Intesa

 

Certificatore Accreditato
(iscritto all'Albo DigitPA) dal 2001
Gestore di PEC
iscritto all'Albo DigitPA) dal 2006
Certificazione ISO/IEC 27001:2005


Glossario

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

ABA (American Bar Association): e un'organizzazione nazionale statunitense delle professioni legali fondata nel 1878 di cui definisce la deontologia e gli standard. La versione piu recente, "The model rules of professional conduct", di tali standard risale al 1983. L'associazione accredita anche le scuole e le facolta di legge sotto l'autorita del Dipartimento per l'Educazione degli Stati Uniti.

AIPA (ora CNIPA) (Centro Nazionale per l'Informatica nella Pubblica Amministrazione): istituita con il decreto legislativo 39/93, l'Autorita e composta da 5 membri, nominati dal Presidente del Consiglio, che durano in carica 4 anni. Compito del CNIPA e di indirizzare e coordinare le Pubbliche Amministrazioni nell'utilizzo dei sistemi informatici e telematici. L' Autorita per l'informatica nella pubblica amministrazione e stata poi trasformata in Centro nazionale per l'informatica nella pubblica amministrazione (ora DigitPA).

Algoritmo: insieme di calcoli che, svolti ripetutamente e sempre nella stessa sequenza, conducono ad un obiettivo. Ad esempio, i programmi di compressione dei file eseguono in continuazione la stessa sequenza di calcoli su piccole porzioni del file per ottenerne uno di dimensioni inferiori. La serie di calcoli ripetuti e un algoritmo.

API (Application Program Interface): interfaccia di programmazione. Nei linguaggi di programmazione l'interfaccia definisce parametri e risultati per esempio di una funzione ma non dice niente su come questa funzione venga implementata ovvero realizzata.

Browser: applicazione client utilizzata per l'esplorazione di reti e per il recupero e la visualizzazione di copie di file in un formato di facile lettura. I browser standard piu moderni, ad esempio MicrosoftR Internet Explorer, possono anche utilizzare programmi associati per riprodurre file audio e video.

Certificato: insieme di informazioni utilizzato per distribuire in modo sicuro le chiavi pubbliche degli utenti. Un certificato definisce con certezza il certificatore che lo ha emesso nonché il periodo di tempo in cui puo essere utilizzato. Ogni certificato deve contenere delle informazioni base quali: ad esempio numero di serie del certificato, ragione o denominazione sociale del certificatore, codice identificativo del titolare presso il certificatore, nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolare; questi dati possono essere sostituiti da uno pseudonimo fornito dal titolare del certificato in fase di registrazione, valore della chiave pubblica, algoritmi di generazione e verifica utilizzabili, inizio e fine del periodo di validita delle chiavi, algoritmo di sottoscrizione del certificato, tipologia delle chiavi, codice fiscale, indirizzo e-mail. Il certificato puo inoltre contenere informazioni aggiuntive quali limitazioni nell'uso della coppia di chiavi, poteri di rappresentanza, abilitazioni professionali.

CNIPA: Centro nazionale per l'informatica nella pubblica amministrazione, attualmente e diventata l'Ente nazionale per la digitalizzazione nella Pubblica Amministrazione (DigitPA).

CRL (Certificate Revocation List): elenco di tutti i certificati digitali che sono stati revocati da un certificatore.

Certificatore: soggetto pubblico o privato che esegue la certificazione, rilascia e pubblica i certificati e gli elenchi dei certificati sospesi e revocati.

Certificazione: risultato della procedura informatica, applicata alla chiave pubblica, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validita della predetta chiave e, conseguentemente, il termine di scadenza del relativo certificato.

Certificazione fra certificatori o mutuo riconoscimento: accordo di certificazione fra certificatori. Un certificatore emette a favore dell'altro un certificato relativo ad una chiave di certificazione che e riconosciuta nel proprio ambito. I certificati debbono definire la corrispondenza tra le clausole dei rispettivi manuali operativi considerate equivalenti.

Chiavi asimmetriche: la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.

Chiave biometrica: la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identita personale basati su specifiche caratteristiche fisiche dell'utente, ad esempio l'impronta digitale.

Chiave privata: l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica.

Chiave pubblica: l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi.

Chiavi simmetriche: nella crittografia a chiave segreta la stessa chiave e usata per cifrare e decifrare. E' ovvio che tale chiave deve essere mantenuta segreta per evitare che un terzo malintenzionato, venuto a conoscenza di essa, la sfrutti per decifrare messaggi non indirizzati a lui.

