Cos'è la firma digitale?
Una Firma Digitale vincola crittograficamente un certificato di firma digitale, emesso da un fornitore di servizi fiduciari (TSP), a un documento tramite un'infrastruttura a chiave pubblica (PKI). Le firme digitali convalidano e autenticano l'identità del firmatario e l'integrità del documento, offrendo maggiori garanzie che il firmatario sia chi dice di essere e che il documento non sia stato alterato. La firma digitale è ideale per le transazioni che richiedono un livello di sicurezza più elevato ed è necessaria in alcuni paesi e regioni in cui le aziende sono tenute a rispettare le normative quali eIDAS nell'Unione Europea e ZertES in Svizzera. In alcuni paesi, alcuni tipi di firma digitale hanno una validità legale equivalente alla firma autografa.
DigiCert® Document Trust Manager fornisce firme digitali sicure e affidabili conformi alle normative sulla firma eIDAS dell'UE e ZertES della Svizzera e ad altre leggi sulla firma in tutto il mondo. Scopri di più sulle normative nazionali.
Come funziona la firma digitale?
La firma digitale si basa su vari livelli di sicurezza e di governance. La firma viene generata applicando un algoritmo matematico o una funzione di hash e un timestamp all'intero documento o messaggio, quindi viene crittografata con il metodo crittografico a chiave pubblica. Questo metodo utilizza una coppia di chiavi crittografiche, pubblica e privata, per la crittografia e la decrittografia. Il firmatario cifra l'hash con la sua chiave privata, mentre il lettore lo decifra con la chiave pubblica del firmatario. La sicurezza e la distribuzione delle chiavi, l'attestazione dell'identità o l'autenticazione del firmatario, le terze parti (autorità di certificazione) che forniscono l'autenticazione e il livello di fiducia attribuito alle firme sono regolamentati dall'infrastruttura a chiave pubblica (PKI), un metodo molto utilizzato per proteggere transazioni e comunicazioni su Internet.
Perché ho bisogno di un certificato per una firma digitale?
I certificati vengono emessi da un Trusted Services Provider (TSP) e/o da un'autorità di certificazione come DigiCert. Questo certificato viene utilizzato per facilitare la verifica dell'identità e la crittografia e per fornire comunicazioni sicure tra due entità. Un certificato consiste in un documento elettronico che collega i dati del firmatario e la convalida della firma all'identificazione inequivocabile di una persona fisica o di un'organizzazione.
Esistono due tipi principali di certificati per la firma digitale: Certificati Adobe Approved Trust List (AATL) e certificati qualificati. La differenza principale tra i due tipi di certificati consiste in chi è abilitato a rilasciare il certificato. I fornitori di servizi fiduciari (TSP) approvati da Adobe emettono i certificati AATL, mentre solo i fornitori di servizi fiduciari qualificati (QTSP) sono autorizzati a emettere certificati qualificati. Un TSP non richiede un audit indipendente e non è elencato nella Trust List dell'Unione Europea, mentre un QTSP è controllato da un organismo di vigilanza determinato dal paese che fornisce l'accreditamento. I QTSP possono anche fornire i seguenti servizi fiduciari:
- Firme elettroniche
- Sigilli elettronici
- Timestamp elettronici
- Servizi di consegna elettronica certificata
- Certificati di autenticazione per siti web
