Come usare i Certificati Digitali nell'INFN
| Scritto da Roberto Cecchini (INFN - Firenze) |
Non proverò a spiegare come ci si procura un certificato: ogni Certification Authority (CA) ha le sue procedure specifiche — di solito documentate sul proprio sito web — cui rimando gli interessati. Per l’INFN CA le trovate qui.
Una premessa: come ho già detto, la “qualità” delle garanzie fornite da un certificato digitale è legata alla qualità della CA che lo ha emesso (un po’ come l’onestà del notaio garantisce l’autenticità di un documento). Tutti i browser vengono forniti con una grande quantità di certificati di CA già installati, cui possono essere aggiunti altri di propria fiducia, e quindi gli utenti che non le cancellano (cioè praticamente tutti) accettano le scelte fatte per loro, con criteri non sempre completamente trasparenti, dal fornitore del software: Microsoft, Mozilla Foundation, Apple,ecc. ecc.. Chi volesse togliersi la curiosità, in Internet Explorer, ad esempio, deve selezionare Opzioni Internet nel menu Strumenti, poi la linguetta Contenuto, in questa il bottone Certificati ed infine la linguetta Autorità di certificazione affidabili.
Posta elettronica sicura
Tutti utilizziamo la posta elettronica, è veloce e pratica, ma ha almeno due gravi difetti: non offre la minima garanzia sulla reale identità del mittente – la sua falsificazione è un gioco da ragazzi – e il suo contenuto può essere facilmente intercettato (pensatela un po’ come una cartolina).
I certificati digitali ovviano a questi difetti:
- la corrispondenza può essere firmata, in modo che il destinatario possa essere sicuro non solo dell’identità del mittente, ma anche che il contenuto del messaggio non è stato in alcun modo alterato durante la consegna;
- per di più, se anche il destinatario possiede un certificato digitale, il contenuto può essere cifrato in modo che solo il destinatario sia in grado di leggerlo.
Ci sono parecchi programmi in grado di utilizzare queste funzionalità, ad esempio Outlook Express e Thunderbird. L’uso è molto semplice (ovviamente presupponendo che il vostro certificato sia già stato installato, ma per questo rimando alle istruzioni specifiche fornite dalle CA): nella finestra di composizione messaggio basta scegliere l’opzione desiderata (firma e/o cifratura) e il gioco è fatto.
Il destinatario, quando leggerà il messaggio, verrà informato da apposite icone che si tratta di un messaggio firmato e/o cifrato, oppure che la firma non è corretta perché il contenuto è stato alterato e/o il mittente falsificato o che il messaggio non può essere letto perché cifrato e destinato a qualcun altro.
Firma di documenti
Anche i documenti in formato elettronico hanno problemi analoghi alla posta. Un documento elettronico, per sua stessa natura, è molto facilmente modificabile senza che rimangano tracce apparenti. Se questa, da un lato, è proprio la caratteristica che ce li fa preferire, dall'altro apre grossi problemi se vogliamo essere sicuri che non abbiano subito modifiche indesiderate.
Un certificato digitale permette all'autore di essere ragionevolmente sicuro che ogni modifica non autorizzata venga segnalata e al lettore che la copia in esame è identica all'originale.
Adobe Acrobat
Adobe Acrobat permette di firmare e cifrare documenti in pdf utilizzando i certificati digitali. Sono possibili molte opzioni, sia sul tipo sia sul formato della firma (vedere la figura per un esempio). Una discussione dettagliata è al di fuori degli obiettivi di questo tutorial.
Se il documento è firmato e non è stato modificato (in realtà il firmatario può consentire alcuni tipi di modifiche, come ad esempio il riempimento di modelli), alla sua apertura il lettore viene informato del fatto da un'apposita finestra.
Microsoft Word e OpenOffice
Sia Microsoft Word sia OpenOffice permettono di firmare i documenti con un certificato digitale.
In Word bisogna selezionare: Opzioni nel menu Strumenti, la linguetta Protezione e infine Firme digitali...
Se il documento è firmato, nella finestra Firma Digitale compariranno i dettagli del certificato del firmatario (vedi figura),
e in questo caso si è certi che il documento non è stato alterato dal momento dell'apposizione della firma. Se il documento invece è stato modificato in qualche modo, o non è mai stato firmato, la finestra sarà vuota.
Con Aggiungi... è possibile firmare il documento (ovviamente se si possiede un certificato digitale).
Con OpenOffice la procedura è praticamente la stessa: per ottenere la finestra che contiene le informazioni sulle firme apposte, e che permette di aggiungerne delle altre, bisogna selezionare Digital Signatures... nel menu File.
Purtroppo i due programmi non sono interoperanti: Word non riconosce il formato di OpenOffice (OpenDocument) e questo, pur essendo in grado di leggere documenti Word, è in grado di firmarli, e verificarli, solo se sono nel suo formato nativo.
Applicazioni
L'impiego principale del certificati digitali è sicuramente nella certificazione dei siti di e-commerce e nella protezione, durante il transito, dei dati trasferiti dal computer dell'utente (ad esempio il numero della carta di credito). In altre parole: l'utente che sta facendo acquisti on-line o dando ordini di pagamento alla sua banca, vuole essere sicuro di non essere collegato ad un sito fasullo che carpisca le sue informazioni riservate (phishing) e che nessuno sia in grado di intercettare i dati trasmessi. Entrambi questi scopi si ottengono dotando il sito di un certificato digitale. Si badi bene, ovviamente, che la protezione dei dati vale limitatamente alla loro trasmissione: cosa succede dopo è tutto un altro discorso. La presenza di un certificato digitale firmato da una CA cui l'utente ha dato fiducia — rammento la premessa fatta all'inizio — garantisce il nome del sito cui siamo collegati.
L'attivazione del meccanismo di protezione viene segnalata dal fatto che l'indirizzo, visibile nella finestra superiore, cominci con https:// invece del solito http:// (vedere figura). In alcuni browser, ad esempio Thunderbird, è inoltre presente una speciale icona nella barra in basso.
Oltre all'impiego classico visto prima, e cioè la certificazione del sito all'utente, se anche quest'ultimo possiede un certificato digitale è possibile l'inverso, cioè la certificazione dell'utente al sito, che a questo punto non ha più bisogno dei meccanismi tradizionali di riconoscimento — autenticazione, in gergo — tipicamente username e password, notoriamente inaffidabili. L'aumentata certezza sull'identità dell'utente permette di automatizzare procedure che richiedono un elevato livello di sicurezza, per le quali i meccanismi tradizionali di autenticazione non sono ritenuti sufficientemente sicuri.
A titolo di esempio, nella sezione di Firenze è in uso una procedura online di autorizzazione missioni, che fa uso dei certificati digitali del richiedente, del responsabile dei fondi e del Direttore per garantire l’autenticità delle varie fasi. E ancora: l'uso dei certificati digitali è indispensabile per l'accesso alle risorse dei vari progetti GRID.
Conclusione
Spero di essere riuscito a dare un'idea delle possibilità di applicazione dei certificati digitali, anche se mi rendo conto che, per forza di cose, le informazioni fornite sono molto superficiali.
Ricordo che l'INFN gestisce una Certification Authority, in funzione ormai da 8 anni, a disposizione dei dipendenti e associati che vogliano utilizzare questa tecnologia. Invito gli interessati a leggere la documentazione sul sito, a chiedere consulenza alle loro Registration Authority o a rivolgersi a noi (in ordine di preferenza...) per risolvere gli eventuali problemi.
Ringrazio chi ha avuto la pazienza di leggermi fin qui e lo invito a farmi avere le sue osservazioni e suggerimenti.