Client: computer collegato in rete ad un Server.

CPS (Certificate Practice Statements): una CPS, secondo la definizione dell'ABA "e una dichiarazione delle procedure che una Certification Authority (CA) segue nell'emettere i certificati". Durante la negoziazione di un "certificato incrociato", le CA esaminano e confrontano vicendevolmente le proprie CPS. Una CPS puo assumere diverse forme: puo essere costituita da normative, da un contratto privato, o essere parte integrante del contratto tra una CA ed un richiedente, da una dichiarazione allegata al momento dell'emissione di un certificato. Nell'ambito del DPCM 8.2.99 le CPS corrispondono al manuale operativo.

Crittografia o cifratura: la crittografia e un processo di conversione da un formato comprensibile per tutti (plaintext) di un qualunque file di dati (testo, immagini, musica, ecc.) ad un formato che sembra casuale ed inutilizzabile (cyphertext). Se viene usato un buon metodo di cifratura solo il/i destinatari delle informazioni saranno in grado di convertirle nella forma originaria. La conversione e detta decrittazione o decifratura. Il problema cruciale della crittografia e sempre stato la gestione della chiave. Anche il sistema di cifratura piu sofisticato non serve a nulla se non si riesce a garantire la segretezza della chiave. Da questo punto di vista, si parla di due approcci principali alla crittografia: a chiave unica, detto anche a chiave privata o chiavi simmetriche; a doppia chiave, detto anche a chiave pubblica o asimmetrica.

Cross certification: - vedi "certificazione fra certificatori"

DES (Data Encryption Standard): sviluppato da Ibm, con la collaborazione della National Security Agency, nei primi anni '70, e stato lo standard di encryption per definizione per oltre 15 anni. Le caratteristiche di sicurezza del DES sono legate fondamentalmente alla robustezza della chiave utilizzata. Dal momento che la chiave segreta in questione deve essere utilizzata sia nel processo di cifratura che di decifratura, il DES e gli algoritmi della stessa famiglia vengono classificati come algoritmi "a chiave simmetrica" o "a chiave segreta". DES e stato piu volte adottato dall'Amministrazione Usa come standard federale.

DigitPA: Ente nazionale per la digitalizzazione nella Pubblica Amministrazione; ha la missione di guidare le amministrazioni nel processo di innovazione tecnologica, mettendo a disposizione le proprie competenze tecniche, nel settore delle tecnologie dell'informazione e della comunicazione con un ruolo di consulenza e proposta verso le PA.

Digital Time-Stamp (timbro digitale): un record che matematicamente lega un documento ad una data ed a un'ora. Dispositivo di firma: un apparato elettronico programmabile solo all'origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali.

DN (Distinguished Name): rappresenta lo standard per sistemi a directory X.500. Con il DN si individuano sia l'entita certificata che la codifica X.620, ovvero il certificatore che ha emesso il certificato.

Documento informatico: nella legislazione in tema di firma digitale per documento informatico si intende "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti".

DSA: (Digital Signature Algorithm): algoritmo crittografico che puo essere utilizzato per la generazione e verifica delle chiavi.

Elenco pubblico dei certificatori: elenco predisposto, tenuto e aggiornato dalla CNIPA ai sensi dell'articolo 8, comma 3 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513. E' consultabile telematicamente e contiene informazioni relative ai certificatori che hanno richiesto ed ottenuto l'iscrizione.

Firma digitale: il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrita di un documento informatico o di un insieme di documenti informatici.

Firma digitale grafometrica: : Ente nazionale per la digitalizzazione nella Pubblica Amministrazione; ha la missione di guidare le amministrazioni nel processo di innovazione tecnologica, mettendo a disposizione le proprie competenze tecniche, nel settore delle tecnologie dell'informazione e della comunicazione con un ruolo di consulenza e proposta verso le PA.

Firewall: lo sbarramento hw/sw che impedisce l'accesso ad un sistema telematico da parte di utenti non autorizzati. E' l'insieme di dispositivi che proteggono un'organizzazione connessa ad una rete pubblica.

Funzione di Registrazione - Registration Authority (RA): entita responsabile dell'identificazione e dell'autenticazione dei soggetti richiedenti la certificazione. Secondo la normativa italiana e una funzione del certificatore che non firma, né emette certificati. La funzione di registrazione procede al riconoscimento delle persone che si recano fisicamente ai propri sportelli e ne raccoglie dati anagrafici, attributi (cariche, qualifiche, iscrizione in ruoli ed albi, ecc.), comunicandoli in modalita protetta al Certificatore. Nei paesi anglosassoni e un'entita distinta dalla Certification Authority che svolge attivita analoghe.

