L’autenticazione digitale è un sistema di sicurezza mirato a identificare il visitatore/cybercliente; sia il cliente che il venditore certificano e danno prova d’essere autenticamente identificati e testati; tutto ciò significa per chi vende disporre di un certificato d’ autenticazione.
L’autenticazione digitale è un modo di dare sicurezza ad una transazione
Essa assolve alla funzione di verificare l’identità della persona che passa un ordine al sito; il tutto deve essere fatto con discrezione senza importunare lo stesso cybercliente.
In particolare l’autenticazione è in grado di dare una serie di garanzie e attestazioni su identità cybercliente, data della transazione, prodotti/servizi selezionati, acquisto fatto.
Tra i vari mezzi in grado di permettere l’autenticazione vogliamo ricordare:
– Password: nel momento che un utente accede ad un sito è possibile autenticarlo se dispone di un’abituale password.
– Crittografia a chiavi asimmetriche pubbliche
In base ad un algoritmo di crittografia “a chiavi asimmetriche” si possono generare due chiavi crittografiche in relazione univoca tra loro; queste due chiavi saranno una privata e l’altra pubblica e verranno usate rispettivamente per cifrare e l’altra per decifrare.
– Autenticazione di terzi
Spetta al servizio di un terzo convalidare che il sito che riceve un’informazione sia quello giusto; l’autenticazione di terzi garantisce che il server che riceve l’informazione è sicuro e corretto; evidentemente per usare questa autenticazione è necessario registrare il sito presso una società che emetta certificati digitali.
-PGP (Pretty Good Privacy): permette la codifica e l’autenticazione di file trasmessi via e-mail.
-Tecniche biometriche: l’autenticazione può anche essere fatta ricorrendo a mezzi come l’impronta digitale, il riconoscimento della voce o del volto, la pressione dei tasti, l’esame della retina.
Esiste un solo marketing, molti approcci, tanti canali ma un solo target ed una sola strategia. No a tanti marketing si molteplici strumenti
Massimiliano Vigilante
Certificazione e certificati digitali
I certificati digitali, chiamati anche ID, dotano di sicurezza lo scambio d’informazioni confidenziali, quindi con garanzia d’ autenticità e non ripudiabilità attestano l’identità d’individui o d’ aziende nel mondo telematico.
Questi certificati si basano sulla crittografia a chiave asimmetrica (chiave pubblica); essi sono a prova di falsificazione e non possono essere contraffatti; sono rilasciati da una Certification Authority (CA), ente pubblico o privato, autorizzato dallo stato sulla base della legislazione vigente, a certificare il legame tra una chiave pubblica e l’utente della chiave stessa. La CA garantisce l’identità della chiave pubblica; il ricorso ad essa si rende necessario allorché si ricorre al sistema di crittografia visto che si possono registrare delle anomalie tra nominativo ed autore di un documento; per sopperire a questa eventualità si ricorre alla CA in grado di garantire l’autenticità della persona; un certificato della CA assicura l’identità di un sito nella sua chiave pubblica, permettendo una comunicazione sicura con esso; va detto che molti browser hanno preinstallate le chiavi pubbliche di molte CA.
Normalmente per ottenere una certificazione bisogna garantire affidabilità ad una Registration Authority, per esempio una banca che raccolga i dati anagrafici e li comunichi alla CA; una volta che la Registration Authority abbia identificato ed autenticato l’utente, questi con un software potrà produrre chiavi di crittografia. Il certificato avrà il nome del titolare, un numero di serie, una copia della chiave pubblica usata dal titolare del certificato così da crittare e decrittare i messaggi e le eventuali firme digitali, nonché la firma digitale dell’ente che emette il certificato così da permettere al ricevente di verificare l’autenticità del certificato; la firma digitale garantirà l’identità della persona che invia il messaggio.
Ottenere un certificato digitale
Infatti chi desidera ottenere un certificato digitale, deve generare una chiave pubblica e una privata, quindi inviare quella pubblica alla CA in conformità della procedura di sottoscrizione e identificarsi secondo le modalità previste dalla stessa CA; a seguito dell’identificazione certa e la verifica di validità della chiave pubblica, la CA invia un certificato digitale all’utente ed evidenzia la chiave pubblica.
L’offerta di certificati digitali si riferisce a:
•certificati di firma: …..@Sign;
•certificati SSL a 128 bit: …..@Sign-Web;
•certificati di crittografia: …..@Sign-Crypt:
• certificati per sviluppatori di software: …..@Sign-Developer.
In conformità a quanto evidenzia il CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione) l’offerta di certificati di firma digitale è rilasciata in Italia da alcuni enti certificatori accreditati (S 4.4.4.6.); per quanto poi riguarda i certificati digitali SSL utilizzati per proteggere i siti di e-commerce e le comunicazioni su siti web, reti Intranet ed Extranet, è possibile rivolgersi ad un ente di certificazione come VeriSign (www.verisign.it/ssl/ index.html) che mette a disposizione una sua tecnologia di crittografia e quindi rigorose procedure di autenticazione; l’uso dei certificati SSL di VeriSign e del simbolo VeriSign Secured Seal garantisce ai clienti l’assoluta sicurezza delle transazioni e identifica i siti che lo espongono come affidabili.
Firme digitali
Buona parte dei documenti elettronici richiedono spesso una firma che attesti un’avvenuta transazione; la firma digitale può rispondere a questa esigenza vista la validità legale che le è stata attribuita nel contesto della Legge Bassanini relativamente agli atti formati e stipulati con mezzi informatici, nonché alla loro archiviazione e trasmissione.
La firma digitale si basa sul sistema di crittografia, precisamente con chiave Pubblica; sostituisce la firma manoscritta per certificare l’identità di una persona e Può essere usata nell’invio di posta elettronica o di documenti al fine d’autenticare chi sottoscrive o chi invia messaggi; è il risultato che si consegue dall’applicazione di una procedura informatica di validazione, basata su un sistema di chiavi Pubbliche asimmetriche a coppia, una pubblica e una privata, che consente a chi Sottoscrive tramite la chiave privata e al destinatario tramite la chiave pubblica rispettivamente d’esprimere e verificare la provenienza e l’integrità di uno o più documenti informatici.
Per ogni utente che ne faccia richiesta vengono così predisposte due chiavi, in Pratica due sequenze di bit basate su algoritmi, la chiave privata e la chiave pubblica agenti in senso contrario; per garantire chi riceve il messaggio sull’identità di un utente, è sufficiente cifrarlo con la chiave privata che si dispone; il messaggio potrà essere solamente decifrato con la chiave pubblica che colui che riceve conosce; se il messaggio verrà correttamente decifrato da questa chiave, dovrà obbligatoriamente provenire da chi conosce la chiave privata; in pratica la chiave pubblica è messa a disposizione di chiunque, mentre quella privata tenuta segreta dal possessore. In pratica quanto cifrato dalla chiave privata, potrà solamente essere decifrato dalla corrispondente chiave pubblica e viceversa. Una firma digitale assicura che una transazione o un documento sia stato sottoscritto dal titolare della firma stessa.
Questo sistema permetterà di conseguire una serie d’obiettivi:
–verifica dell’identità del mittente, della data, dell’ora;
–verifica dell’integrità del messaggio;
–verifica attraverso terzi della non ricusabilità del messaggio.
La normativa italiana prevede per la firma digitale un valore legale di documento informatico valido a tutti gli effetti di legge e in grado di garantire:
–integrità delle informazioni scambiate;
–identità di chi le ha inviate;
–non ripudiabilità.
