114
AUTOMAZIONE OGGI 360
SOLUZIONI SOFTWARE PER L’INDUSTRIA
S
SI
know-how
‘
Uso certificati standard e pertanto sono al sicuro’. L’unico fat-
toredi sicurezzapresente in tale affermazione consistenel fatto
che non si può asserire con certezza se corrisponde a verità in
quantonon tiene contodi scenari diminaccia come ‘al sicuroda
chi’ o ‘al sicuro da cosa’. L’uso di firme elettroniche e certificati
standard per email, ad esempio, può essere considerato sicuro
se il verificatore è fidato. Nel caso di protezione del software
tuttavia, firme e certificati spesso trasmettono un falso senso
di sicurezza. Ed è proprio qui che
CodeMeter di Wibu Systems di-
mostra il suo valore. In aggiunta
ai meccanismi di cui sopra, si av-
vale anche di dissimulazione e ca-
muffamento per gestire ambienti
insicuri ove il processo di verifica
abbia luogo.
Che cos’è una firma?
Una firma è il nome di un indivi-
duo scritto in forma distintiva che
consente l’identificazione della
persona stessa. Una differente autorità utilizzametodi consoni
di verifica del nome. Le firme vengono implementate utiliz-
zando la crittografia asimmetrica. La crittografia asimmetrica
è basata su una coppia di chiavi: una privata e una pubblica.
Come il nome stesso indica, la chiave privata deve rimanere
segreta mentre l’accesso a quella pubblica è consentito a tutti.
Per cui vediamo quale è il metodo sicuro per trasmettere email.
Sia il mittente sia il ricevente possiedono una propria coppia
di chiavi. Ciascuno conosce la chiave pubblica dell’altro. Se
desidero sincerarmi che soltanto il ricevente cui il messaggio
è realmente indirizzato possa leggerlo, lo crittografo con la
chiave pubblica del ricevente stesso. Il messaggio può essere
decrittato soltanto dal ricevente usando la sua chiave privata.
Se il ricevente vuole essere sicuro che il messaggio provenga
realmente da me e che non sia stato contraffatto, lo firmo con
la mia chiave privata. Qualsiasi ricevente in possesso della mia
chiave pubblica può verificare l’autenticità della provenienza
del mio messaggio. Ovviamente è anche possibile combinare
i due metodi, ad esempio firmando e crittografando il messag-
gio al contempo. La precedente descrizione semplifica molto
il processo, in quanto precedentemente alla firma dell’email
deve essere generato un valore di hash e utilizzato uno schema
ibridodi crittografia basato su chiave simmetrica e asimmetrica.
Il concetto di base permane comunque.
Tutta questione di fiducia
Come spiegato poc’anzi, la chiave pubblica non è segreta. Può
essere condivisa e utilizzata da chiunque, ad esempio, per invi-
armi segretamente un messaggio o verificare la mia firma. Ma
come può la mia controparte sa-
pere con certezza che lamia chiave
pubblica è realmente la mia e non
appartiene ad altri?Questo è il noc-
ciolo della questione in merito alla
crittografia asimmetrica. Ed ecco
che entrano in gioco i certificati.
Qualcuno, chemi conosce personalmente o al quale possopro-
vare la mia identità senza alcun dubbio di smentita, emette un
certificato amionome. Questo certificato contiene ilmionome,
la chiave pubblica e un periodo di validità. Il ricevente dell’email
è così ingradodi verificare lamia chiavepubblica. Lamia contro-
parte può ora verificare la mia chiave pubblica. Ma attenzione.
Come può sapere che il mio certificato è autentico? Può since-
rarsene solo se ha la chiave pubblica della persona che mi ha
emesso il certificato. E pertanto si innesca un circolo vizioso:
chi certifica il certificatore? Indipendentemente dalla lunghezza
della catena di certificazione, alla fin fine vi sarà un elemento in
essa di cui dovrò fidarmi, come ad esempio un certificato root. I
sistemi operativi dei computer normalmente contengono uno
o due certificati root rilasciati dalle certification authority. Per i
sistemi cloud, come quelli di iPhone o delle console di gioco, il
certificato root è quello del produttore del dispositivo
Chi verifica la firma?
Le firme e i certificati esistono, ma non è detto che essi neces-
sariamente proteggano. Se si pensa di affidare al sistema ope-
rativo (Windows, Mac OS) per la protezione, si è in errore. La
CodeMeter di Wibu Systems viene utilizzato
nel caso di protezione di firme e certificati
Rüdiger Kügler
Ilmito
dellafirma elettronica
La firma viene generata dalla
chiave privata. La correttezza
viene verificata dalla chiave
pubblica