Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

FAQ: Domande e risposte sulla firma digitale
di Manlio Cammarata e Enrico Maccarone - 19.09.02

32. Dove sono gli elenchi delle chiavi?

Le chiavi pubbliche sono iscritte in registri consultabili da tutti? Come faccio a conoscere la chiave pubblica di un determinato soggetto? Dove sono consultabili?

L'art. 27, comma 2 del testo unico sulla documentazione amministrativa (DPR 445/00) stabilisce che "Le chiavi pubbliche di cifratura sono custodite per un periodo non inferiore a dieci anni a cura del certificatore e, dal momento iniziale della loro valutabilità, sono consultabili in forma telematica" ("valutabilità" deve essere letto come "validità").
Le regole tecniche (DPCM 8 febbraio 1999) all'art. 13 dettano le "modalità di accesso ai registri dei certificati": espressione più corretta, perché quello che è importante conoscere è il certificato, non la semplice sequenza di bit che costituisce la chiave pubblica.

Ogni certificatore descrive nel manuale operativo le modalità di accesso al registro, ma di fatto si tratta di una pura formalità, perché non ha senso una verifica manuale, o "a occhio" della firma digitale.
Provvede a tutto, automaticamente, il software di verifica della firma. Che però, di norma, non effettua una verifica diretta della chiave pubblica sul registro del certificatore, ma la preleva dal certificato allegato alla firma, che contiene la chiave pubblica del certificatore. E' su questa che viene operato il controllo: se il certificato del certificatore è valido, allora è valida anche la chiave pubblica del firmatario contenuta nel relativo certificato.

Invece il controllo più critico è quello che deve essere fatto sulle liste di sospensione e revoca, che può effettuarsi sia on line in tempo reale sia sulle copie delle liste stesse che il software provvedere ad archiviare sul computer dell'utente. Evidentemente la periodicità dell'aggiornamento delle liste scaricate è l'aspetto più critico del sistema e l'eventuale controllo immediato di un certificato più o meno sospetto rientra nella responsabilità di chi verifica una firma.

INDICE FAQ