Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Usare il PGP - 1
Crittografia e firma digitale: istruzioni per l'uso
27.11.97

Tutta la nuova normativa sul documento informatico e la firma digitale è fondata sull'adozione dei sistemi di crittografia a chiave pubblica (o asimmetrica), che servono sia per "cifrare" i documenti, sia per garantirne l'autenticità.

Fino a poco tempo fa l'impiego di questi sistemi era piuttosto complesso e richiedeva una certa abitudine all'interfaccia "a carattere". Era necessario scrivere con la massima esattezza, impiegando un tempo non indifferente, lunghe sequenze di caratteri astrusi.
Per la verità erano disponibili anche interfacce grafiche di uso più semplice, ma presentavano non pochi problemi.

Da alcuni mesi è stata introdotta una versione grafica del PGP (Pretty Good Privacy), il più diffuso sistema di crittografia a chiavi asimmetriche, che rende facilissimi e rapidi sia la generazione delle chiavi, sia il loro impiego.
Il PGP è di pubblico dominio, cioè può essere usato gratis da chiunque... sia cittadino degli USA. Infatti una discutibile normativa impedisce l'esportazione dagli Stati Uniti di alcuni sistemi crittografici sotto forma di programmi, perché sono considerati di interesse strategico, come materiali militari. Ma un "buco" delle norme ne permette l'esportazione in versione cartacea. Così il listato, che occupa ben dodici volumi, è stato importato in Europa e ritrascritto, sicché può essere usato da chiunque senza incorrere nelle ire dell'amministrazione americana.
La trascrizione di un codice così lungo non è impresa da poco, e da alcuni giorni il paziente trascrittore, tale Schumacher, ha annunciato di essere arrivato al 99 per cento della versione più richiesta, quella per Windows 95.

Quando il signor Schumacher avrà terminato il suo lavoro, sarà possibile scaricare il programma dal sito PGP International in versione "legale" e usarlo senza alcun problema, perché tutte le procedure sono automatiche, in totale aderenza alle specifiche di Windows 95.

Nei prossimi numeri di InterLex daremo tutte le istruzioni necessarie per installare e usare il programma e cercheremo di rispondere a eventuali quesiti dei lettori. Ora però vogliamo mettere in luce alcune precauzioni essenziali, il cui mancato rispetto può portare conseguenze devastanti.

1. Scegliete una "frase chiave" che non sia facile da indovinare, ma che possiate ricordare a memoria. Se volere trascriverla da qualche parte, assicuratevi che nessuno possa impadronirsene, perché si impadronirebbe della vostra "identità". Non comunicatela a nessuno, per nessun motivo, neanche a una persona verso la quale nutrite una totale fiducia (potreste subirne conseguenze legali pesantissime).

2. Fate subito una copia di riserva dei file della chiave privata e dei keyring (portachiavi) e custoditela con tutte le precauzioni possibili e anche con quelle impossibili: la loro perdita equivale alla perdita dell'identità personale e della memoria, perché non è possibile generare due volte la stessa firma.

3. La certificazione delle chiavi pubbliche offerta da diverse strutture che si autodefiniscono "autorità di certificazione" non ha alcun valore legale. I requisiti delle autorità di certificazione italiane saranno precisati in un regolamento che dovrà essere emanato entro sei mesi; fino a quel momento chiunque può usare i sistemi di crittografia in ambito privato e farsi certificare la chiave pubblica da chi vuole, ma senza gli effetti di legge previsti dall'articolo 2 del regolamento.

Alcuni link utili

The International PGP Home-Page
Il sito di riferimento, ricchissimo di informazioni, dal quale può essere scaricato il programma nelle sue diverse versioni

La crittografia a chiave pubblica e l'algoritmo RSA
di Corrado Giustozzi. I fondamenti della materia in una sintesi molto chiara

Dorothy Denning's Home Page
Sito personale di un'importante studiosa della crittografia e dei problemi legali connessi (anche criminalità e terrorismo). Particolarmente interessante l'articolo Encryption Policy and Market Trends

RSA Data Security
Tutto, ma proprio tutto, sulla crittografia a chiavi asimmetriche: un punto di riferimento essenziale

Nimrod PGP
Interessante sito italiano curato da Giorgio Chinnici, ricco di informazioni

Digital signatures and encryption
Importante pagina del Legal Advisory Board sulla legislazione europea e americana in materia di firma digitale e crittografia

Per saperne di più, anche sull'evoluzione che ha portato alla nuova normativa, ci sono gli articoli e i link elencati nell'indice di questa sezione di InterLex