[NEWS] PEC e S/MIME: equivalenti o complementari?

[c.m.g]

May 7th, 2010 by Marco



Si fa tanto parlare in questi ultimi tempi di posta elettronica certificata, o PEC. In particolare si discute molto riguardo possibili alternative – legalmente valide – legate all’utilizzo di certificati S/MIME e, di conseguenza, l’inutilità della PEC.

Bisogna fare un po il punto della situazione ed alcune considerazioni al fine di poter comprendere al meglio la differenza tra le due tecnologie e come in realtà entrambe si completino.

La Posta Elettronica Certificata consente, per effetto del DPR n°68 del 11 Febbraio 2005, l’invio di messaggi la cui trasmissione è valida agli effetti di legge. Ciò significa che la PEC è, a tutti gli effetti, la sostituta della famosa vecchia raccomandata con ricevuta di ritorno la quale, in tribunale, garantisce l’effettiva consegna della raccomandata nelle mani del destinatario.

Come funziona la PEC? Cerchiamo di spiegarlo nella maniera più semplice possibile, a costo di sacrificare alcuni dettagli tecnici.

Innanzitutto sia mittente che destinatario devono utilizzare un account di posta elettronica certificata, il perché verrà spiegato successivamente.

Il mittente scrive al destinatario la propria lettera, come avrebbe scritto a mano una raccomandata. Nel momento in cui il mittente invia l’e-mail, inizia la procedura di trasmissione certificata.

L’e-mail viene presa in lavorazione dal provider di PEC utilizzato dal mittente. Il provider, per poter fungere da provider di posta elettronica certificata, deve seguire delle precise specifiche tecniche.

Ora il provider crea una busta di trasporto, nella quale inserisce l’e-mail del mittente. Questa busta di trasporto è la garanzia che l’e-mail arriverà al provider del destinatario inalterata.

Nel momento in cui il provider del mittente inizia questa procedura, invia una e-mail di feedback al mittente, nella quale informa il mittente che l’e-mail inviata è stata presa in lavorazione – cioè il provider sta provvedendo ad inviare l’e-mail certificata al destinatario.

Il provider di posta certificata del destinatario riceve la busta di trasporto dal provider del mittente e ne verifica l’integrità. Superato questo passaggio, l’e-mail viene inoltrata immediatamente all’account e-mail del destinatario. In questo momento, il provider del destinatario informa il provider del mittente che l’e-mail è stata consegnata al destinatario.

Il provider del mittente inoltrerà questa conferma di avvenuta consegna al mittente stesso, il quale potrà avere conferma che la sua e-mail ha raggiunto con successo il destinatario. Inoltre, il mittente potrà avere conferma della data e dell’ora in cui l’e-mail è stata recapitata al destinatario.

In questa maniera, il mittente avrà in mano una ricevuta di ritorno, così come sarebbe successo se avesse inviato una normale raccomandata con ricevuta di ritorno. Questa e-mail di avvenuta consegna che il provider del destinatario invia al provider del mittente è l’email che ha, in tribunale, valore legale.

È importante porre ora l’attenzione su come funziona la busta di trasporto, cioè il veicolo con cui i due provider di posta certificata comunicano e si trasferiscono le e-mail. La garanzia che la busta di trasporto sia inalterata durante il trasferimento da un provider all’altro è determinata dall’utilizzo di uno standard ben noto da tempo, cioè lo standard S/MIME (Secure/Multipurpose Internet Mail Extensions). Questo standard si basa sull’utilizzo di certificati digitali che permettono di firmare (e crittografare, volendo) le e-mail.

Senza soffermarsi sul funzionamento degli algoritmi di crittografia asimmetrica, basta sottolineare come essi possano garantire l’integrità del messaggio semplicemente apponendo una firma digitale sul messaggio stesso.

Il provider del mittente crea la busta di trasporto, vi inserisce l’e-mail del mittente e la firma digitalmente grazie ad proprio certificato digitale. Il provider del destinatario, grazie a questa firma digitale, può verificare che la busta di trasporto sia integra e, quindi, accettarla o meno.