Giornale di controllo: insieme delle registrazioni eseguite automaticamente dai dispositivi installati presso il certificatore, allorché si verificano le condizioni o gli eventi previsti dal DPCM 8 Febbraio 1999 .

Hacker: un "pirata informatico" che tenta di accedere ad una rete telematica in modo non autorizzato, violando i sistemi di controllo d'accesso.

Hashing: e un metodo che consente di ridurre un testo di lunghezza arbitraria in una sequenza di caratteri a lunghezza fissa, chiamata message-digest o digest Questa stringa rappresenta un' "impronta digitale" unica del messaggio, e infatti virtualmente impossibile ottenere lo stesso digest a partire da due testi differenti e nello steso tempo e impossibile risalire al testo originale conoscendo solo il suo digest. Nella crittografia la funzione hash consente: di verificare l'integrita del messaggio, se il valore di un certo messaggio e uguale prima e dopo la trasmissione allora vi sono garanzie che il messaggio ricevuto sia rimasto invariato; di semplificare i calcoli matematici, risultando piu facile e veloce usare un'impronta piuttosto che un testo normale.

Impronta o "digest" di una sequenza di simboli binari: la sequenza di simboli binari di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash.

Internet Engineering Task Force (IETF): e una comunita aperta ed internazionale di progettisti di rete, operatori, venditori, e ricercatori coinvolti nell'evoluzione dell'architettura Internet e delle normali operazioni su Internet. E' aperta a chiunque sia interessato.

Indirizzo elettronico: l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici.

Infrastruttura a chiave pubblica: vedi PKI.

Inizializzazione : procedura svolta dal computer per predisporre un dispositivo di firma inviandogli una serie di comandi e/o parametri.

ISO (International Organization for Standardization): il nome deriva dalla parola greca "isos", che significa "uguale". Fondata nel 1946, l'ISO e un'organizzazione internazionale costituita da organismi nazionali per la standardizzazione provenienti da piu di 75 paesi. Ad esempio, l'ANSI (American National Standards Institute) e un membro ISO. L'ISO ha definito numerosi ed importanti standard per i computer. Di questi, tra i piu significativi, l'OSI (Open Systems Interconnection), un'architettura standard per progettare le reti.

ITSEC (Information Technology Security Evaluation Criteria): e lo strumento per valutare se un sistema o prodotto informatico soddisfa le sue specifiche di sicurezza (security target). I criteri ITSEC non valutano pertanto la sicurezza di un sistema o prodotto Information Technology ma la sua conformita alle specifiche di sicurezza definite. La valutazione implica un giudizio senza necessariamente misurare ovvero associare un valore numerico ad una grandezza. Valutare implica dunque esprimere un giudizio rispondente a dei criteri preesistenti alla valutazione stessa. La sua metodologia di applicazione e l'ITSEM (Information Technology Security Evaluation Manual); l'oggetto (sistema o prodotto IT) della valutazione e detto TOE (Target Of Evaluation). Il soggetto (organizzazione, azienda, ecc.) che richiede una valutazione e detto sponsor. La valutazione ITSEC si applica sia a sistemi sia a prodotti avendo sempre presente la differenza che, mentre i target di sicurezza dei sistemi debbono rispondere alle esigenze specifiche degli utenti, quelli dei prodotti sono di carattere piu generale: un prodotto puo essere integrato in sistemi diversi con requisiti di sicurezza simili ma non identici, un sistema ha uno scopo ben definito ed agisce in un ambiente operativo noto. Per motivi di coerenza tuttavia si usano gli stessi criteri di sicurezza sia per sistemi sia per prodotti.

ITU: Abbreviazione di International Communications Union (Unione Internazionale per le Comunicazioni). L'organizzazione ombrello delle Nazioni Unite che sviluppa e standardizza le telecomunicazioni in tutto il mondo. La ITU contiene anche il CCITT (Comite Consultantif Internationale de Téléphonie et de Télégraphie), la International Frequency Registration Board (IFRB), e la Consultative Committee on International Radio (CCIR). Nell´uso comune gli standard CCITT sono stati chiamati standard ITU.

LDAP (Lightweight Directory Access Protocol): protocollo utilizzato per accedere alla directory contenente i certificati ed effettuare tutte le operazioni di prelievo certificato, verifica liste dei certificati revocati e sospesi, etc..

