La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso tenuto presso Istituto per le Applicazioni del Calcolo.

Presentazioni simili


Presentazione sul tema: "F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso tenuto presso Istituto per le Applicazioni del Calcolo."— Transcript della presentazione:

1 F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso tenuto presso Istituto per le Applicazioni del Calcolo CNR

2 F. Toschi 1.Introduzione alle problematiche della firma digitale 2.Il formato dei certificati a chiave pubblica 3.Meccanismi di revoca dei certificati 4.Servizi ausiliari 5.Architettura tecnica ed organizzativa di un sistema di certificazione 6.Supporto hardware per la firma digitale tramite smart-card ed acceleratori crittografici 7.Formati standard a supporto della firma digitale 8.Librerie di programmazione a supporto della firma digitale 9.Il ruolo del directory 10.Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale 11.La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale 12.Applicazioni pratiche della firma digitale 13.Glossario termini 14.Bibliografia-Sitografia Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale

3 F. Toschi Il concetto di firma La firma è legata ad un individuo Firmare un documento significa accettarne volontariamente il contenuto

4 F. Toschi La firma digitale usa la crittografia asimmetrica come strumento. La firma digitale si prefigge i seguenti obiettivi: certezza del sottoscrittore non modificabilità del messaggio originale il sottoscrittore non può negare di aver firmato, nè il ricevente di disconoscere la firma del sottoscrittore Eventualmente la certezza del momento in cui è stata apposta lapposita NON RIPUDIO INTEGRITA AUTENTICITA Introduzione alle problematiche della firma digitale MARCA TEMPORALE o riferimento temporale (normativa AIPA 42/2001)

5 F. Toschi Richiami su crittografia a chiavi asimmetriche Ideata da Diffie-Hellman, utilizza una coppia di chiavi: Privata – nota solo allautore del messaggio Pubblica – nota a tutti (esistono delle directory consultabili da chiunque, NB: questo per la firma non è più vero per questioni di privacy) Il processo crittografico si basa sui due seguenti capisaldi: A)Il messaggio cifrato con la chiave privata può essere messo in chiaro SOLO attraverso lutilizzo della corrispettiva chiave pubblica B)da una tipologia di chiave (per esempio quella pubblica) non si può risalire in alcun modo allaltra chiave (per esempio quella privata)

6 F. Toschi Richiami su crittografia a chiavi asimmetriche codifica il messaggio con la chiave pubblica del destinatario Se il mittenterisultato codifica il messaggio con la propria chiave privata codifica il messaggio con la chiave pubblica del destinatario e poi firma usando la propria chiave privata RISERVATEZZA solo il proprietario della chiave privata può leggere il documento AUTENTICITA del documento AUTENTICITA e RISERVATEZZA del documento NB: esistono chiavi diverse per realizzare questi scopi

7 F. Toschi Chiave privata SMARTCARD con Microprocessore Per quanto detto è ovvio che esiste un problema di sicurezza della chiave privata. Il POSSESSO della chiave privata certifica la titolarità del sottoscrittore, la cui identità è accertata dal certificatore. In caso di smarrimento e/o pericolo di compromissione della chiave privata è necessario bloccare la relativa chiave pubblica!! Tutta limplementazione della firma digitale potrebbe essere fatta con la chiave privata passata al proprietario su un floppy e quindi copiata in qualche cartella sul disco rigido. Ma quale sicurezza avremmo? Necessari dispositivi di firma SICURI (hw e sw), i.e. SMARTCARD protetta da un codice PIN

8 F. Toschi Firma e chiavi asimmetriche Chiave privata Testo da firmare Calcolo Hash sottoscrittore Documento + hash criptato con chiave privata del sottoscrittore Testo in chiaro Hash sottoscrittore criptato Hash ricalcolato Decodifica usando chiave pubblica del sottoscr. (da controllare su un directory di CA) Se i due hash coincidono il sottoscrittore è CERTO e il documento NON ALTERATO Hash sott. in chiaro = ? Lato sottoscrittore Lato verificatore Consegna Busta PKCS#7 CA