Tuttavia è importante sottolineare come la PEC non garantisca a priori l’integrità del messaggio. La PEC, così strutturata, garantisce solamente che l’e-mail inviata dal mittente non venga alterata durante il trasferimento da provider a provider, ma non garantisce che l’e-mail scritta dal mittente non sia stata alterata nel percorso tra il mittente e il provider del mittente.

Ecco che entra in gioco l’utilizzo dei certificati S/MIME come strumento per garantire l’integrità dell’e-mail inviata.

Qualsiasi utente può disporre di un proprio certificato digitale S/MIME, grazie al quale può firmare le proprie e-mail digitalmente. Firmando digitalmente la propria e-mail, questa e-mail assumerà valore legale.

Infatti, secondo l’Art. 21 del D.Lgs n°82 del 7 Marzo 2005, “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile“.

Essendo lo standard S/MIME un tipo di firma elettronica qualificata, l’e-mail assume validità legale. Ciò significa che, inviando una e-mail con una firma digitale, quella e-mail potrà essere utilizzata in tribunale se ci dovessero essere eventuali cause legali.

Quindi dov’è il problema nell’utilizzo di un certificato S/MIME come alternativa alla PEC? I problemi sono essenzialmente due:

- con la PEC si ha una conferma che l’e-mail è stata effettivamente consegnata al destinatario, ma non si utilizza nessuna tecnologia affinché l’e-mail si possa considerare effettivamente integra sin dalla fonte;

- con i certificati S/MIME del singolo utente che invia l’e-mail si ha la conferma legale che l’e-mail, così come è stata scritta dal mittente, nello stesso stato raggiungerà il destinatario, senza venir mai alterata; tuttavia non si può avere un’effettiva conferma che l’e-mail abbia raggiunto il destinatario né la data e l’ora in cui abbia effettivamente raggiunto il destinatario.

Quindi, a rigor di logica, sia la PEC che l’utilizzo di certificati S/MIME ad personam forniscono un qualcosa di utile l’uno all’altro.

Un ultimo appunto riguarda la domanda: ma è necessario per forza utilizzare la PEC così come è stata studiata e progettata? Non è possibile farne a meno?

Risponde a questa domanda la legge n°2 del 28 Gennaio 2009, pubblicata nella Gazzetta Ufficiale n°22 del 28 gennaio 2009. L’articolo 16 di suddetta legge recita:

“Le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse, garantendo l’interoperabilita’ con analoghi sistemi internazionali. Entro tre anni dalla data di entrata in vigore del presente decreto tutte le imprese, gia’ costituite in forma societaria alla medesima data di entrata in vigore, comunicano al registro delle imprese l’indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.”

In altre parole, significa che non è necessario per forza di cose appoggiarsi alla PEC così come è stata progettata. Si possono utilizzare differenti tecnologie, l’importante è che possano certificare in maniera legale la data e l’ora dell’invio e della ricezione delle e-mail.

Esistono tecnologie che rispondono a questi requisiti, quali ad esempio Globaltrust Corporate Secure Email per le aziende.

La PEC è, in definitiva, a mio avviso un grande passo avanti nel mondo della comunicazione sicura online. Se è vero che la PEC non inventa niente di nuovo, definisce però uno standard che potrebbe finalmente far arrivare nelle case di tutti una tecnologia che altrimenti rischiava di rimanere sconosciuta ai più.





Fonte: PcAlSicuro.com di Marco Giuliani

[eraser]

Mi scuso per l'irraggiungibilità del sito web, purtroppo ho fatto alcune modifiche che sono terminate effettivamente in pochissime ore, ma ho avuto problemi con la gestione dei DNS. Di conseguenza il nuovo indirizzo IP del server sarà propagato nei DNS solo nelle prossime ore.

In serata dovrebbe essere tutto sistemato.

Scusate ancora

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Mi scuso per l'irraggiungibilità del sito web, purtroppo ho fatto alcune modifiche che sono terminate effettivamente in pochissime ore, ma ho avuto problemi con la gestione dei DNS. Di conseguenza il nuovo indirizzo IP del server sarà propagato nei DNS solo nelle prossime ore.