Lista dei certificati Revocati (CRL): elenco dei certificati che sono stati revocati dal certificatore che li ha emessi. Tale elenco e firmato digitalmente dal certificatore. La CRL e pubblicata periodicamente nel registro pubblico dei certificati del certificatore.

Lista dei certificati Sospesi (CSL): elenco dei certificati che sono stati sospesi dal certificatore che li ha emessi. Tale elenco e firmato digitalmente dal certificatore. La CSL e pubblicata periodicamente nel registro pubblico dei certificati del certificatore.

Manuale Operativo: documento che definisce le procedure applicate dal certificatore nello svolgimento della propria attivita, stabilendo obblighi e responsabilita del certificatore, del titolare e di quanti accedono alle evidenze pubbliche per eseguire la verifica delle firme.

Marca temporale: evidenza informatica che consente la validazione temporale.

Message Digest: vedi Impronta.

Mime: Multipurpose Internet Mail Extension. Protocollo per lo scambio di messaggi postali multimediali. Attualmente il protocollo postale di Internet, Simple Mail Transfer Protocol (SMTP), trasferisce i messaggi come file ASCII a 7 bit.

Patch: nel contesto informatico il termine, che letteralmente significa "pezza", indica un programma il cui scopo è quello di apportare delle modifiche ad un prodotto software esistente al fine di migliorarne l'affidabilita e l'efficienza.

PGP: Pretty God Privacy: standard di cifratura di file, documenti e messaggi di posta elettronica.

PIN (Personal Identification Number): codice segreto variabile da 4 a 6 cifre.

PKI (Public Key Infrastructure): infrastruttura a chiave pubblica. Piattaforma di tecnologie e servizi fondata su un sistema di crittografia a chiavi pubbliche e gestita da una Certification Authority o Certificatore (secondo la normativa italiana). Consente la gestione dei servizi per la firma digitale.

Plug-in: una funzione aggiuntiva che va ad incrementare i servizi offerti da un'applicazione.

PMCIA (Personal Computer Memory Card International Association): e la sigla dell'organismo che ha definito i requisiti e le specifiche delle PC card. Le PC card, di spessore non superiore a quello di una carta di credito, consentono di migliorare notevolmente la capacita di memorizzazione, archiviazione dei computer portatili.

PKCS (Public Key Cryptography Standards): e un set di standard per la crittografia a chiave pubblica sviluppati dai Laboratori RSA insieme ad un consorzio formato originariamente da Apple, Microsoft, Sun DEC, Lotus e MIT. Ad esempio gli standard PKCS definiscono la sintassi del certificato "esteso" compatibile con quelli ITU X.509 (#6) nonché lo standard sintattico dei messaggi crittografati S/MIME (#7). Gli standard finora pubblicati sono #1, #3, #5, #7, 8#, 9#, 10#, 11# e 12#. I PKCS 13# e 14# sono in sviluppo. PKCS#12: definisce un formato standard per la memorizzazione ed il trasporto della chiave privata, dei certificati, etc. Il file in formato PKCS#12 ha l'estensione .p12.

Registrazione: procedura con la quale si identifica con certezza un soggetto che richiede un certificato.

Registro dei certificati: sistema informatico nel quale sono immagazzinati i certificati emessi, revocati o sospesi, accessibile a qualsiasi soggetto secondo le modalita previste dall'art.13 del DPCM 8 Febbraio 1999.

Registro operativo degli eventi di validazione temporale: insieme delle registrazioni che, eseguite automaticamente su un supporto non riscrivibile, producono evidenza inconfutabile degli eventi attinenti le attivita di validazione temporale, delle anomalie o di tentativi di manomissione che possano pregiudicare il funzionamento del sistema di validazione temporale fino al punto da renderlo incompatibile con i requisiti previsti all'art.55 del DPCM 8 Febbraio 1999.

Repository: deposito delle informazioni.

Revoca del certificato: operazione con cui il certificatore annulla la validita del certificato qualificandola con una precisa decorrenza.