9 F. Toschi Una precisazione importante ATTENZIONE E altamente sconsigliabile la firma digitale di documenti contenente elementi variabili. Bisogna utilizzare, per i documenti da firmare digitalmente, formati il più possibile statici (rtf, pdf, text, tiff, etc.). File che contengono elementi dinamici (macro, funzioni, script, etc.), che possono essere inseriti in alcuni tipi di documento informatico (.doc,.xls, etc.), potrebbero visualizzare contenuti differenti al momento della sottoscrizione e della successiva verifica

10 F. Toschi Che cosa è la firma elettronica? La firma digitale ed elettronica sono il mezzo per garantire l'integrità del file firmato e la paternità del sottoscrittore. FIRMA DIGITALE firma avanzata rilasciata da certificatore qualificato e con dispositivo sicuro Il documento ha la stessa valenza giuridica di quello autografo FIRMA ELETTRONICA Garantisce lautenticità FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integrità

11 F. Toschi Riepilogando... FIRMA DIGITALE Il documento ha la stessa valenza giuridica di quello autografo è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e lintegrità di un documento informatico o di un insieme di documenti informatici. [...] (La firma è rilasciata da un certificatore accreditato) FIRMA ELETTRONICA Garantisce lautenticità ai sensi dellarticolo 2, comma 1, lettera a), del decreto legislativo 23 gennaio 2002, n. 10, linsieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integrità ai sensi dellarticolo 2, comma 1, lettera g), del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;

12 F. Toschi Validità giuridica la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi e rilevanti a tutti gli effetti di legge, come una firma autografa. Se la natura della firma digitale non è conforme alla normativa (firma debole) la validità giuridica del documento è rimessa allapprezzamento del giudice.

13 F. Toschi La firma – tipologia di chiavi chiavi di sottoscrizione - destinate alla generazione e verifica delle firme apposte e quindi utilizzate dal privato per firmare i suoi documenti (1024 bit) chiavi di certificazione - destinate alla generazione e verifica delle firme apposte ai certificati, alle liste di revoca e a quelle di sostenzione. utilizzate dalla CA (2048 bit) chiavi di marcatura temporale - destinate alla generazione e verifiche delle marche temporali. usate dalla CA (1024 bit)

14 F. Toschi I tipi di certificati a chiave pubblica Di sottoscrizione – usati per la firma dei documenti Di autenticazione –per essere riconosciuti su web o per la firma elettronica Di crittografia –utilizzati per crittografare documenti Esempio (non più pertinente): Il registro dei certificati gestito da Postecert è raggiungibile all'indirizzo ldap://certificati.postecert.itldap://certificati.postecert.it

15 F. Toschi I tipi di certificati a chiave pubblica certificati personali per firma digitale certificati personali, per firma digitale a valore legale certificati personali, per posta elettronica S/MIME certificati personali, per client web (browser) certificati per server web certificati per IPSEC e VPN certificati per code signing certificati autofirmati per le proprie chiavi pubbliche, ossia della CA stessa (certificati Root). certificati per il sistema di marcatura temporale: certificati autofirmati per le proprie chiavi pubbliche, ossia della TSA stessa. Esempio: su Windows, vedere Proprietà Internet e poi Certificati

16 F. Toschi Interoperabilità Le norme tecniche definite dallAIPA e recepite dalla legislazione vigente assicurano la INTEROPERABILITA dei certificati, firme etc.

17 F. Toschi Il certificato è il mezzo che il destinatario usa per avere la garanzia sullidentità del mittente (e per venire in possesso della chiave pubblica di questultimo). Il certificato contiene, oltre alla chiave pubblica per la verifica della firma, anche i dati del titolare, è quindi garantito e firmato da una "terza parte fidata (il certificatore). Per la legge italiana deve contenere almeno i seguenti dati: numero di serie del certificato; ragione e denominazione sociale del certificatore; codice identificativo del titolare presso il certificatore; nome, cognome e data di nascita ovvero ragione o denom. sociale del titolare; valore della chiave pubblica; algoritmi di generazione e verifica utilizzabili; inizio e fine del periodo di validità delle chiavi; algoritmo di sottoscrizione del certificato. Il certificato è nel formato X.509 versione 4 e contiene una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive. Il formato dei certificati a chiave pubblica

