Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Le regole tecniche per la firma digitale - 7

L'identificazione del titolare da parte del certificatore
di Manlio Cammarata - 23.04.99

Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli non sono più attuali.

Il marchingegno delle certificazioni incrociate che abbiamo visto nell'articolo precedente garantisce la sicurezza del certificato della firma digitale apposta a un documento informatico. Ma si presuppone che il certificato stesso sia "vero", cioè che il soggetto del quale riporta le generalità sia effettivamente l'autore del documento. Se il certificato è falso, cioè se è stato rilasciato a una persona diversa da quella che appare, tutto il sistema attesta la verità di un certificato... falso!
E' evidente che una sostituzione di persona nella fase iniziale fa crollare tutto l'edificio di certezza della firma digitale, con conseguenze devastanti.

Dunque la certezza dell'identità del soggetto che chiede il certificato delle chiavi è il passaggio-base della procedura di certificazione, il primo elemento da cui dipende l'attendibilità del certificato e quindi della firma digitale.
Questo è uno dei motivi che ha spinto il legislatore a fissare regole molto restrittive per l'iscrizione dei certificatori nell'elenco pubblico tenuto dall'AIPA, perché con la complicità di un certificatore disonesto la sostituzione di persona è fin troppo facile.
Vediamo dunque le norme che si riferiscono all'identificazione del titolare. La prima è nell'articolo 9 del DPR 513/97:

Art. 9 - Obblighi dell'utente e del certificatore

2. Il certificatore è tenuto a:
a) identificare con certezza la persona che fa richiesta della certificazione;

Come fa il certificatore a essere sicuro dell'identità del richiedente? Qui le norme tecniche sono piuttosto vaghe. Prescrive l'articolo 22:

Art. 22 - Registrazione dei titolari

1. Per ottenere la certificazione di una chiave pubblica il titolare deve essere preventivamente registrato presso il certificatore. La richiesta di registrazione deve essere redatta per iscritto e deve essere conservata a cura del certificatore per almeno 10 anni.

2. Al momento della registrazione il certificatore deve verificare l'identità del richiedente. È data facoltà al certificatore di definire, pubblicandole nel manuale operativo, le modalità di identificazione degli utenti.

Dunque la registrazione del titolare è preliminare alla richiesta del certificato, che deve essere redatta per iscritto e conservata per almeno dieci anni. Si può verificare un fatto abbastanza curioso: la richiesta formulata "all'antica", su un foglio di carta, con firma autografa, perché il titolare non dispone ancora di una firma digitale! Questo è forse il solo punto della normativa che subordina ancora il documento informatico a un documento cartaceo. Nulla vieta però di immaginare che un soggetto che sia già titolare di una coppia di chiavi certificate possa richiedere con un documento informatico il certificato relativo a un'ulteriore coppia di chiavi. .
Ma, fino a questo momento, è difficile escogitare procedure diverse. Come è difficile immaginare che il primo contatto tra il futuro titolare e il certificatore possa prescindere da un riconoscimento "fisico", perché oggi non c'è modo di accertarsi dell'identità di una persona se non "guardandola in faccia".

Tuttavia la normativa non fornisce alcuna indicazione esplicita su questo punto e lascia al certificatore l'onere di definire le modalità del primo riconoscimento. E siccome non ci sono ancora certificatori registrati, per capire come questo possa avvenire dobbiamo lavorare di fantasia.
Appare poco credibile che tutti i richiedenti siano costretti a recarsi di persona nell'ufficio del certificatore, essendo questo di fatto un ufficio "telematico" e quindi di indifferente localizzazione. E' probabile che il certificatore si serva di "sportelli" sparsi più o meno capillarmente sul territorio. Si tratta di quelle che nel sistema "libero" dell'internet si chiamano Registration Authority, che fungono da intermediari tra i richiedenti e il certificatore. E siccome in Italia i soggetti certificatori saranno soprattutto banche o organismi interbancari, gli sportelli delle agenzie costituiranno il "punto di riconoscimento" d'elezione (non dimentichiamo che i requisiti dei certificatori coincidono con quelli delle società che svolgono attività bancaria). Fra l'altro, siccome è logico che il richiedente si rechi presso la sede dove intrattiene il proprio conto corrente, il riconoscimento diventa molto sicuro.