In serata dovrebbe essere tutto sistemato.

Scusate ancora

Si in effetti si nota qualche problemino:



Ma sono certo che risolverai il tutto nel più breve tempo possibile compatibilmente con i tuoi impegni.
Grazie per averci informato e non ti devi scusare sono cose che succedono.
In bocca al lupo.

[eraser]

Il messaggio che mostra Opera purtroppo non è causa mia, è "colpa" di Opera che non ha aggiunto StartCom Ltd come Root Certification Authority nel suo database di CA.
Tutti gli altri browser riconoscono il certificato, tranne opera (almeno io ho provato con IE, Chrome e Firefox)

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Il messaggio che mostra Opera purtroppo non è causa mia, è "colpa" di Opera che non ha aggiunto StartCom Ltd come Root Certification Authority nel suo database di CA.
Tutti gli altri browser riconoscono il certificato, tranne opera (almeno io ho provato con IE, Chrome e Firefox)

Vero hai ragione,non ci avevo fatto caso,curiosa questa cosa.
Spero non ti disturbi che ho segnalato il problema al team nella speranza che sia risolto prima possibile:

[Night on the web]

Grazie eraser! Articolo molto interssante!

Quote:

Qualsiasi utente può disporre di un proprio certificato digitale S/MIME, grazie al quale può firmare le proprie e-mail digitalmente. Firmando digitalmente la propria e-mail, questa e-mail assumerà valore legale.

Però, se io ad esempio chiedessi un certificato gratuito per uso personale a Globaltrust, la procedura di richiesta può essere svolta online direttamente da casa e quindi come fa Globaltrust a "garantire" a terzi che quel certificato è stato veramente rilasciato a me?

[eraser]

Quote:

Originariamente inviato da Night on the web

Però, se io ad esempio chiedessi un certificato gratuito per uso personale a Globaltrust, la procedura di richiesta può essere svolta online direttamente da casa e quindi come fa Globaltrust a "garantire" a terzi che quel certificato è stato veramente rilasciato a me?

Durante la registrazione ti richiede un documento d'identità Comunque assume valore legale nel senso che quel documento non è stato alterato durante la trasmissione, cioè che così come lo hai mandato così è stato ricevuto, senza manomissioni di terzi. Poi c'è anche il fattore di identificazione personale, grazie al documento d'identità

[Night on the web]

Quote:

Originariamente inviato da eraser

Durante la registrazione ti richiede un documento d'identità

Capisco...però, se ho ben capito ma correggimi se sbaglio, mi chiede i dati relativi ad un documento di identità (es. il numero della carta d'identità) e non ti inviargli via posta oppure di presentare personalmente ad un loro ipotetico ufficio una copia autenticata di tale documento. In linea teorica se qualcuno mi ruba un documento sarebbe in possesso di tutte le info necessarie a richiedere un certificato intestato a me, oppure sbaglio?

[eraser]

Quote:

Originariamente inviato da Night on the web

Capisco...però, se ho ben capito ma correggimi se sbaglio, mi chiede i dati relativi ad un documento di identità (es. il numero della carta d'identità) e non ti inviargli via posta oppure di presentare personalmente ad un loro ipotetico ufficio una copia autenticata di tale documento. In linea teorica se qualcuno mi ruba un documento sarebbe in possesso di tutte le info necessarie a richiedere un certificato intestato a me, oppure sbaglio?

Esatto, ma la legge parla di integrità del contenuto, a quello serve il certificato S/MIME

"analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse"

[Night on the web]

Quote:

Originariamente inviato da eraser

Esatto, ma la legge parla di integrità del contenuto, a quello serve il certificato S/MIME

"analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse"

Quindi chi riceve una mail da un indirizzo qualsiasi (ma ipotizziamo un indirizzo che contenga dei miei dati e che quindi possa essere un plausibile mio indirizzo e-mail) firmata digitalmente con un certificato di globaltrust a mio nome ha la garanzia che il contenuto è rimasto integro nella trasmissione ma non ha la certezza assoluta che il mittente sia veramente al 100% io.