18 F. Toschi Meccanismi di revoca dei certificati La revoca consiste nell'inserimento del certificato in una lista di certificati non più validi, denominata CRL. Un certificato viene aggiunto alla lista di revoca dietro richiesta alla CA emittente da parte del titolare oppure su iniziativa della CA stessa. Può rendersi necessario revocare un certificato se: il certificato è stato generato in modo errato rispetto alle informazioni che il titolare ha fornito al certificatore vi sono fondate ragioni per ritenere che la chiave privata del titolare sia compromessa (persa?, copiata?) si rilevino gravi errori nelle informazioni fornite dal titolare del certificato dopo che questi ha già accettato il proprio certificato sia intervenuta una variazione significativa nei dati identificativi dell'ente che eroga il servizio di certificazione.

19 F. Toschi Root Certificate Un certificato Root è il certificato autofirmato da una Certification Authority (CA). La chiave pubblica di questo certificato è usata per verificare la firma che la CA appone, mediante la chiave privata, a tutti i certificati da essa generati. Scaricando e accettando il certificato Root di una CA, l'utente dichiara la propria fiducia nella CA stessa e, conseguentemente, accetta la validità di tutti i certificati che essa può emettere. Il root certificate è quello dellAIPA

20 F. Toschi Servizi ausiliari: la marcatura temporale La marcatura temporale può essere richiesta alla TSA (Time Stamping Authority) secondo un preciso protocollo: L'utente che ha bisogno della marca temporale per un documento calcola l'impronta del documento (hash del documento) e l'invia al server della TSA. Il server della TSA riceve l'impronta, ne definisce il riferimento alla data/ora corrente e firma digitalmente la combinazione dei due dati. A questi elementi si aggiungono altre informazioni di controllo che costituiscono nel loro insieme la marca temporale da restituire all'utente. L'utente, una volta ricevuta la marca temporale, la conserva verificando: la firma e il certificato della TSA l'impronta contenuta nella marca temporale affinché corrisponda a quella inviata nella richiesta. Nel caso in cui venisse revocato il certificato di un firmatario di un documento, di cui si ha la marca temporale, è possibile determinare quando la firma è stata apposta, in particolare si riesce a determinare se ciò è avvenuto prima o dopo la revoca e definire quindi se si tratta di una firma affidabile.

21 F. Toschi Architettura tecnica ed organizzativa di un sistema di certificazione La firma autografa è immediatamente riconducibile allidentità di chi firma Il DPR 513 ha introdotto il ruolo di Certification Authority (CA) come la terza parte preposta a garantire lassociazione tra lidentità del firmatario e la chiave pubblica del firmatario Fasi previste per richiedere un certificato: –prenotazione presso una CA –riconoscimento fisico del richiedente –richiesta del certificato –rilascio del certificato (ed eventualmente del sw e hw necessario per il suo utilizzo)

22 F. Toschi Smartcard a microprocessore Sistema operativo Un motore crittografico Un file system dove sono inserite le informazioni Lettore di smartcard da collegare ad un computer Gli acceleratori crittografici sono dei dispositivi HARDWARE che consentono di liberare risorse di CPU occupandosi loro della cifratura/decifratura RSA (prestazioni dellordine di transazioni RSA a 1024 bit per secondo) Struttura delle informazioni nel microprocessore della carta didentità elettronica (file system della carta) Specifiche del sistema operativo della carta Supporto hardware per la firma digitale tramite smart-card ed acceleratori crittografici SMARTCARD con Microprocessore Carta didentità elettronica

23 F. Toschi La carta didentità elettronica e la firma digitale Dal sito dellAIPA, alcuni interessanti documenti relativi alla carta didentità elettronica Il circuito di emissione Formato PDF (444 Kb)Formato PDF (444 Kb) Il processo di autenticazione in rete Formato PDF (249 Kb)Formato PDF (249 Kb) Interoperabilit à tra carte e disaccoppiamento rispetto ai S.O. Formato PDF (22 Kb)Formato PDF (22 Kb) La carta di identit à elettronica come documento sicuro di riconoscimento Formato PDF (20 Kb)Formato PDF (20 Kb) Scopo della carta didentità: riconoscimento di un individuo 1.a vista 2.per via elettronica

