Per parlare della PKI (Public Key Infrastructure o Infrastruttura a Chiave Pubblica) è utile partire dai nostri documenti come carta d’identità, tessera sanitaria, patente. Gli elementi comuni a tali documenti sono due:
› certificano l’identità del titolare
› sono emessi da un’autorità di cui tutti si fidano
Identità certificata, autorità e fiducia sono concetti fondamentali di una PKI: questa infrastruttura certifica l’identità digitale nel cyberspazio di persone fisiche o giuridiche, siti web o dispositivi IoT, grazie a un’autorità di certificazione riconosciuta e fidata.
Cosa significa certificare l’identità digitale? Pensiamo a quando riceviamo una Pec, accediamo al nostro home banking o usiamo un dispositivo salvavita. Chi certifica l’identità di chi manda la Pec o l’autenticità del sito web della banca? Cosa impedisce a un hacker di prendere il controllo del salvavita?
La risposta è: la PKI, una struttura complessa formata da diversi soggetti ed elementi, tra cui figurano la crittografia e i certificati digitali.
Quali soggetti compongono una PKI
Uno dei soggetti principali di una PKI è la Certification Authority (CA), un’autorità che emette i certificati digitali relativi all’identità di persone, dispositivi o applicazioni nel cyberspazio e che ha la fiducia necessaria a garantirne l’autenticità.
Gli altri soggetti di una PKI sono:
› Registration Authority (RA): verifica i dati per il rilascio del certificato e gestisce l’intero ciclo di vita delle identità digitali, dalla sospensione alla riattivazione, dal rinnovo alla revoca.
› Validation Authority (VA): risponde alle richieste sulla validità dei certificati digitali, verifica le date di scadenza e l’eventuale presenza in specifiche directory di revoca.
› Time Stamping Authority (TSA): aggiunge una marca temporale non ripudiabile alle transazioni elettroniche o ai documenti firmati digitalmente.
› Key Remote Custody Authority (KRCA): custodisce da remoto chiavi e certificati digitali in modo sicuro, permettendone l’uso attraverso qualsiasi dispositivo fisso o mobile.
Cosa è una PKI Public Key Infrastructure
Giunti a questo punto abbiamo abbastanza elementi per dire cos’è una PKI. Una PKI è un’architettura complessa fatta di dispositivi, programmi, persone, processi e tecnologie informatiche. Essa realizza un sistema di sicurezza per la generazione, la gestione e l’uso dei certificati digitali e delle relative chiavi crittografiche.
La sicurezza in informatica riguarda la trasmissione dei dati, che a tal fine vengono crittografati. Se la chiave per criptare e decriptare è unica, si parla di crittografia simmetrica. I soggetti che si scambiano i dati devono scambiarsi anche la chiave crittografica. Se questa viene intercettata il sistema fallisce.
Il rischio si riduce con la crittografia asimmetrica, dove la chiave per criptare è pubblica e quella per decriptare è privata. Resta il rischio che un hacker s’inserisca nella comunicazione.
Come visto, la PKI risolve anche questo problema emettendo e gestendo certificati digitali che certificano l’identità di persone, siti web o dispositivi che possiedono chiavi private e le corrispondenti chiavi pubbliche. In pratica, creando un certificato digitale la PKI assegna un’identità digitale alle chiavi crittografiche usate per cifrare e decifrare i dati, così che i destinatari possano verificare chi sono i proprietari. Ciò assicura che a ricevere un messaggio crittografato sarà proprio il destinatario previsto e non altri.
Le attività di una PKI: come si crea un certificato digitale
Come abbiamo già detto, un certificato digitale contiene informazioni sull’identità digitale di persone, dispositivi o applicazioni. Come visto, è emesso dalla CA, ha una scadenza, è a prova di manomissione ed è soggetto a convalida.
Il processo di emissione è questo:
› viene creata una chiave crittografica privata, da cui si ricava la chiave pubblica
› la CA chiede al titolare della chiave privata informazioni per definirne l’identità digitale
› informazioni e chiave pubblica sono inserite nel CSR – Certificate Signing Request, il certificato di firma richiesta
› Il CSR è firmato digitalmente dal titolare della chiave privata, che così dimostra il possesso della stessa
› Il CSR è sottoposto alla Registration Authority (RA), che verifica la correttezza dei dati e li inoltra alla CA, dandole l’ok all’emissione del certificato
› la CA convalida la richiesta e firma a sua volta il certificato con la sua chiave privata
La presenza di una CA fidata assicura che i dati che inviamo saranno letti solo dal titolare del certificato e che i dati che riceviamo sono stati firmati dal titolare del certificato, con la sua chiave privata.
PKI, una struttura gerarchica
Ma chi garantisce sul lavoro della CA? Una CA superiore.
La PKI è gerarchica: anche la CA che emette i certificati digitali agli utenti ha un suo certificato digitale, sulla cui autenticità garantisce una CA superiore che lo firma con la propria chiave privata. Ciò fornisce maggiore sicurezza al sistema, ma anche maggiore complessità alle operazioni.
Anche per questo, la scala gerarchica non è infinita, ma si ferma alla cosiddetta CA radice (CA root), che è posta al vertice e che si autofirma il proprio certificato digitale. La CA radice è l’elemento cha ha la massima fiducia del sistema, ma perciò ha bisogno della massima protezione da eventuali attacchi hacker.