Pec e firma digitale: come funzionano

Se diversi anni fa le email erano utilizzate solo per velocizzare le interazioni tra persone distanti tra loro, al giorno d’oggi la posta elettronica ha un utilizzo molto più improntato agli scambi di informazioni e di direttive nel campo lavorativo. Qualsiasi azienda, che sia essa di piccole o grandi dimensioni, fa uso della posta elettronica sia per poter interagire in modo rapido ed efficiente, sia per poter scambiare con altre persone documenti di una certa rilevanza.

Con un utilizzo tanto delicato di un metodo vulnerabile come la posta elettronica, però, si è sentito il bisogno di mettere a punto delle norme di sicurezza per proteggere i messaggi scambiati tra un dato mittente e destinatario, per preservare la privacy e l’integrità del dato trasmesso. Oltre a ciò, si è buttato un occhi anche sul come identificare in modo efficace il mittente, per essere sicuri di non interagire con una persona non voluta.

Se, infatti, coi messaggi a mano il mittente veniva certificato grazie alla propria firma, con i messaggi online ciò non era possibile. Tra le tante metodologie di sicurezza in atto per preservare la sicurezza dei messaggi, quindi, possiamo trovare tecniche come PEC e firma digitale.

I dettagli che concernono questo mondo sono tanti e non adatti a persone con poca esperienza in tale campo, ma grazie a diverse guide queste ultime possono essere aiutate ed introdotte in questo mondo con step semplici e intuitivi. Alcune di queste guide vengono presentate dalla Partner Data, una società impegnata completamente nelle varie metodologie di sicurezza per quanto riguarda gli elaboratori, la messaggistica, le smart card e tanto altro. Detto ciò, una breve spiegazione per quanto riguarda la firma digitale e la PEC.

Firma digitale: cos’è

firma digitaleLa firma digitale è una tecnica matematica utilizzata per convalidare l’autenticità e l’integrità di un messaggio, di un software o di un documento digitale. Questa è praticamente l’equivalente digitale di una firma scritta a mano o di un bollo, ma offre una maggiore sicurezza, essendo utilizzata per risolvere problemi di manomissione o impersonificazione nelle comunicazioni digitale.

Le firme digitali possono fornire certezze per quanto riguarda l’origine, l’identità e lo stato di un documento elettronico, di una transazione o di un messaggio. In alcuni stati, come ad esempio gli Stati Uniti, le firme digitali hanno la stessa validità legale delle più comuni firme a mano sui documenti.

Firma digitale: come funziona

Ma come funziona la firma digitale? Le firme digitali sono basate su una crittografia a chiave pubblica, anche conosciuta col nome di crittografia asimmetrica. Utilizzando un algoritmo a chiave pubblica (come ad esempio l’RSA) vengono generate due chiave che sono connesse matematicamente: una privata e una pubblica. Per creare una firma digitale, un software di firma crea una serie di dati elettronici da firmare: la chiave privata è utilizzata per criptare questa serie. La serie criptata (oltre ad altre informazioni, come l’algoritmo di serie) è la firma digitale.

Il motivo per cui è la serie di dati che viene criptata e non l’intero messaggio o documento è che la funzione della serie di dati può convertire un input arbitrario in un valore a lunghezza fissa, che è spesso molto più breve rispetto al messaggio. Il valore della serie è unico per il dato seriale. Ogni cambiamento nei dati, anche il cambiamento o l’eliminazione di un singolo carattere, va a modificare il valore iniziale.

Questa caratteristica permette ad altri utenti di convalidare l’integrità del dato, utilizzando la chiave pubblica di firma per decriptare la serie.
Se la serie decriptata è compatibile con una seconda serie computerizzata dello stesso dato, il dato non è stato modificato dal momento in cui è stato firmato. Se le due serie non coincidono, invece, il dato è stato o contraffatto o la firma è stata creata con una chiave privata che non corrisponde con la chiave pubblica offerta al firmatario. Una firma digitale può essere utilizzata in qualsiasi tipologia di messaggio (sia criptato che non), così che il ricevente possa essere certo dell’identità del mittente e del fatto che il messaggio sia arrivato intatto e non modificato.

Le firme digitali rendono difficile al firmatario negare di aver firmato qualcosa: una delle caratteristiche principali di questo tipo di firma è, infatti, il non ripudio, ovvero l’impossibilità da parte del mittente di ripudiare di aver firmato un dato documento. Questo purché la chiave privata non sia stata compromessa, poiché la firma digitale è unica sia per il documento che per il firmatario.

Un certificato digitale, un documento elettronico che contiene la firma digitale dell’autorità certificante, collega una chiave pubblica ad un’identità e può essere utilizzata per controllare l’appartenenza di una determinata chiave pubblica ad una particolare persona o entità.
La maggior parte delle caselle di posta supportano l’utilizzo della firma digitale e del certificato digitale, rendendo semplice il processo di firma su tutte le email uscenti e validando digitalmente i messaggi firmati in entrata. Le firme digitali sono anche utilizzate per fornire prove di autenticità, di integrità dei dati e di non ripudio delle comunicazioni e delle transazioni condotte attraverso Internet.