24 F. Toschi Formati standard a supporto della firma digitale PKCS#7 è il formato standard dei documenti firmati (*.p7m) (ovvero costituisce la busta elettronica) Per maggiori informazioni vedere: Descrizione degli standard RSA a supporto della firma digitale: PKCS # 1The RSA encryption standard. This standard defines mechanisms for encrypting and signing data using the RSA public key system. PKCS # 3The Diffie-Hellman key-agreement standard. This defines the Diffie-Hellman key agreement protocol. PKCS # 5The password-based encryption standard (PBE). This describes a method to generate a Secret Key based on a password. PKCS # 6The extended-certificate syntax standard. This is currently being phased out in favor of X509 v3. PKCS # 7The cryptographic message syntax standard. This defines a generic syntax for messages which have cryptography applied to it. PKCS # 8The private-key information syntax standard. This defines a method to store Private Key Information. PKCS # 9This defines selected attribute types for use in other PKCS standards. PKCS # 10The certification request syntax standard. This describes a syntax for certification requests. PKCS # 11The cryptographic token interface standard. This defines a technology independent programming interface for cryptographic devices such as smartcards. PKCS # 12The personal information exchange syntax standard. This describes a portable format for storage and transportation of user private keys, certificates etc. PKCS # 13The elliptic curve cryptography standard. This describes mechanisms to encrypt and sign data using elliptic curve cryptography. PKCS # 14This covers pseudo random number generation (PRNG). This is currently under active development. PKCS # 15The cryptographic token information format standard. This describes a standard for the format of cryptographic credentials stored on cryptographic tokens.

25 F. Toschi Formati standard a supporto della firma digitale PKCS#7 è il formato standard dei documenti firmati (*.p7m) costituisce la busta elettronica Include: 1.il messaggio 2.lhash del messaggio firmato con la chiave privata dei sottoscrittore 3.la chiave pubblica del sottoscrittore firmata della chiave privata del certificatore (le chiavi pubbliche dei certificatori sono pubblicamente accessibili)

26 F. Toschi Librerie di programmazione a supporto della firma digitale CryptoLib è una libreria di primitive per la costruzione di applicazioni crittografiche. E' caratterizzata da un'elevata portabilità, dal momento che è possibile utilizzarla su diverse versioni di Unix, ma anche su DOS, Windows 95 ed NT, etc... La CryptoLib è essenzialmente una libreria numerica che fornisce,tra gli altri, i seguenti servizi: rappresentazioni numeriche (BigInt) di lunghezza arbitraria, operazioni sui BigInt, ovvero ooperazioni aritmetiche ooperazioni logiche ooperazioni di shift oelevamento a potenza in modulo ocalcolo del Massimo Comun Divisore con algoritmo di Euclide esteso primitive di crittografia DES e 3DES RSA SHA Diffie-Hellman MD2, MD4 ed MD5 generazione di numeri primi e di sequenze pseudocasuali L'algoritmo SHA è uno standard americano pubblicato nel documento FIPS PUB (Federal Information Processing Standards Publication) Per un messaggio di lunghezza inferiore a 2 64 bit, l'SHA-1 produce una rappresentazione condensata lunga 160 bit che prende il nome di digest.

27 F. Toschi Il ruolo del directory Cos'è il servizio di directory di una CA? Il servizio di directory consente ad una CA di rendere disponibili pubblicamente i certificati emessi per i clienti del proprio servizio. In tal modo chiunque necessiti del certificato di una persona, ad esempio per inviarle una confidenziale, può ottenerlo accedendo liberamente al servizio di directory. Solitamente una CA utilizza il proprio servizio di directory anche per la pubblicazione della lista di revoca relativa ai certificati non più validi da essa emessi. Informazioni contenute nel registro dei certificati (art. 43, comma 1, DPCM 8/02/99) –Elenco di tutti i certificati emessi –Lista dei certificati revocati (CRL) –Lista dei certificati sospesi (CSL) Modalità di accesso al registro dei certificati –Internet Directory Server X.500 LDAP v.3

