Internet e la firma digitale

di Andrea Monti – PC Professionale n. 73

Fino a poco tempo fa termini come DES, crittografia a chiave pubblica, RSA erano praticamente sconosciuti alla maggioranza delle persone, e nella migliore delle ipotesi venivano associati a romanzi di spionaggio o ad attività militari. Le cose sono radicalmente cambiate nell’ultimo anno, infatti la crittografia ha conosciuto un vero e proprio boom di popolarità soprattutto grazie ad un programma freeware, PGP, il cui algoritmo è da molti considerato estremamente difficile da “rompere” come si dice in gergo tecnico.

Ma che c’entra tutto questo con la rete? Potrebbe domandarsi qualcuno… Tutto sarà chiaro fra poco, ma prima è necessario entrare in alcuni dettagli tecnici; al momento basta accennare al fatto che la firma digitale resa possibile dalla crittografia a chiave pubblica sembra essere un ottimo strumento applicabile al commercio elettronico.

Alice e Bob, ovvero storia di un amore contrastato.

Il concetto di base di un sistema crittografico è più o meno questo: fare in modo che un certo messaggio sia comprensibile solo per Alice e Bob e nessun altro. Un sistema crittografico sotto gli occhi di tutti è per esempio la lingua: basta andare in un posto dove l’italiano è assolutamente sconosciuto per essere in gado di scambiare messaggi in modo assolutamente sicuro; se poi invece dell’italiano si dovesse utilizzare un antico dialetto polinesiano allora l’inviolabilità del messaggio sarebbe prativamente assoluta. Questo è un buon sistema che però non è il massimo della praticità come è facile intuire. In effetti le strade percorse per garantire la riservatezza delle comunicazioni sono altre. La ricetta: Alice prende un messaggio, mischia le lettere del messaggio secondo un certo criterio, invia a Bob il risultato che verrà ricomposto secondo il procedimento inverso.

Il messaggio si chiama testo in chiaro, il criterio di rimescolamento è l’algoritmo di cifratura che genera la chiave, il risultato si chiama testo in cifra.

Questa forma di crittografia si chiama simmetrica perché Alice e Bob usano la stessa chiave per cifrare e decifrare il messaggio. E’ evidente che la sicurezza di questo sistema dipende da due fattori: la complessità dell’algoritmo di cifratura e la segretezza della chiave.

La crittografia a chiave simmetrica non è adatta per l’uso massiccio richiesto dalla rete (es. commercio elettronico), ma in soccorso è giunta una vera e propria rivoluzione del settore: la crittografia a chiave pubblica (o asimmetrica).

Schematicamente funziona così: Alice genera con un software (tipo PGP) una coppia di chiavi; una – quella privata – la tiene assolutamente segreta mentre l’altra – quella pubblica – la diffonde liberamente. Quando vuole inviare un messaggio a Bob non fa altro che cifrarlo con la chiave pubblica di Bob, il quale ricevuto il messaggio, usa la propria chiave privata per decifrarlo. In questo modo Alice è certa che solo Bob possa leggere la lettera. Ma come fa Bob a sapere che è proprio Alice ad inviare il messaggio? Grazie alla firma digitale! Alice cifra il messaggio una prima volta con la propria chiave segreta, il messaggio risultante viene nuovamente cifrato con la chiave pubblica di Bob e il messaggio viene inviato.

Quando Bob riceve il testo per prima cosa lo decifrerà con la propria chiave segreta:otterrà un risultato che dovrà essere ancora decifrato, ma questa volta con la chiave pubblica di Alice e finalmente potrà avere notizie della sua bella!

Non mi addentro oltre nei meccanismi tecnici di questo universo concettuale se non per dire che grazie a questi sistemi è possibile raggiungere in un colpo solo la certezza dell’identità di mittente e destinatario e dell’integrità del messaggio inviato.

Sì, ma la rete?

Veniamo finalmente al punto. In rete è possibile trovare di tutto: libri, software, vacanze cibi con meccanismi semplicissimi: si riempie un form con i propri dati, si sceglie la merce e con un colpo di mouse è tutto fatto… o no? Finchè tutto si basa sulla buona fede non ci sono problemi, ma quando sorgono contestazioni come si fa? Come è possibile dimostrare di avere ordinato un libro di cucina invece di una cesta di uova di struzzo, o di non essere l’autore di quella specifica commessa? Bisognerebbe inventare un sistema semplice per garantire che chi manda un messaggio si chi dice di essere, chi lo riceve non possa dire di non aver letto e ricevuto una cosa diversa… proprio come accade con la firma digitale.

A questo punto possiamo fare un’altro passo. Raggiungere le certezze di cui sopra è già un risultato ma non è abbastanza se intendiamo compiere degli atti particolari. Mi spiego: in generale non esiste una forma specifica per stipulare un contratto, basta semplicemente la manifestazione di volontà (comprare un giornale o un paio di sci). Se però intendo acquistare una casa allora la legge mi impone l’adempimento di ricorrere alla forma scritta altrimenti non se ne parla. Allo stesso modo devo utilizzare la forma scritta se in un contratto ci sono delle clausole particolari (come quelle dei contratti di assicurazione).

Sembrerebbe dunque che gli unici contratti che si possono concludere in rete sono quelli che non richiedono la forma scritta (o l’atto notarile) ma in realtà potebbe non essere così. Alcune recenti leggi (da ultimo quella sulla riforma della P.A. nota come legge Bassanini) attribuiscono pieno valore giuridico anche ai documenti informatici e telematici, sgombrando definitivamente il campo dalle ambiguità. Ancora una volta quindi anche grazie alla firma digitale si apre la strada alla piena validità degli atti stipulati in rete.

Possibly Related Posts: