Posta Elettronica Certificata e Firma Digitale

Posta Elettronica Certificata
& Firma Digitale
Paolo Rossi - O.I. Rn - 24/4/2009
Introduzione
Sicurezza nelle comunicazioni digitali
Obbligo per Professionisti (entro 1 anno) e
Aziende (3 anni) di dotarsi di caselle di
Posta Elettronica Certificata e comunicarle
Cosa serve? Come si usa?
Ma cosa ci guadagno io?
Paolo Rossi - O.I. Rn - 24/4/2009
Programma
Cosa significa “sicurezza” nella
comunicazione digitale
Come funziona la P.E.C.
Come funziona la Firma Elettronica
Spero di dir tutto entro 30-40 min.
Domande & Risposte
Paolo Rossi - O.I. Rn - 24/4/2009
Di cosa stiamo parlando?
Valore legale alla posta elettronica
Sono normali applicazioni per PC
Reader e-mail
Word
PEC
PC
email
Adobe Acrobat
Firma
digitale
WEB
Spam
Virus
Hackers
Paolo Rossi - O.I. Rn - 24/4/2009
Word
Sicurezza nella corrispondenza:
la Lettera Raccomandata A.R.
Il documento è imbustato e consegnato
Il vettore (poste) lo prende in consegna e
rilascia una (prima) ricevuta
Trasportato al punto di consegna e
consegnato al destinatario
Una seconda ricevuta viene firmata dal
destinatario e rispedita al mittente
La PEC non è altro che tutto questo in
versione digitale!
Paolo Rossi - O.I. Rn - 24/4/2009
Chiavi crittografiche asimmetriche
La Certification Authority genera le chiavi
crittografiche pubblica e privata per ogni
persona richiedente (fisica o giuridica) e gliele
consegna previa identificazione con metodi
tradizionali
La Chiave Privata non deve
assolutamente essere ceduta o
distribuita, di solito è memorizzata
in una smartcard o un token (simile
ad una SIM dei telefonini).
Chiave Pubblica
La Chiave Pubblica è liberamente
distribuita (normalmente via email o
tramite un keyserver web mantenuto
dalla stessa CA)
Paolo Rossi - O.I. Rn - 24/4/2009
Chiunque può verificare la validità della
chiave pubblica direttamente presso la CA
e quindi assicurarsi dell’identità del
mittente.
Chiavi crittografiche asimmetriche:
principio di funzionamento
File generico su PC. (Es.
.DOC, .PDF, .ODT, .XLS,
.PPT, .DWG, .AVI, .EML,
.JPG, ecc.).
La firma con chiave privata genera
l’impronta digitale crittografata che
viene allegata al file, cui è aggiunta
l’estensione .P7M
La chiave pubblica consente di
decrittare l’impronta digitale che viene
confrontata con quella ricalcolata “al
volo” dal ricevente con lo stesso
algoritmo
Il documento può essere crittografato con la chiave pubblica ma potrà essere riconvertito in chiaro solo con la
chiave privata del destinatario, in questo modo la trasmissione dei dati è sicura in quanto nessuno che intercetti il
file crittografato può leggerlo se non possiede la chiave privata.
Paolo Rossi - O.I. Rn - 24/4/2009
Chiavi crittografiche asimmetriche
Si parte da un qualsiasi
documento informatico (testo,
foglio elettronico, email, disegno
cad, file multimediale, ecc.)
Es.: FILE.TXT
Dal file il programma di firma
estrae un’impronta digitale,
unica per il documento ma
da cui non lo si può
ricostruire
L’impronta digitale viene
crittografata con la chiave
privata dell’autore. Tutto il
file è compresso insieme alla
firma in un altro file
Es.: FILE.TXT.P7M
Paolo Rossi - O.I. Rn - 24/4/2009
Chiavi crittografiche privata
e pubblica
Il ruolo dei certificatori
Un file firmato NON è
segreto! Solo la firma è
crittografata, non il file!
