OTP e firma digitale: come funzionano?
La necessità di operare sempre più spesso online e di utilizzare la rete per archiviare dati e informazioni ha portato anche alla necessità di cercare sistemi di sicurezza e criptazione sempre più completi e complessi, in grado di garantire la massima protezione alle informazioni riservate. Tra questi, i sistemi OTP rappresentano probabilmente i meccanismi più sicuri per la protezione e la sicurezza dei dati riservati e sensibili.
Di che si tratta? Si tratta di un particolare tipo di token che crea, per ogni differente accesso, una password sempre nuova che viene mostrata sul display del token stesso. La password ha solitamente una lunghezza di sei cifre numeriche, che vengono mostrate sul display in maniera continua, cambiando ogni tot secondi a seconda delle impostazioni iniziali del token. La particolarità delle OTP è che esse sono password usa e getta, ossia combinazioni numeriche che possono essere utilizzate una sola volta (One Time Password significa proprio password da usare una sola volta). Per ogni nuovo accesso, quindi, il token OTP genererà una nuova password.
Sistemi OTP (One Time Password): come funzionano
La generazione di password sempre differenti garantisce una sicurezza superiore a qualsiasi altro sistema di password, assicurando un livello di protezione massimale contro potenziali intrusioni non autorizzate nei sistemi di dati. Inoltre, la casualità della generazione delle cifre che costituisce la password permette un ulteriore livello di sicurezza. E a proposito degli algoritmi che generano le password, va specificato che essi sono differenti a seconda del tipo di sistema OTP che si sceglie. Se ad accomunarli, infatti, vi è la generazione casuale della successione di cifre che determina la password, il tipo di casualità è differente a seconda dell’algoritmo selezionato dal produttore dei token OTP. Generalmente, i token vanno cambiati ogni certo numero di anni, per garantire un aggiornamento del sistema di generazione dei numeri o per effettuare un cambio di algoritmo di generazione.
Oltre al tipo di algoritmo che viene utilizzato per la generazione delle cifre, i token OTP si differenziano anche per la modalità d’uso. Alcuni di questi sistemi, infatti, per poter essere utilizzati, devono essere necessariamente connessi al computer e, successivamente all’inserimento, possono essere richieste ulteriori password per poter proseguire con l’utilizzo della chiave.
La scelta del token OTP, quindi, può essere differente a seconda delle necessità. Per poter decidere con la massima sicurezza quale sia il token One Time Password che meglio si adatta alle proprie necessità, è possibile rivolgersi ad un’azienda che da oltre trent’anni si occupa di sicurezza informatica e di protezione del software: Partner Data.
Partner Data distribuisce una soluzione molto interessante nel settore dei token OTP, ossia l’ePass OTP Authentication System. Perfetto per molte differenti applicazioni, questo particolare token OTP è caratterizzato da un’elevata comodità di lettura grazie allo schermo molto ampio che permette di vedere senza difficoltà le diverse password generate di volta in volta. Quando il token non viene utilizzato è possibile spegnere il display utilizzando il tasto che garantisce sia lo spegnimento che la successiva accensione. Ogni volta che viene acceso il token mostra immediatamente la nuova password generata, sempre differente per ogni accensione e pronta a cambiare per usi differenti.
Se le caratteristiche estetiche dell’ePass OTP Authentication System sono molto importanti perché garantiscono una maggiore facilità d’uso, va specificato che quello che rende particolarmente idoneo alla sicurezza questo token sono soprattutto le specifiche tecniche. Ogni token offerto da Partner Data, infatti, è unico, ossia viene definito da un numero di serie univoco che assicura sulla non possibilità di clonare o duplicare il token stesso. Non essendo un token USB non necessita dell’installazione di alcun software per essere utilizzato né necessita dell’uso di driver: va semplicemente acceso e utilizzato nel campo del programmi in uso che richiede la password. La password viene generata in maniera immediata, al momento dell’accensione ed è caratterizzata da sei cifre numeriche.
Il sistema di creazione di password dipende dal tipo di algoritmo utilizzato: il token ePass di Partner Data offre la possibilità di adottare varie tipologie di algoritmi, tra cui anche l’OATH. Inoltre, essendo compatibile con tutti i sistemi che utilizzano l’OATH, garantisce la massima facilità d’uso con tutti i sistemi operativi quali Linux, Windows e Mac OSX. Infine, dal punto di vista pratico, l’ePass OTP è un token di dimensioni ridotte, che permette di essere portato ovunque, anche attaccato al proprio portachiavi, in modo di averlo sempre con sé per utilizzarlo in qualsiasi luogo e da qualsiasi computer.
