Inviare e-mail con un falso mittente non è più un problema per i criminali ci­ber­ne­ti­ci. Molte aziende non adottano misure di sicurezza ag­giun­ti­ve quando scambiano con i clienti mail di fatture o altri documenti con­te­nen­ti in­for­ma­zio­ni sensibili. Di con­se­guen­za, queste si­tua­zio­ni offrono ai criminali ci­ber­ne­ti­ci infinite pos­si­bi­li­tà d´azione. Par­ti­co­lar­men­te pe­ri­co­lo­so è il co­sid­det­to Phishing che negli ultimi anni ha avuto un successo si­gni­fi­ca­ti­vo. Con questa pratica i criminali inviano e-mail a nome di aziende o altri presunti mittenti per ottenere dati di accesso o in­for­ma­zio­ni di pagamento dei de­sti­na­ta­ri.

Una soluzione di sicurezza com­pro­va­ta è l’utilizzo di firme digitali. Apponendo una firma digitale alle proprie e-mail, il de­sti­na­ta­rio può essere sicuro che i contenuti ricevuti non siano stati alterati e che il mittente sia ef­fet­ti­va­men­te chi dice di essere.

Qual è l’obiettivo di una firma digitale?

Una firma digitale ga­ran­ti­sce l’integrità di dati e mittente di una e-mail. La si utilizza di regola per au­ten­ti­ca­re la pro­ve­nien­za di de­ter­mi­na­te in­for­ma­zio­ni digitali (non solo e-mail ma anche documenti o macros). Sotto questo aspetto la firma digitale è pa­ra­go­na­bi­le alla firma nei documenti stampati: ga­ran­ti­sce l’au­ten­ti­ci­tà della persona o dell’azienda in­di­pen­den­te­men­te da chi sia il mittente.

Con la firma digitale si ga­ran­ti­sce anche l’integrità dei dati inviati. Quando è presente, assicura al de­sti­na­ta­rio che nessuno abbia mo­di­fi­ca­to o alterato il contenuto. Inoltre, in caso di con­tro­ver­sia la firma digitale fornisce in­for­ma­zio­ni ine­qui­vo­ca­bi­li sulla pro­ve­nien­za di una mail e serve a chiarire la relazione tra fir­ma­ta­rio e contenuti.

Firma digitale vs. firma e-mail

La firma digitale non è da con­fon­de­re con quella che possiamo apporre nei vari programmi di posta elet­tro­ni­ca, ossia quella che viene aggiunta di norma sotto il contenuto dell’e-mail (e che il più delle volte coincide con le in­for­ma­zio­ni di contatto del mittente, come ad esempio nelle lettere com­mer­cia­li). Secondo la de­fi­ni­zio­ne dell’Agenzia per l’Italia Digitale (AgID) si tratta di una generica firma elet­tro­ni­ca. La legge distingue fon­da­men­tal­men­te tra tre forme di firme elet­tro­ni­che:

  • Firma elet­tro­ni­ca
  • Firma elet­tro­ni­ca avanzata
  • Firma elet­tro­ni­ca qua­li­fi­ca­ta

I tipi di firme elet­tro­ni­che sopra citati si dif­fe­ren­zia­no in base agli standard richiesti dalla de­sti­na­zio­ne d´uso. Per i casi che ri­chie­do­no i massimi standard di sicurezza è ne­ces­sa­ria la firma elet­tro­ni­ca qua­li­fi­ca­ta. Questo tipo di firma soddisfa i requisiti della Direttiva Europea 1999/93/CE, a cui ne sono stati aggiunti altri che prevedono l’utilizzo di un cer­ti­fi­ca­to di qualità esclusivo qua­li­fi­ca­to e di un di­spo­si­ti­vo sicuro per la creazione della firma.

