La posta elettronica, in quanto molto diffusa, purtroppo risulta anche molto “attaccata” da hacker di ogni tipo che si divertono ad intercettare le trasmissioni di informazioni, ad alterare il contenuto delle email etc..Oggi più che mai nel mondo business è strategico ed obbligatorio difendersi dalle falsificazioni delle email e dalle intercettazioni : esistono diverse tecniche di difesa, ma il punto cruciale consiste nell'utilizzo della firma digitale a garanzia dell'autenticità, integrità e riservatezza delle informazioni trasmesse per email.
Di seguito analizzeremo meglio la tecnica di funzionamento della firma digitale. La firma digitale è un metodo per attestare che l'e-mail ricevuta sia stata effettivamente inviata dal mittente e che il contenuto non sia stato alterato.
E' possibile che riceviate una e-mail con una serie di numeri e lettere in fondo al messaggio. Sebbene possa sembrare un inutile allungamento del testo o un qualche tipo di errore, queste stringhe alfanumeriche dette “fingerprint” possono essere usate per autenticare il mittente e la correttezza della e-mail. La generazione della firma digitale avviene sfruttando un algoritmo che “mescolerà” il testo della e-mail con una chiave. Il risultato sarà una serie di numeri e lettere apparentemente senza senso.
La possibilità che un hacker simuli il nostro indirizzo di posta e la necessità di essere certi dell'origine della posta elettronica che riceviamo, sono tutte valide ragioni per richiedere l'uso della firma digitale. L'autenticazione serve soprattutto per la corrispondenza di affari, quando risulta vitale attestare che le informazioni provengano dalla fonte che l'e-mail dichiara. Una e-mail firmata indica anche che il suo contenuto non è stato modificato dato che ogni minima modifica comprometterebbe la validità della firma.
Prima di poter capire come funziona la firma digitale, ci sono alcuni termini che bisogna conoscere:
- Keys: sono le chiavi usate per creare la firma digitale. Per ogni firma, esiste una chiave pubblica ed una privata, noto anche come sistema asimmetrico a chiave pubblica.
- Chiave pubblica: è la porzione delle chiavi che è messa a disposizione degli altri utenti. Se si effettua l'upload della chiave pubblica in un “public key ring” o se si invia ad un altro utente, quella è la chiave che sarà usata per validare la firma. Una lista di persone che ha firmato la vostra lista chiave pubblica sono incluse nella stessa. La possibilità di identificare questa lista di persone è subordinata alla ricezione delle loro chiavi pubbliche, che faranno parte del “key ring”.
- Chiave privata: è quella chiave che serve per firmare le e-mail. La chiave privata è protetta da password e non deve essere data a nessuno.
- Key ring: è un raccoglitore delle chiavi pubbliche (si pensi al comune portachiavi). In pratica programmi come PGP permettono di inserire le chiavi pubbliche ricevute direttamente o scaricate dai server. Un “public key server” contiene e mette a disposizione su Internet le chiavi pubbliche di tutte quelle persone che intendono pubblicare e rendere disponibili le proprie chiavi;
- Fingerprint: ogni firma digitale corrisponde ad una impronta digitale che serve ad attestare che effettivamente il documento è stato firmato dal corrispondente;
- Key certificate: quando si estrae dal proprio key ring, solitamente si controlla anche il certificato abbinato a quella chiave, dove possiamo visionare le informazioni circa la chiave, in particolare: proprietario, data di creazione, data di scadenza.
- Web of trust: quando qualcuno firma la vostra chiave pubblica, questo offre conferma alle altre persone, magari che hanno delle perplessità che la chiave effettivamente appartiene al creatore. Praticamente chi firma la chiave fa da garante. Infatti più firme si collezionano, più diventa affidabile. E' sempre buona norma controllare i fingerprint dei firmatari.