One Time Password e firma digitale
La protezione offerta dai token OTP rende questi strumenti particolarmente idonei ad essere associati a sistemi di massima sicurezza come, ad esempio, quelli legati alla generazione di firme digitali o altri documenti elettronici. Quando infatti si decide di creare una firma digitale è necessario ricordare che questa può essere apportata su ogni tipo di documento e, pertanto, deve essere garantito il suo corretto utilizzo esclusivamente da parte del titolare della firma stessa. Per questo motivo, l’uso di firma elettronica è protetta da password generate da sistemi di token OTP che garantiscono la massima sicurezza sia nella generazione della firma che nell’inviolabilità del sistema di protezione della firma stessa.
Come funziona la firma digitale
Per comprendere l’importanza dell’associazione di un token OTP ad un programma di generazione di firma digitale è necessario capire cosa sia realmente una firma digitale, come funziona e quale sia il suo valore legale. Una firma digitale è una firma che viene apportata su documenti elettronici da un sottoscrittore, solitamente un titolare di azienda, un professionista o chiunque abbia la necessità di apportare firme su documenti ufficiali e/o legalmente riconosciuti come contratti, lettere raccomandate o altro.
In Italia, la possibilità di firmare con firma digitale è stata attivata nel 1999 e, va sottolineato, che proprio l’Italia è stato il primo paese in Europa, insieme alla Germania, ad adottare questo sistema di firma che, tra l’altro, assicura un elevato risparmio sulla carta stampata e uno sveltimento di molte pratiche burocratiche. Una firma digitale equivale in tutto e per tutto alla firma classica, ossia alla firma su carta. Per questo motivo è fondamentale che essa sia custodita e che non venga utilizzata impropriamente.
Per poter essere considerata valida, una firma digitale dovrebbe essere riposta dal firmatario stesso che, nel momento in cui genera una firma digitale, deve sapere bene che essa è caratterizzata da tre peculiarità: l’autenticità, l’integrità e il non ripudio. L‘autenticità è un indicatore dell’identità del sottoscrittore: una firma digitale, infatti, proprio come una firma normale, può essere rilasciata solo dal firmatario del documento per cui una volta rilasciata essa viene definita autentica e, automaticamente, permette di indicare il firmatario.
L’integrità è una caratteristica molto particolare: essa infatti assicura che il documento non ha subito modifiche. Una volta che viene firmato, infatti, un documento non può essere modificato e la firma digitale garantisce proprio la non possibilità di modifica di un documento firmato. Infine, l’ultima caratteristica è quella che viene definita da non ripudio. La firma digitale, infatti, proprio come una firma normale, può essere apportata solo ed esclusivamente dal titolare del servizio di firma digitale pertanto, una volta firmato, un determinato documento non potrà mai essere ripudiato come non autentico dal sottoscrittore (a meno di non trovarsi di fronte ad un falso, ossia ad un hackeraggio, caso da dimostrare comunque presso gli enti competenti).
Ma come funziona la firma digitale? La generazione di una firma digitale non avviene in maniera semplice, ma necessita di una coppia di chiavi, in particolare di chiavi asimmetriche, che permettono di tutelare la sicurezza delle informazioni connesse alla firma digitale. Se da un lato, infatti, la firma digitale ha permesso la semplificazione e lo snellimento di una serie di rapporti ufficiali, in particolare di quelli con le pubbliche amministrazioni e le imprese, dall’altro la protezione dei codici di sicurezza che permettono l’uso della firma digitale è fondamentale per garantire un utilizzo sempre sicuro della firma stessa e tutelare chiunque faccia uso di questo tipo di strumento elettronico.
Un altro importante mezzo elettronico che richiede l’uso della firma digitale è la Posta Elettronica Certificata, nota comunemente come PEC. Si tratta di uno strumento che garantisce il controllo e la certezza di invio e ricezione delle mail e che, dal 2005, ha sostituito in molti contesti l’uso di lettere raccomandate con ricevuta di ritorno. Questo tipo di posta permette quindi di allegare documenti ufficiali per i quali il sistema di posta stesso garantisce l’invio, e comunica sia l’avvenuta ricezione da parte del destinatario che l’avvenuta lettura.
Per assicurare un corretto uso di PEC e firma digitale, Partner Data offre una serie di sistemi che garantiscono la protezione delle informazioni inviate e ricevute come certificati digitali, possibilità di applicazione di firma digitale e una serie di strumenti necessari per la codifica e decodifica degli stessi quali, appunto, smart card e lettori di smart card, token USB, token OTP eccetera.