firma digitale

[fmerli]

Ciao a tutti! Ho un dubbio riguardo la firma digitale: se io firmo un messaggio con la mia chiave privata sto trasmettendo degli indizi su quale potrebbe essere la mia chiave privata?
In pratica una volta firmato un messaggio la mia chiave privata e' ancora sicura?

[coin-escrow.eu]

no, quando firmi un messaggio non fai altro che criptare un hash del messaggio con la chiave privata. Per verificare il tuo messaggio quindi, devo calcolare di nuovo l'hash del testo che mi hai mandato e confrontarlo con quello contenuto nella firma. Per decriptarlo uso la tua chiave pubblica, se questi due valori combaciano allora sono certo che sie tu ad avermi mandato il messaggio perché la sei il proprietario della chiave privata.

Questo gioco funziona perché l'algoritmo usa una coppia di numeri primi (che chiami chiave pubblica e chiave privata) con determinate proprietà matematiche, queste proprietà permettono lo scambio delle chiavi nelle operazioni.

Inoltre dal manuale GPG

La creazione e la verifica di firme utilizzano la coppia di chiavi pubblica/privata in modo differente da quanto fanno le operazioni di cifratura e decifratura. Una firma è fatta utilizzando la chiave privata di colui che firma. La firma viene verificata utilizzando la corrispondete chiave pubblica. Per esempio Alice userebbe la propria chiave privata per firmare digitalmente il suo ultimo lavoro per la rivista di chimica inorganica. Il corrispondente editore nel pubblicare il lavoro userebbe la chiave pubblica di Alice per controllare la firma e verificare che il pezzo sia effettivamente stato mandato da Alice e che non sia stato modificato dal momento in cui Alice l'ha spedito. Una conseguenza dell'utilizzo di firme digitali consiste nel fatto che è difficile negare di aver fatto una firma digitale in quanto ciò implicherebbe che la propria chiave privata era stata compromessa.

fonte http://www.gnupg.org/gph/it/fare-verificare-firme.html

[fmerli]

Quello che non mi e' chiaro e' se per un malintenzionato possa essere piu' facile risalire alla mia chiave privata avendo a disposizione il messaggio originale e il messaggio cifrato.

Finche' pubblico solo la chiave pubblica e' praticamente impossibile trovare la chiave privata, ma nel caso della firma pubblico anche un messaggio e la sua cifratura attraverso la mia chiave che sono tutte informazioni in piu'.

[coin-escrow.eu]

non puoi ricavare la chiave privata in nessun modo, anche avendo centinaia di messaggi firmati o file cifrati e la chiave pubblica. Dietro ci sono delle regole matematiche che lo impediscono a prescindere dal software usato, se fossi un malintenzionato proverei ad entrare nel tuo pc e sottrarti direttamente la chiave privata sperando di conoscere anche la password.

Se nonostante questo qualcuno trova il modo per ricavare la chiave privata, bhe, ci sarebbe il premio nobel!

Quindi vai tranquillo e firma tutti i messaggi che vuoi

[fmerli]

ok grazie

[ZenoM.]

Ciao,

confermo anche io ciò che il mio 'collega' ti ha risposto. Lavoro da molti anni nel settore dell'informatica, in un'azienda che si occupa anche di posta mail certificata, pec e firma di digitale, quindi posso dirti in tutta sincerità che è molto difficile, se non impossibile che qualcuno possa risalire al tuo codice personale.

La riservatezza è garantita da un sistema cittografico definito a chiave assimetrica, esistono poi anche soluzioni a chiave remota per avere un'ulteriore garanzia di autenticità e sicurezza (qui la chiave è archiviata in un server remoto di un ente certificatore accreditato).

Spero di esserti stato utile

Zeno