Firma digitale e smart card

La firma digitale, per quanto abbia comunque un utilizzo incentrato principalmente sul riconoscere l’integrità di un determinato messaggio, in alcuni ambiti lavorativi e sociali ha un valore più elevato per quanto riguarda l’autenticità del mittente o, in questo caso, l’identità dello stesso.

In alcune organizzazioni governative, ad esempio, dove la privacy e la sicurezza dei dati è parte della routine quotidiana, un grande utilizzo delle firme digitali viene fatto grazie alle identificazioni tramite smart card, che permettono di gestire l’accesso a risorse sia fisiche che online grazie agli accessi controllati a network, sistemi, costruzioni e spazi. Le firme digitali e le tecnologie che le regolano possono essere utilizzate in diversi modi per andare incontro alle necessità di qualsiasi tipo di organizzazione, agenzia o dipartimento.

Utilizzare il giusto metodo per immagazzinare credenziali utili per una corretta firma digitale permette alle varie compagnie di evitare rischi, di migliorare la propria produttività e di incrementare i propri risparmi in termini economici, grazie ai ridotti costi di gestione della sicurezza.

PEC: Cos’è

La PEC (Posta Elettronica Certificata), anche conosciuta come posta autentificata, è un sistema nel quale i mittenti di email di tipo commerciale pagano una piccola tassa per avere la certezza che i propri messaggi bypassino il filtro antispam per arrivare in modo certo ai destinatari. La tassazione sulle email è stata a volte chiamata email postage. Le email certificate sono una tipologia di email nella quale il mittente viene certificato da terze parti neutrali.

In pratica, la PEC ha il compito di offrire un equivalente legalmente valido per i pacchi registrati ma in ambito digitale. In parole povere, la PEC è la controparte elettronica di ciò che la posta raccomandata con ricevuta di ritorno è in termini pratici. Questo perché le caselle di posta elettronica certificata sono gestite da aziende di terze parti, che hanno il compito di regolare il flusso di messaggi in entrata e in uscita da parte di chi usufruisce di questo servizio.

Il mittente, ad esempio, invia un messaggio ad un determinato destinatario. L’azienda di terze parti si occupa quindi di andare a fornire una vera e propria ricevuta a tale mittente, confermando a quest’ultimo l’avvenuto invio e la ricezione del messaggio e i dati riguardanti tale ricezione, come l’orario di arrivo. Inoltre i gestori di PEC forniscono un grande livello di sicurezza a chi ne usufruisce, con protocolli appositi atti a mantenere intatta l’autenticità e l’integrità del messaggio inviato. Dato molto importante: la ricevuta di corretto invio fornita dal gestore al mittente fornisce una prova che ha validità legale.

Questo avviene per evitare contese di tipo legale tra mittente e destinatario riguardo l’invio o meno di un determinato messaggio e di eventuali allegati, anche esso segnalati come correttamente inviati dal gestore. Per quanto riguarda quanto detto fin’ora, quindi, i gestori si occupano di certificare il corretto flusso di messaggi inviati da una casella di PEC e di fornire una ricevuta se il messaggio è stato correttamente inviato.

Queste aziende, però, si occupano anche di fornire informazioni per quanto riguarda lo stato del messaggio in tempo reale, andando a comunicare al mittente se tale messaggio è in stato di accettazione da parte del server, di invio o di consegna, in modo da eliminare qualsiasi dubbio sul quando e come un determinato messaggio sia stato inviato e in seguito ricevuto. Oltre a ciò, il gestore della casella di posta si occupa anche di conservare, per un periodo di circa due anni e mezzo, una copia delle ricevute di ritorno dei messaggi inviati, nel caso in cui il proprietario della casella di posta abbia smarrito tali ricevute. È scontato ribadire che la copia di tali ricevute conservate dal gestore hanno la stessa identica validità legale delle ricevute inizialmente fornite al mittente.

Conclusione

Tornando un attimo all’azienda citata in precedenza, la Partner Data, è importante citare come aziende di questo tipo facilitino l’introduzione degli utenti nel mondo della sicurezza informatica, mettendo a loro disposizione l’accesso a tecnologie complesse ma allo stesso tempo funzionali, come le sopracitate caselle di posta elettronica certificata, le smart card e i certificati digitali per entrare in possesso di una propria firma digitale.

Tali tecnologie diventano sempre più necessarie mano a mano che l’azienda (o il privato) che ne vuole fare uso accresce di dimensioni e, di conseguenza, gestisce una maggiore mole di dati che deve essere in un modo o nell’altro gestita in piena sicurezza.