RSA: Il piu noto tra gli algoritmi di crittografia a chiave pubblica (o asimmetrica). Il suo nome deriva dai tre ricercatori statunitensi (Rivest, Shamir e Adleman) che ne diffusero le specifiche nel 1978. Il principio fondamentale su cui si basa l'algoritmo, e la difficolta computazionale nella fattorizzazione del prodotto di numeri primi molto grandi. Come tutti gli algoritmi asimmetrici non e molto efficiente sotto il profilo della potenza elaborativa richiesta (richiede, ad esempio, una potenza eleborativa pari a circa mille volte quella di cui necessita il DES). La sua robustezza dipende inoltre dalla lunghezza delle chiavi utilizzate: con chiavi di 1.024 bit o superiori l'algoritmo viene ritenuto di fatto inattaccabile.

Server: computer o relativo software che fornisce servizi ad altri computer su una rete effettuando operazioni di rete e di gestione di file. I computer che si avvalgono del server contengono software client. I browser, Microsoft Internet Explorer e Netscape, sono esempi di software client.

SET (Secure Electronic Transaction): standard che si basa sull'adozione di un algoritmo a chiave pubblica sia nella comunicazione tra acquirente e venditore, che in quella tra venditore e circuito finanziario. Assicura la confidenzialita delle informazioni relative all'ordine ed al pagamento eseguiti dall'acquirente, l'integrita dei dati trasmessi, nonché l'autenticazione del possessore della carta come legittimo titolare di un conto e quella del merchant soggetto legittimato ad accettare pagamenti a mezzo carta di credito. Sistema di validazione: sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validita.

Smart Card: e un dispositivo di firma, delle dimensioni di una carta di credito, incorporato nella plastica della tessera si trova un microprocessore dotato di memoria che puo essere letta e, piu importante, puo essere scritta, nella quale e possibile memorizzare una quantita significativa di informazioni. Contraffare una smart card e estremamente difficile perché il circuito integrato e integrato nella plastica. In piu, il circuito integrato puo essere programmato per generare le proprie password e codici, con sofisticate funzioni di crittografia.

S/MIME(Secure Multipurpose Internet Mail Extension): protocollo di posta elettronica per la cifratura e l'invio di messaggi MIME via Internet.

Sospensione del certificato: operazione con cui il certificatore sospende la validita del certificato per un determinato periodo di tempo.

SSL (Secure Sockets Layers): standard proposto da Netscape nel 1994 per garantire transazioni sicure sul Web. Lo standard, ormai giunto alla sua release 3.0, e supportato da tutti i principali client e server Web, e rappresenta, al momento, l'algoritmo piu largamente utilizzato dai servizi Web di tipo commerce. L'algoritmo fa uso della crittografia a chiave pubblica per autenticare il server del merchant e, opzionalmente, il client nonché per lo scambio, tra le parti, della cosiddetta session key (una chiave generata volta per volta in maniera casuale) che sara poi utilizzata nella trasmissione dei dati sensibili (numero della carta di credito, ecc.).

Sospensione del certificato: l'operazione con cui il certificatore sospende la validita del certificato per un determinato periodo di tempo.

Titolare di una coppia di chiavi asimmetriche: il soggetto a cui è attribuita la firma digitale generata con la chiave privata della coppia, ovvero il responsabile del servizio o della funzione che utilizza la firma mediante dispositivi automatici.

UID (Identificatore Univoco del Dispositivo di firma): e il codice associato univocamente al dispositivo di firma al momento della sua personalizzazione.

UCT (Universal Coordinated Time): tempo universale coordinato, misura ufficiale del tempo nel mondo. Il tempo UCT scorre come il Tempo Atomico Internazionale (TAI), eccetto che per l'inserzione dei secondi intercalari. L'orologio atomico e un dispositivo elettronico (al cesio o all'idrogeno).

Utilizzatore: soggetto che utilizza un certificato per conoscere la chiave pubblica di un corrispondente proprietario.

Validazione temporale: risultato della procedura informatica, con cui si attribuiscono, ad uno o piu documenti informatici, una data ed un orario certi opponibili ai terzi.

Validita del certificato: specificazione del lasso temporale durante il quale la chiave pubblica e gli altri dati contenuti nel certificato risultano validi ed opponibili da terzi nei confronti del titolare.

VPN (Virtual Private Nerwork): e una rete privata virtuale con funzioni di autorizzazione e autentcazione X.509: standard che definisce il formato dei certificati digitali utilizzato per la gestione delle chiavi pubbliche degli utenti. Esso e composto da una serie di informazioni organizzate in campi che specificano: numero del certificato, il certificatore emittente, il nome dell'utente certificato, la sua chiave pubblica, il periodo di validita del certificato , estensioni pubbliche o private. Queste ultime informazioni rappresentano dei campi aggiuntivi e proprietari del certificato.