[Night on the web]

Nel ricercare ulteriori info su tale argomento online mi sono sorte alcune domande:

1)Esistono delle altre CA (escludendo la suddetta Globaltrust) che rilasciano certificati S/MIME (o a pagamento o gratuitamente) con una verifica un pochino più "diretta" in merito all'identità del titolare del certificato? Ad esmpio pensavo alle poste italiane come CA (http://postecert.poste.it/) ma i contenuti del sito non mi risultano molto "comprensivi"...ad esempio non trovo riferimento specifico ad S/MIME.

2)Ci sono stati, dopo l'emanazione della legge n°2 del 28 Gennaio 2009, dei casi giuridici in cui è stata fatta valere la certificazione mediante S/MIME nell'ambito di un processo? Oppure, in negativo, ci sono stati casi in cui delle e-mail non certificate non sono state considerate nell'ambito di un processo?

3)Visto che la suddetta legge recita "o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse"; tra questi analoghi varrebbe anche l'utilizzo del programma GnuPG per crearmi una coppia di chiavi ed utilizzando poi la chiave privata per firmare le e-mail?

Grazie in anticipo a chi vorrà rispondere.

[Dork]

Ciao a tutti, cercavo informazioni in merito al topic e mi sono imbattuto in questo forum. L'ho trovato interessante e spero mi sarà utile e di essere utile a voi :-) (a me lo è già stato!!)
Ebbene leggo questo e vorrei rispondere:

Quote:

Originariamente inviato da Night on the web

Capisco...però, se ho ben capito ma correggimi se sbaglio, mi chiede i dati relativi ad un documento di identità (es. il numero della carta d'identità) e non ti inviargli via posta oppure di presentare personalmente ad un loro ipotetico ufficio una copia autenticata di tale documento. In linea teorica se qualcuno mi ruba un documento sarebbe in possesso di tutte le info necessarie a richiedere un certificato intestato a me, oppure sbaglio?

Hai ragione. Ma...
1)serve un documento d'identità (come hai giustamente scritto) e codice fiscale (che volendo è facile reperire dirai tu..) questo è una garanzia che la persona che lo richiede perlomeno esiste..(sperando che sia proprio tu :-))
2)il certificato NON è solo personale ma anche VINCOLATO alla SOLA mail di registrazione.
3)Ti mandano una mail dopo circa mezza o una giornata per confermare l'avvio della procedura (dopo che hanno accertato i tuoi dati)
4)TUTTA la procedura deve essere effettuata dallo stesso computer e con lo stesso browser dall'inizio alla fine perché ti verrà data una chiave che dipende da queste cose, una che dipende dal numero d'ordine della richesta e una terza che deciderai tu.

Dunque..se uno ti ruba la carta d'identità l'unica cosa che può fare è certificare con la tua carta d'identità la SUA e-mail..e anche se ti avesse rubato nome utente e password della tua e-mail dovrebbe accertarsi che dopo, non si sa quante ore, che invieranno le conferme tu non apra la mail prima di lui..

Quindi è praticamente impossibile che uno possa recuperare e usare un certificato per il tuo indirizzo di posta elettronica senza che tu lo sappia.

In ogni caso confermo che il certificato s\mime non garantisce la tua identità ma solo l'integrità della e-mail (allegati inclusi!!) E "l'identità" dell'indirizzo e-mail da cui è stata spedita:

se mandi una posta certificata a me, io so se l'indirizzo da cui effettivamente mi arriva è lo stesso indirizzo da cui è partita (quello del certificato!..il tuo) e quindi so se è stata letta o vista da qualcuno prima che mi arrivasse;
e so se è stata alterata (perché ad esempio qualcuno è riuscito a intercettarla e modificarla) perché il certificato "se ne accorge" (oltre a dirmi che l'indirizzo del mittente non è più quello originale).

