La determina del DigitPA, modifica l’algoritmo per la firma digitale : SHA256.

Pubblicato da

La delibera CNIPA 45/2009 ha subito un’importante proroga da parte di DigitPA tramite la determinazione n.69/2010. Tale determinazione ha previsto la proroga dei termini per il passaggio dall’algoritmo SHA1 a SHA256 per la creazione degli hash. Dunque, dal 1 gennaio 2010 l’unica funzione di hash utilizzabile per la generazione della firma digitale italiana, sarà quella basata sull’algoritmo SHA256. Ma per quale motivo si è dovuto obbligatoriamente pensare di dover cambiare l’ algoritmo di hash? Ebbene, è stato ampiamente dimostrato che l’ algoritmo SHA1 ha una serie di debolezze tecniche. Come è possibile che un algoritmo utilizzato per la firma digitale abbia dei problemi per la generazione degli hash ? Partiamo dall’anno 2005. Tre scienziati dell’Università cinese di Shandong, scoprirono infatti in quell’anno, una falla di sicurezza in tale algoritmo, che permetteva di ridurre drasticamente il tempo necessario al cracking dell’algoritmo. Tuttavia, pur dando  grande importanza a questa scoperta, si è pensato di mantenere comunque l’ algoritmo SHA, poiché per collidere tale algoritmo è necessaria una grande potenza di calcolo disponibile solo per i colossi industriali. Riportiamo testualmente un advisory pubblicato dall’Internet Storm Center di SANS Institute : “Il mondo non finisce oggi.Le vostre applicazioni che dipendono da SHA-1 (o da MD5) sono ancora in larga parte capaci di proteggere i vostri dati. In attesa che venga reso disponibile un sostituto di SHA-1, non resta che continuare ad applicare i principi del buon senso e la normale diligenza”.
Inoltre il National Institute of Standards and Technology (NIST) americano aveva già pianificato il graduale abbandono dell’SHA-1 a partire dal 2010: gli algoritmi candidati alla sua successione sono SHA-256 e SHA-512. Se è vero dunque che la nostra firma digitale è ancora sicura, in attesa del 1 gennaio 2010, è anche vero che il continuo mutamento delle tecnologie informatiche porta sicuramente a questa considerazione: come può un’azienda intraprendere un processo di conservazione sostitutiva, senza affidarsi ad un esperto in materia? Con questo non voglio assolutamente obbligare le aziende ad affidarsi ad un consulente esterno o ad un’azienda esterna specializzata nella conservazione sostitutiva, ma è chiarissimo come la conservazione digitale di tutti documenti rilevanti aziendali, ha necessariamente bisogno di continue verifiche nel corso degli anni e di un esperto informatico che deve correttamente valicare i processi di conservazione elettronica. Tutte queste competenze possono per esempio essere acquisite dal responsabile della conservazione sostitutiva. Si pensi ad esempio al processo di fatturazione elettronica, che con l’importante modifica della determina del DigitPA, impone dunque l’utilizzo di un nuovo certificato di firma digitale. Insomma, la conservazione digitale dei documenti è in continuo mutamento, poiché segue di pari passo i mutamenti dell’evoluzione tecnologica. La conservazione deve essere ovviamente sicura, blindata ed a lungo termine, ma rispetto alla conservazione cartecea, essa deve seguire tutte le tecnologie informatiche a disposizione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *