un impostore. Ad esempio, utilizziamo le firme digitali per verificare gli indirizzi con chiavi affidabili in Proton Mail, come discusso sopra.
Integrità dei dati
A differenza di una firma fisica su carta, una firma digitale può verificare l’integrità di un documento. Ad esempio, utilizziamo le firme digitali per verificare che le voci non siano state manomesse in Proton Contacts.
Non ripudio
Poiché una firma digitale è unica per il documento e il firmatario, fornisce una tracciabilità vincolante alla persona che l’ha firmato. Quindi, se qualcuno firma un contratto con una firma digitale valida e in seguito afferma di non averlo fatto, la firma digitale rende difficile per loro disconoscere (repudiare) il contratto.
Date queste tre capacità, le firme digitali vengono utilizzate per vari scopi, inclusa la posta elettronica sicura, le transazioni finanziarie, i documenti legali e governativi, l’assistenza sanitaria, le criptovalute e la distribuzione di software — in breve, qualsiasi applicazione in cui è necessario garantire l’autenticità e l’integrità dei dati.
Rimani al sicuro con le firme digitali
Puoi utilizzare le firme digitali manualmente per firmare un documento online come una tradizionale firma autografa. Ad esempio, se firmi un contratto di lavoro online, probabilmente userai una firma digitale, che di solito appare in un carattere stilizzato sul documento.
Ma più spesso, le firme digitali operano automaticamente in background, autenticando i trasferimenti di dati, ad esempio, quando ti connetti alla tua banca, aggiorni il software sul tuo telefono o invii un’email crittografata.
In Proton, le firme digitali sono uno dei modi in cui garantiamo privacy e sicurezza in Proton Mail. Stiamo lavorando per offrire a tutti privacy e sicurezza online, quindi unisciti a noi e rimani al sicuro!
FAQ sulle firme digitali
Firmare digitalmente è la stessa cosa che crittografare?
Le firme digitali utilizzano la crittografia a chiave pubblica(nuova finestra), ma firmare è diverso dal crittografare.
- Quando firmi digitalmente dei dati, utilizzi la tua firma utilizzando la tua chiave privata per creare la firma, e il destinatario verifica la firma usando la tua chiave pubblica. Lo scopo principale delle firme digitali è verificare l’origine dei dati e controllare che non siano stati alterati (autenticità e integrità).
- Quando crittografi dei dati, usi la chiave pubblica di una persona per trasformarli in un testo cifrato illeggibile. Il destinatario utilizza la sua chiave privata per decodificarlo e ritornare a un testo in chiaro leggibile. Lo scopo principale della crittografia dei dati è garantire che solo i destinatari autorizzati possano accedervi (confidenzialità).
Cos’è una funzione hash?
Una funzione hash è un algoritmo che trasforma un messaggio di dimensioni arbitrarie, come una email, un documento o altri dati, in una stringa unica di numeri e lettere di lunghezza fissa chiamata “hash” (conosciuta anche come “digest del messaggio”). Le funzioni hash sono utilizzate nelle firme digitali per due motivi.
- La maggior parte degli schemi di firma digitale può firmare e verificare solo messaggi di piccole dimensioni. Quindi le funzioni hash mappano documenti di dimensioni arbitrarie in un messaggio di piccole dimensioni e di lunghezza fissa che può essere firmato con questi schemi senza influenzare la sicurezza.
- Una funzione hash crittografica è resistente alle collisioni(nuova finestra), il che significa che è difficile trovare due messaggi che producano lo stesso hash. Una modifica al messaggio originale produrrà un hash diverso. Quindi un hash può essere utilizzato per verificare che i dati non siano stati manomessi.
Cos’è un certificato digitale?
Un certificato digitale contiene la chiave pubblica di un individuo o di un’organizzazione e verifica che la chiave appartenga a loro. La maggior parte dei certificati digitali sono emessi e firmati digitalmente da un’autorità di certificazione.
Cos’è un’autorità di certificazione (CA)?
Un’autorità di certificazione (CA) è una terza parte fidata che verifica la chiave pubblica e l’identità di una persona o di un’organizzazione. Una CA crea una coppia di chiavi pubblica/privata per loro o memorizza una coppia di chiavi esistente a loro nome.
Una volta confermata l’identità di un soggetto, la CA rilascia un certificato digitale per il soggetto. Puoi quindi utilizzare il certificato per verificare che la chiave pubblica di un soggetto gli appartenga.
Cos’è l’infrastruttura a chiave pubblica (PKI)?
L’infrastruttura a chiave pubblica (PKI) comprende tutto l’hardware, il software, le politiche e i sistemi di sicurezza utilizzati per emettere, gestire, memorizzare e revocare i certificati, tutti elementi che garantiscono che il processo di verifica del certificato digitale sia affidabile. Ad esempio, le autorità di certificazione memorizzano le chiavi private in un modulo di sicurezza hardware(nuova finestra) in modo che non possano essere estratte (anche se ciò non impedisce che i certificati vengano firmati erroneamente).