Creare una firma digitale

Chi vuole firmare in digitale le proprie e-mail ha a di­spo­si­zio­ne due pos­si­bi­li­tà: S/MIME e Open PGP. Entrambe fun­zio­na­no secondo lo stesso principio base, ma uti­liz­za­no due formati di dati dif­fe­ren­ti; solo pochi software sup­por­ta­no con­tem­po­ra­nea­men­te entrambi i formati. Il principio della creazione una firma digitale sta nella co­sid­det­ta cifratura asim­me­tri­ca. In questo caso il mittente possiede due chiavi: una privata e una pubblica. Il programma di posta del mittente avvia au­to­ma­ti­ca­men­te la crit­to­gra­fia dei contenuti della e-mail e crea una chiave segreta che allega alla mail. La chiave pubblica viene in genere inviata al de­sti­na­ta­rio insieme all’allegato oppure tramite una cartella pubblica. Il programma di posta elet­tro­ni­ca del de­sti­na­ta­rio de­co­di­fi­ca il messaggio e ne verifica i risultati. Se i risultati coin­ci­do­no si può allora stare certi che le e-mail sono state firmate con la chiave segreta che si adatta alla chiave pubblica; l’au­ten­ti­ca­zio­ne è avvenuta e la mail non può più essere ma­ni­po­la­ta. Per poter uti­liz­za­re firme digitali bisogna aver pre­ce­den­te­men­te con­fi­gu­ra­to in modo ap­pro­pria­to il proprio client di posta elet­tro­ni­ca. Se si è già ef­fet­tua­to questo passaggio, le procedure sopra descritte vengono svolte au­to­ma­ti­ca­men­te in back­ground. Potete trovare ulteriori in­for­ma­zio­ni per la con­fi­gu­ra­zio­ne sulla pagina di as­si­sten­za di Microsoft Outlook e Mozilla Thun­der­bird. Come si assegna una chiave pubblica a un mittente? Questa procedura è con­si­glia­bi­le solo se anche il de­sti­na­ta­rio può assegnare in modo ine­qui­vo­ca­bi­le la chiave pubblica al mittente. Esiste una CA (ab­bre­via­zio­ne di Cer­ti­fi­ca­tion Authority, ovvero l’Autorità Cer­ti­fi­ca­ti­va) che rilascia la chiave solo dopo l’iden­ti­fi­ca­zio­ne del mittente e di con­se­guen­za la chiave stessa ac­qui­si­sce validità solo tramite il cer­ti­fi­ca­to della CA. Poiché il sistema di ricezione deve conoscere la chiave per garantire l’au­ten­ti­ci­tà del cer­ti­fi­ca­to, deve caricarla e in­stal­lar­la nella CA. Il programma di posta vi accede in seguito au­to­ma­ti­ca­men­te.

Livelli di sicurezza di cer­ti­fi­ca­ti

La coppia di chiavi che si utilizza per apporre la firma digitale sulle e-mail deve essere ve­ri­fi­ca­ta da un’autorità cer­ti­fi­ca­ti­va ufficiale. Quest´ultima verifica e accerta l’identità di chi vi fa richiesta. Ci sono diversi livelli di qualità dei cer­ti­fi­ca­ti. I cer­ti­fi­ca­ti possono essere di classe 1, 2 e 3 a seconda dell´ac­cu­ra­tez­za della verifica d’identità.

  • Cer­ti­fi­ca­to classe 1: con un cer­ti­fi­ca­to di classe 1 il ri­chie­den­te riceve soltanto una mail di conferma dall’autorità cer­ti­fi­ca­ti­va.
  • Cer­ti­fi­ca­to di classe 2: con cer­ti­fi­ca­ti di classe 2 il ri­chie­den­te deve tra­smet­te­re una copia di un documento d’identità valido con foto all’Autorità Cer­ti­fi­ca­ti­va.
  • Cer­ti­fi­ca­to di classe 3: la classe 3 è la forma d’iden­ti­fi­ca­zio­ne più rigida e prevede che il ri­chie­den­te effettui la richiesta per­so­nal­men­te. È inoltre previsto che il ri­chie­den­te si presenti fi­si­ca­men­te davanti all’Autorità di Re­gi­stra­zio­ne (RA) al fine di garantire la sua identità.

Cer­ti­fi­ca­ti par­ti­co­la­ri: cer­ti­fi­ca­zio­ni gateway o per team

I cer­ti­fi­ca­ti descritti sopra vengono di regola emessi per singolo indirizzo e-mail, cioè per un mittente. Per questo motivo all´interno di un´azienda ci sarebbe teo­ri­ca­men­te bisogno di un cer­ti­fi­ca­to diverso per ogni individuo.