Naturalmente altri soggetti potrebbero svolgere l'attività di certificazione, per esempio gli operatori di telecomunicazioni. In questo caso gli sportelli coinciderebbero con i negozi autorizzati, gli stessi che oggi raccolgono gli abbonamenti ai diversi servizi di telecomunicazioni. Ma sarebbero necessari controlli molto severi, perché oggi l'identificazione degli abbonati è spesso "all'acqua di rose" e non presenta i requisiti di sicurezza indispensabili per la certificazione della coppia di chiavi.

Dopo l'identificazione ci può essere un secondo passaggio preliminare: l'istituzione di un canale di comunicazione "sicuro" tra titolare e certificatore (articolo 25):

Art. 25 - Comunicazione tra certificatore e titolare

1. Al momento della registrazione il certificatore può fornire al titolare gli strumenti necessari per realizzare un sistema di comunicazione sicuro che consenta, quando il titolare non disponga di ulteriori chiavi utilizzabili per la sua autenticazione, di effettuare per via telematica le seguenti operazioni:
a.personalizzazione dei dispositivi di firma;
b.richiesta della certificazione di chiavi generate al di fuori dell'ambiente del certificatore;
c.richiesta di revoca immediata di un certificato.

2. In assenza del sistema di comunicazione sicuro le operazioni di cui al comma 1 debbono essere effettuate presso il certificatore.

Troviamo qui la conferma dell'ipotesi che un soggetto, che sia già titolare di una coppia di chiavi, possa richiedere per via telematica la certificazione di un'altra coppia. In caso contrario il certificatore deve fornire un sistema di comunicazione sicuro, che di fatto piò consistere in una coppia di chiavi generata ad hoc, che il titolare utilizzerà per gli scopi previsti dall'articolo 25.
Resta il dubbio se l'espressione "presso il certificatore" vada intesa in senso stretto o in senso lato, cioè se uno sportello bancario, per esempio, possa compiere le operazioni di competenza del certificatore anche se questo non è la banca stessa, ma un organismo diverso. Il buon senso suggerisce la seconda ipotesi, anche se in nessun punto della normativa si parla di organismi equivalenti alle Registration Authority dell'internet.

A questo punto possiamo ipotizzare un percorso-tipo attraverso il quale un cittadino può dotarsi di una coppia certificata di chiavi di cifratura:
1. il soggetto si reca presso la sua banca di fiducia, o un altro "sportello" del certificatore che ha scelto. Qui presenta la richiesta scritta, la sua identità viene accertata e gli viene consegnata la coppia di chiavi che serve all'istituzione del "canale sicuro" col certificatore;
2. compera un "dispositivo di firma" (è probabile che questo gli venga fornito direttamente allo sportello);
3. torna a casa (nel frattempo dallo sportello è stata inviata una comunicazione al certificatore, relativa all'identità del soggetto al quale è stata consegnata la prima coppia di chiavi) e genera la propria coppia di chiavi di cifratura;
4. servendosi del "canale sicuro" invia la chiave pubblica al certificatore e aspetta il certificato (si può interpretare questa richiesta come "redatta per iscritto" ai sensi primo comma dell'articolo 22? La questione è interessante).

Ora il certificatore deve compiere alcune verifiche:

Art. 28 - Generazione dei certificati

1. Prima di emettere il certificato il certificatore deve:

a.accertarsi dell'autenticità della richiesta;
b.verificare che la chiave pubblica di cui si richiede la certificazione non sia stata certificata da uno dei certificatori iscritti nell'elenco.
c.richiedere la prova del possesso della chiave privata e verificare il corretto funzionamento della coppia di chiavi, eventualmente richiedendo la sottoscrizione di uno o più documenti di prova.

Solo al termine di tutte queste operazioni sarà emesso il certificato e l'interessato potrà disporre di una coppia di chiavi di cifratura per generare firme digitali da apporre a documenti informatici "validi e rilevanti a tutti gli effetti di legge".

Non è poi così difficile.