Torna Indietro

Mansioni, servizi e requisiti dei certificatori
Gli enti certificatori svolgono le seguenti mansioni:

Verificano ed attestano, emettendo un apposito certificato digitale, l’identità del titolare di una determinata chiave pubblica (e quindi della chiave privata corrispondente, che viene usata per "firmare" digitalmente) ed eventualmente la veridicità di una serie di altre informazioni;
Stabiliscono il termine di scadenza dei certificati, quindi il periodo di validità delle chiavi, in funzione degli algoritmi utilizzati, della lunghezza delle chiavi e del tipo di servizio per il quale sono impiegate;
Pubblicano il certificato e la chiave pubblica, in modo tale che gli interessati possano avere la sicurezza dell’avvenuta certificazione;
Ricevono la segnalazione di eventuali smarrimenti, cancellazioni, furti, divulgazioni improprie di chiavi private e pubblicano quindi la lista dei certificati revocati o sospesi.
Dato il carattere delicato dei compiti che svolgono e le responsabilità connesse, i certificatori sono oggetto di diverse proposte, anche sul piano legislativo, volte ad aumentarne o garantirne l’affidabilità. Tali proposte sono in genere legate al riconoscimento della validità legale della firma digitale, che viene a dipendere, appunto, dalla certificazione della chiave pubblica di un utente, effettuata in base a certe regole da parte di determinati soggetti. Il rispetto di regole è importante comunque per i certificatori che si candidano ad emettere certificati che abbiano un uso e un riconoscimento diffuso o, comunque, ad erogare servizi sul mercato.

Altre CA sono quelle istituite da singole aziende ed altri organismi come soluzione "forte" ai problemi di sicurezza ed autenticazione dei propri dipendenti, clienti e fornitori, in ambienti Intranet o Extranet. In questo caso, le regole e la validità della certificazione sono stabilite in base ad accordi contrattuali tra le parti.

I servizi

I servizi offerti sul mercato della certificazione della firma digitale sono molteplici e tendenzialmente modellati in base alle richieste dei singoli clienti e dei diversi scopi.
Ogni certificatore esplicita le caratteristiche e procedure dei propri servizi, le responsabilità che ne derivano per sé, per gli utenti e per i terzi, nel cosiddetto Certification Policy/Practices Statement, o CPS, ossia le linee-guida seguite per l’emissione di certificati.
Ad esempio, possono essere emesse diverse tipologie di certificati.
In base alla categoria di richiedente: certificati server o client.

Il certificato server attesta l’identità di un server Web (o di un soggetto responsabile dello stesso), facilitando l’effettuazione di comunicazioni con clienti e partner commerciali. Ad esempio, chi accede ad un sito per acquistare determinati beni o servizi e deve inviare informazioni riservate per effettuare un pagamento ha la garanzia che si tratti di un "server sicuro".

Il certificato client attesta l’identità o ulteriori attributi del richiedente. Può trattarsi di una persona fisica o giuridica, ma sempre nella sua qualità di utente.
In base al tipo di informazioni e al livello di sicurezza che forniscono: suddivisione dei certificati in classi.

Le classi inferiori, spesso gratuite e per usi semplici o dimostrativi, riguardano gli indirizzi di posta elettronica, che sono controllati attraverso una verifica online e non contengono necessariamente l’effettiva identità dell’utente (nome e cognome), ma eventualmente una sigla o uno pseudonimo.
Per le classi superiori, che attestano informazioni di maggiore delicatezza, è invece richiesta la presentazione o l’invio di documenti cartacei comprovanti la veridicità dei dati forniti, in originale o copia autenticata da un pubblico ufficiale (notaio), e/o la presenza fisica del richiedente.
Il mandato della legge italiana di "identificare con certezza la persona" sembra rendere l'incontro de visu con il richiedente un passaggio imprescindibile per emettere certificati che diano piena validità legale alla firma digitale, ma non limita ovviamente l'emissione con altre procedure di certificati con altri tipi di validità.
In ogni caso, uno stesso soggetto può richiedere ed utilizzare una molteplicità di certificati contenenti informazioni qualitativamente e quantitativamente diverse, a seconda delle proprie esigenze: lavoro, tempo libero, rapporti con le Pubbliche Amministrazioni. Ciò consente una maggiore salvaguardia della riservatezza degli utenti, che non sono in tal modo costretti a divulgare informazioni non necessarie allo scopo contingente. In molti casi di CA private è possibile richiedere all’ente certificatore di modificare il contenuto informativo di un determinato certificato senza alcuna difficoltà e in tempi brevi.

I requisiti

Il DPR 513/97 art. 8 stabilisce precisi requisiti per l'esercizio dell'attività di certificazione ai fini della validità legale della firma digitale:

Forma di società per azioni con capitale minimo necessario per svolgere attività bancaria;
Requisiti di onorabilità in capo ai rappresentanti legali e ai responsabili dell'amministrazione;
Competenza ed esperienza dei responsabili tecnici;
Conformità di processi e prodotti informatici in base a standard riconosciuti di qualità.
Il Regolamento Tecnico impone il rispetto di una serie di disposizioni relative a:

iscrizione nell’elenco pubblico dei certificatori tenuto da AIPA (artt. 15-17);
requisiti dei certificatori (art.18);
certificazione tra certificatori (art.21);
registrazione dei titolari(art.22);
generazione dei certificati (art.28);
revoca e sospensione dei certificati (artt.29-40);
requisiti (art.41) e piano per la sicurezza (art.46);
sistema di generazione dei certificati (art.42);
registro dei certificati (artt.43-44);
certificazione di qualità (art.48);
organizzazione e requisiti del personale (artt.49, 51).

A tutti i certificatori sono imposte la pubblicazione e la gestione dell’elenco delle chiavi pubbliche degli utenti e della lista delle chiavi revocate.

La validazione temporale

La validazione temporale ( time stamping) avviene con la generazione di una marca temporale da parte di un apposito sistema elettronico sicuro. Si tratta dell’indicazione dell’ora e del giorno esatti in cui è stata apposta la firma di un documento informatico; in tal modo è possibile stabilire, anche ai fini probatori, il momento in cui questo è divenuto valido. Tale procedura, oltre ad attribuire data certa ai documenti informatici, è essenziale per impedire la formazione fraudolenta di documenti "retroattivi" utilizzando chiavi revocate o scadute.

Secondo una procedura tipica, l'impronta digitale del documento - che lo identifica univocamente senza rivelarne i contenuti - è inviata alla CA, che vi aggiunge la data e l'ora e cifra il tutto con la propria chiave privata. La marca temporale viene quindi reinviata al richiedente che la allega al documento. Chiunque è in grado di verificare se l'impronta associata alla data coincide con quella del documento firmato. In caso contrario, si ha la prova che il documento è stato alterato in un momento successivo alla marcatura.
Lo schema di Regolamento Tecnico nel Titolo III stabilisce regole precise sulla validazione temporale, in particolare in riferimento a: funzione delle marche temporali; caratteristiche del sistema di generazione delle marche; informazioni contenute nella marca temporale; chiavi di marcatura temporale;
precisione, sicurezza e requisiti del servizio.