!
La soluzione definitiva quindi resta, secondo me, farsi un bel certificato per ogni posta elettronica che si ha (anche perché quello permette di mandare, a chi vuoi tu, anche messaggi criptati che anche se intercettati non possono essere letti da terzi, oltre a dare la sicurtezza a tutti quelli a cui scrivi che i messaggi sono tuoi, integri e tutto l'ecc.), farsi una PEC personale e anche CERTIFICARLA, così in caso di e-mail "legali" si usa la PEC (garanzia di persona fisica utilizzatrice, trasporto e consegna) CERTIFICATA (garanzia di mittente e integrità). in questo modo è tutto perfetto: il certificato garantisce:
un indirizzo legato a un nome che dovrà coincidere con quello registrato per la PEC:
una mail integra (allegati inclusi)
la PEC garantirà:
sicurezza del trasporto
certificazione legale di recapito.


Boh spero comunque di essere stato un po' utile! e non aver annoiato troppo :-) (cosa che mi imputano spesso :-))

Saluti a tutti.

[Night on the web]

Quote:

Originariamente inviato da Dork

Hai ragione. Ma...
1)serve un documento d'identità (come hai giustamente scritto) e codice fiscale (che volendo è facile reperire dirai tu..) questo è una garanzia che la persona che lo richiede perlomeno esiste..(sperando che sia proprio tu :-))
2)il certificato NON è solo personale ma anche VINCOLATO alla SOLA mail di registrazione.
3)Ti mandano una mail dopo circa mezza o una giornata per confermare l'avvio della procedura (dopo che hanno accertato i tuoi dati)
4)TUTTA la procedura deve essere effettuata dallo stesso computer e con lo stesso browser dall'inizio alla fine perché ti verrà data una chiave che dipende da queste cose, una che dipende dal numero d'ordine della richesta e una terza che deciderai tu.

Dunque..se uno ti ruba la carta d'identità l'unica cosa che può fare è certificare con la tua carta d'identità la SUA e-mail..e anche se ti avesse rubato nome utente e password della tua e-mail dovrebbe accertarsi che dopo, non si sa quante ore, che invieranno le conferme tu non apra la mail prima di lui..

Quindi è praticamente impossibile che uno possa recuperare e usare un certificato per il tuo indirizzo di posta elettronica senza che tu lo sappia.

Sei decisamente convincente! :-) Ho appena richiesto a globaltrust un nuovo certificato s-mime per la mia e-mail personale ed effettivamente è abbatsanza vero che le preoccupazioni che avevo sono un poco eccessive.

Quote:

Originariamente inviato da Dork

In ogni caso confermo che il certificato s\mime non garantisce la tua identità ma solo l'integrità della e-mail (allegati inclusi!!) E "l'identità" dell'indirizzo e-mail da cui è stata spedita:

se mandi una posta certificata a me, io so se l'indirizzo da cui effettivamente mi arriva è lo stesso indirizzo da cui è partita (quello del certificato!..il tuo) e quindi so se è stata letta o vista da qualcuno prima che mi arrivasse;
e so se è stata alterata (perché ad esempio qualcuno è riuscito a intercettarla e modificarla) perché il certificato "se ne accorge" (oltre a dirmi che l'indirizzo del mittente non è più quello originale).

!
La soluzione definitiva quindi resta, secondo me, farsi un bel certificato per ogni posta elettronica che si ha (anche perché quello permette di mandare, a chi vuoi tu, anche messaggi criptati che anche se intercettati non possono essere letti da terzi, oltre a dare la sicurtezza a tutti quelli a cui scrivi che i messaggi sono tuoi, integri e tutto l'ecc.), farsi una PEC personale e anche CERTIFICARLA, così in caso di e-mail "legali" si usa la PEC (garanzia di persona fisica utilizzatrice, trasporto e consegna) CERTIFICATA (garanzia di mittente e integrità). in questo modo è tutto perfetto: il certificato garantisce:
un indirizzo legato a un nome che dovrà coincidere con quello registrato per la PEC:
una mail integra (allegati inclusi)
la PEC garantirà:
sicurezza del trasporto
certificazione legale di recapito.

Per cui tu suggeriresti, per restare in una botte di ferro, di crearsi un indirizzo PEC (ad esempio con aruba) e poi di richiedere un certificato s-mime per tale indirizzo?