Differenza tra Smart card, Token USB e Firma digitale

Smart card e Token USB

La smart card è un dispositivo hardware, evoluzione della normale tessera magnetica. Contiene un microchip, nel quale sono integrati vari componenti, come un microprocessore a 8 bit, un coprocessore crittografico, e varie memorie per l’archiviazione dei dati. La costruzione del microchip porta all’inattaccabilità esterna delle memorie e dei dai al loro interno, a meno di una riprogrammazione completa della stessa. Grazie alle caratteristiche di protezione dei dati del microchip e alla presenza del coprocessore crittografico, sulle smart card è quindi possibile inserire in tutta sicurezza un certificato digitale X509. Di norma le smart card sono protette da un codice per poter essere attivate. Questo è il codice PIN, solitamente una stringa di quattro cifre.

Per poter essere lette, le smart card necessitano di un apposito lettore hardware esterno, il che alle volte non è sempre presente in un normale personal computer.
Per questo motivo, i dispositivi token USB si stanno espandendo sempre più frequentemente. Un token USB svolge le stesse funzioni di una smart card, il tutto integrato in una semplice chiavetta collegabile al computer tramite la porta USB, presente oramai dovunque.

L’autenticazione con smart card o token USB garantisce molta più sicurezza rispetto ai metodi tradizionali, in quanto oltre a possedere il dispositivo stesso, l’utente deve anche conoscere la password o il codice di attivazione.

La possibilità di avere una smart card o un token USB per l’autenticazione inoltre fornisce anche molta flessibilità e portabilità, in quanto può essere usata dovunque vi sia il dispositivo di lettura o la porta USB, non rilegando quindi l’utente ad utilizzare il proprio certificato X509 solo sul proprio PC locale.

Tecnologia di autenticazione delle Smart card e token USB

Le smart card e i token USB sono una tecnologia di autenticazione basata sulla crittografia a chiave privata/chiave pubblica. All’interno del dispositivo è conservata la chiave privata che identifica l’identità a cui è associata.
L’accesso alla chiave privata non è possibile a meno di conoscere il PIN dispositivo che l’utente titolare della smart card o del token riceve al momento dell’assegnazione dell’identità digitale.
L’uso della crittografia a chiave pubblica consente tecnicamente di implementare tutte le principali caratteristiche di questo tipo di comunicazione:

1. riservatezza: la possibilità di rendere impossibile la decodifica del messaggio a chi non fa parte della comunicazione;
2. non ripudio: la caratteristica di rendere inoppugnabile la responsabilità di partecipa alla comunicazione e al suo contenuto;
3. integrità: la capacità di rilevare manomissioni al messaggio tra l’invio e la ricezione dello stesso;
4. autenticazione: la caratteristica di poter garantire l’identità associata a chi partecipa alla comunicazione.

In questo contesto l’aspetto di interesse è l’ultimo, grazie al quale è possibile verificare con sicurezza un’identità digitale che di norma corrisponde in senso stretto a un’identità anagrafica. Infatti le smart card sono spesso fornite attraverso procedure di assegnazione e verifica de visu, oppure tramite meccanismi di reliance authentication. La validità dell’identità assegnata è poi assicurata tramite l’uso di Certification Authority per l’emissione e revoca dei certificati.

Firma digitale

Talvolta per essere sicuri che nessuno intercetti i dati e le informazioni che due soggetti si stanno scambiando, è utile avere un mezzo per poter verificare che nessuno li abbia modificati durante la trasmissione. Il documento che è stato inviato dall’identità digitale dichiarata, deve poter essere verificato e giudicato autentico in modo veloce, sicuro e garantito.

L’autenticità nei documenti legali o finanziari in formato cartaceo è garantita dalla presenza della firma autografa autorizzata originale. Fotocopie a tali documenti non sono ritenute valide a fini legali e giuridici. È quindi necessario disporre di un metodo analogo di firma certificata, anche per i documenti elettronici. Nasce quindi l’idea di introdurre una firma digitale nei documenti elettronici che vengono scambiati con mezzi informatici. La firma digitale è il risultato di una sorta di validazione informatica che permette al sottoscrittore di provare l’ autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità.
Finora si è partito dal presupposto che solo un intruso esterno abbia l’intenzione di modificare il contenuto di un documento. In realtà ci sono svariati motivi per i quali sia il destinatario, che il mittente, possano avere interesse nel modificare delle parti del messaggio. Si prenda come esempio un agente di borsa che opera con compravendita on-line di azioni. Questi invia alla propria banca l’ordine di comprare un certo numero di azioni. Poco dopo le azioni crollano, e l’agente cercando di imbrogliare la banca, dichiara di non aver mai compiuto l’ordine. In questo caso il disonesto sarebbe l’agente di borsa, ovvero il mittente.

Continuando con l’esempio precedente, si ipotizzi invece il caso in cui le azioni invece che crollare, fossero salite vertiginosamente. La banca potrebbe affermare che l’agente di borsa avesse ordinato un numero molto inferiore di azioni rispetto a quello reale, e tenersi il resto del guadagno. In questo caso il disonesto sarebbe la banca, quindi il destinatario.
In formato cartaceo, per ovviare a questo tipo di frodi, solitamente si tiene questa tipologia di documenti in duplice copia, ognuno debitamente firmato da entrambi.
Invece nei documenti elettronici, la struttura e gli schemi della firma digitale assicurano ed implementano il principio del non ripudio: chi ha firmato il documento trasmesso non può negare di averlo inviato, ed il destinatario non può negare di averlo ricevuto. L’informazione quindi non può essere disconosciuta.
La garanzia che il documento informatico non possa essere stato modificato dopo la sua sottoscrizione, senza accorgersene, deriva dal fatto che una specifica procedura di verifica del contenuto del messaggio mostrerebbe subito le eventuali modifiche.

La firma digitale solitamente è inserita all’interno di una smart card o di un certificato digitale, che contiene informazioni del titolare, la sua chiave pubblica di firma, ed eventuali altri attributi. Perché queste informazioni siano qualificate, debbono essere validate da un ente certificatore, che ne controlla il rilascio e la pubblicazione su un apposito registro.
La certezza che solo il titolare della firma possa aver sottoscritto il documento, deriva dal fatto che è l’unico in possesso di essa e del dispositivo di firma associato, ed è anche l’unico a conoscere il PIN segreto per utilizzare il dispositivo stesso. Inoltre l’ente che ha certificato le informazioni ne garantisce la loro veridicità.
Esempi tipici dell’utilizzo della firma digitale possono essere tutti gli adempimenti da effettuare verso le amministrazioni: denunce, dichiarazioni di cambi di residenza, di domicilio, richieste di contributi, di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, ecc.

Fra privati, può trovare impiego nella sottoscrizione di contratti, verbali di riunioni, ordini di acquisto, risposte a bandi di gara, ecc. La firma digitale trova già da tempo applicazione nel protocollo informatico, nella procedura di archiviazione documentale, nel mandato informatico di pagamento, nei servizi camerali, nelle procedure telematiche d’acquisto, ecc.
La firma digitale sta avendo sempre più successo su scala mondiale e nella comunità europea in quanto questa è uno strumento molto potente e come tale deve essere utilizzato nei modi e nei casi appropriati. Infine, bisogna dire che non è corretto il suo utilizzo solo come sistema di identificazione e autenticazione in rete, per il quale esistono strumenti quali la carta d’identità elettronica e le carte di accesso ai servizi che meglio svolgono questo compito.