La firma include il
riferimento al certificatore
per verificarne la validità
Si può verificare un file
firmato gratis on line
Schema di funzionamento della
Posta Elettronica Certificata
Il mittente scrive il
messaggio
Il messaggio è controllato e “imbustato” dal
gestore della casella PEC del mittente che
manda una prima ricevuta “di accettazione”
Appena scaricato il
messaggio, la “ricevuta di
consegna” è inviata al
mittente dal gestore del
destinatario
L’inoltro del messaggio tra i
gestori della PEC avviene
tramite internet come per la email ordinaria
Il messaggio è “aperto”, controllato
e “re-imbustato” dal gestore della
casella PEC del destinatario che
manda una ricevuta di “presa in
carico” al gestore del mittente
Il messaggio è depositato nella
casella PEC del destinatario in
attesa che questi si colleghi per
scaricare la posta con il suo e-mail
reader (Outlook, Thunderbird,
Eudora, ecc.)
Il destinatario riceve il
messaggio
Paolo Rossi - O.I. Rn - 24/4/2009
Cosa prescrive la legge?
Legge n. 2 del 28/1/09 – Conversione in legge decreto n.
185 del 29/11/08 “Decreto Anticrisi” - Art. 16
7. I professionisti iscritti in albi ed elenchi istituiti con
legge dello Stato comunicano ai rispettivi ordini o collegi
il proprio indirizzo di posta elettronica certificata o
analogo indirizzo di posta elettronica di cui al comma 6
entro un anno dalla data di entrata in vigore del presente
decreto. Gli ordini e i collegi pubblicano in un elenco
riservato,consultabile in via telematica esclusivamente
dalle pubbliche amministrazioni,i dati identificativi degli
iscritti con il relativo indirizzo di posta elettronica
certificata.
Paolo Rossi - O.I. Rn - 24/4/2009
Cosa garantisce la PEC?
Metodi sicuri di trattamento e inoltro del
messaggio
Integrità del contenuto rispetto al momento
in cui è stato affidato al vettore
Identità del mittente
Identità del destinatario
Indicazione dei tempi di trattamento del
messaggio
Paolo Rossi - O.I. Rn - 24/4/2009
Cosa NON garantisce la PEC?
Se il destinatario tiene il PC spento e/o non
scarica la posta dal server:
– Non riceverà mai il messaggio
– Il mittente resta indefinitamente in attesa
I messaggi di ricevuta possono andare
persi
Il livello di sicurezza è quindi paragonabile
alla corrispondenza cartacea (in realtà un
po’ maggiore ed a più buon mercato)
Paolo Rossi - O.I. Rn - 24/4/2009
Quali alternative ci sono alla
PEC?
Certificati S/MIME (Secure Multimedia
Internet Mail Extensions)
Firmano digitalmente il messaggio già a
livello di PC utilizzatore (ma non gli
eventuali allegati)
Due Certification Authority: GlobalTrust e
Thawte (gratis per uso personale)
Paolo Rossi - O.I. Rn - 24/4/2009
E la firma digitale?
Equivalente alla firma “scritta”, deve garantire
per il documento firmato:
– Autenticità
– Integrità
– Non Ripudiabilità
Chiavetta USB con un lettore di “token”, che
contiene la chiave privata.
Il software consente di “firmare” qualsiasi
documento
Standard mondiale già operativo
Paolo Rossi - O.I. Rn - 24/4/2009
PEC e Firma digitale:
Concetti affini e complementari
Il massimo vantaggio si ottiene dalla
somma dei due
Valore legale sia all’inoltro delle mail
che ai documenti allegati
Eliminazione di carta e soprattutto
risparmio di TANTO tempo
La PA DEVE accettare i documenti
firmati digitalmente.
Paolo Rossi - O.I. Rn - 24/4/2009
Da chi compro questi servizi?
Gli elenchi aggiornati sono sul sito CNIPA
Gli Ordini Professionali si stanno
muovendo in ordine sparso stipulando
convenzioni con alcuni Provider
Il CNI sta valutando le opzioni disponibili
e si attendono comunicazioni
Le Poste Italiane hanno un prodotto
interessante (PosteKey)
Paolo Rossi - O.I. Rn - 24/4/2009
Paolo Rossi - O.I. Rn - 24/4/2009
Per passare notti insonni….
CNIPA (www.cnipa.gov.it)
Wikipedia (poteva mancare?)
www.ilsoftware.it
Siti web dei certificatori (poste.it, aruba.it,
infocert.it, ecc.)
La situazione è fluida… Google forever!
Paolo Rossi - O.I. Rn - 24/4/2009
Grazie per l’attenzione!
Paolo Rossi - O.I. Rn - 24/4/2009