Una par­ti­co­la­ri­tà sono le cer­ti­fi­ca­zio­ni gateway e/o di dominio. Questo tipo di cer­ti­fi­ca­to infatti è valido per tutti gli indirizzi e-mail all’interno di uno stesso dominio (@no­mea­zien­da.it). Il problema è che no­no­stan­te l’utilizzo di cer­ti­fi­ca­zio­ni gateway sia stan­dar­diz­za­to a livello in­ter­na­zio­na­le, alcuni client non sempre le possono elaborare. Con Outlook Express, per esempio, non è possibile né l’invio né la ricezione di e-mail con cer­ti­fi­ca­zio­ni gateway. Con Microsoft Outlook, invece, al momento della ricezione la cer­ti­fi­ca­zio­ne viene di­chia­ra­ta non valida e viene emesso un messaggio di errore.

Le co­sid­det­te cer­ti­fi­ca­zio­ni per team vengono emesse per indirizzi e-mail che non sono gestiti da persone singole, come ad esempio info@no­mea­zien­da.it o la­vo­ra­con­noi@no­me­zien­da.it. In questo caso non ci sono problemi di ricezione e invio, poiché da un punto di vista tecnico vengono forniti gli stessi requisiti. La dif­fe­ren­za risiede solo nella gestione tramite l’autorità cer­ti­fi­ca­ti­va.

Requisiti di una firma digitale

Affinché i pre­sup­po­sti sopra citati siano efficaci, una firma deve sod­di­sfa­re de­ter­mi­na­te con­di­zio­ni. La maggior parte dei programmi, Outlook compreso, ve­ri­fi­ca­no au­to­ma­ti­ca­men­te questi requisiti al momento dell’invio e della ricezione di una mail e for­ni­sco­no un feedback nei casi in cui non siano sod­di­sfat­ti e non sia pertanto as­si­cu­ra­ta l’integrità della firma.

Poiché una firma digitale è sempre associata ad un cer­ti­fi­ca­to, bisogna as­si­cu­rar­si che ne esista uno ag­gior­na­to e valido. Deve inoltre essere emesso da un’autorità cer­ti­fi­ca­ti­va af­fi­da­bi­le. In Italia la legge sulla firma digitale è regolata dall’AgID che gestisce i requisiti dell’autorità cer­ti­fi­ca­ti­va e l’emissione di cer­ti­fi­ca­ti. L’Agenzia per l’Italia Digitale lavora alla rea­liz­za­zio­ne degli obiettivi dell’Agenda digitale italiana e con­tri­bui­sce alla dif­fu­sio­ne delle più moderne tec­no­lo­gie d’in­for­ma­zio­ne e di co­mu­ni­ca­zio­ne.

Firma digitale vs crit­to­gra­fia e-mail

Le firme digitali vengono spesso uti­liz­za­te in com­bi­na­zio­ne con crit­to­gra­fie e-mail, anche se le une sono in­di­pen­den­ti dalle altre. Firmare di­gi­tal­men­te una e-mail significa anche au­ten­ti­ca­re la paternità della firma. L’e-mail è pertanto protetta da ogni tentativo di ma­ni­po­la­zio­ne esterna anche se nel suo viaggio fino al de­sti­na­ta­rio può essere letta da terzi. La dif­fe­ren­za risiede però nel fatto che il contenuto non è più mo­di­fi­ca­bi­le. Possiamo pa­ra­go­nar­la ad una cartolina chiusa in una busta tra­spa­ren­te: leggibile ma non mo­di­fi­ca­bi­le. Quando crit­to­gra­fia­mo un´email invece, possiamo pensarla come una cartolina inserita in una busta opaca. Il contenuto è sigillato e solo la persona che possiede la chiave adatta può aprire la busta. La privacy della co­mu­ni­ca­zio­ne viene quindi com­ple­ta­men­te garantita mentre il messaggio è in viaggio. In questo articolo trovate ulteriori in­for­ma­zio­ni sulla crit­to­gra­fia delle e-mail con PGP.

Vai al menu prin­ci­pa­le