28 F. Toschi Il ruolo del directory: esempio Mittente prepara una busta PKCS7: prima del giorno X Vi sono due possibilità affinchè il messaggio risulti attendibile CA tempo Compromissione della chiave privata (smarrimento smartcard + PIN ?) Inserimento della chiave pubblica nella Certificate Revocation List della CA Giorno X CRL Chiave pubblica appare nella CRL Il mittente INOLTRA il documento (firmato con la chiave attualmente compromessa) ma CON Time Stamp antecedente alla compromissione della chiave privata Il mittente INOLTRA il documento firmato PRIMA della compromissione della chiave privata

29 F. Toschi IMPORTANTISSIMA risulta quindi la certezza della DATA. Come si può ottenere? 1) ricezione in data antecedente ad X 2) messaggio ha un TIME STAMP apposto da terzi fidati (TSA), NB: non ci si può certo fidare dellorologio del computer del mittente. Questo infatti è facilmente modificabile!! Certezza della data

30 F. Toschi Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale Alcuni esempi di applicativi per gestire documenti elettronici Verifica_CThttp://www.ct.rupa.it/http://www.ct.rupa.it/ Digital Signhttp://www.comped.it/http://www.comped.it/ Firma OKhttp://www.poste.ithttp://www.poste.it Signncrypt

31 F. Toschi La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Decreto del Presidente della Repubblica 7 aprile 2003, n.137Decreto del Presidente della Repubblica 7 aprile 2003, n Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10 Ministero delle attività produttive - Decreto 20 marzo 2003Ministero delle attività produttive - Decreto 20 marzo 2003 – Sperimentazione dell'invio telematico dei bilanci di esercizio delle società Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificataLinee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA Allegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificataAllegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA Direttiva sulla trasparenza dell'azione amministrativa e gestione elettronica dei flussi documentaliDirettiva sulla trasparenza dell'azione amministrativa e gestione elettronica dei flussi documentali – Ministro per l'innovazione e le tecnologie - 9 dicembre 2002 Conversione in legge, con modificazioni, del decreto-legge 25 ottobre 2002, n. 236Conversione in legge, con modificazioni, del decreto-legge 25 ottobre 2002, n. 236, recante disposizioni urgenti in materia di termini legislativi in scadenza (Proroga dei termini per la presentazione dei documenti societari con firma digitale) Circolare del Ministero delle attività produttive 29 novembre 2002, n. 3553/CCircolare del Ministero delle attività produttive 29 novembre 2002, n. 3553/C – Prime indicazioni attuative dell'art. 31,comma 2,della legge 24 novembre 2000, n. 340 così come modificato dallart. 3, comma 13, della legge 28 dicembre 2001, n. 448 Decreto legislativo 23 gennaio 2002, n. 10Decreto legislativo 23 gennaio 2002, n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche Dal sito:

32 F. Toschi Ministero delle attività produttive - Decreto 12 novembre 2001Ministero delle attività produttive - Decreto 12 novembre 2001 – Modalità per la presentazione per via telematica o su supporto informatico degli atti di conversione in euro del capitale delle società al fine del deposito per l'iscrizione nel registro delle imprese Ministero delle attività produttive - Circolare n. 3529/C del Ministero delle attività produttive - Circolare n. 3529/C del – Attuazione dellarticolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitale presso le Camere di commercio) Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - articolo 6, commi 1 e 2, del Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 29 dicembre 2000, n. 445Repubblica 29 dicembre 2000, n. 445 – Autorità per l'informatica nella pubblica amministrazione –Deliberazione n. 42/2001 Circolare del 21 giugno 2001, n. AIPA/CR/31Circolare del 21 giugno 2001, n. AIPA/CR/31 – Art. 7, comma 6, del decreto del Presidente del Consiglio dei ministri del 31 ottobre 2000, recante "Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428" - requisiti minimi di sicurezza dei sistemi operativi disponibili commercialmente Circolare 18 maggio 2001, n. AIPA/CR/29Circolare 18 maggio 2001, n. AIPA/CR/29 – Art. 14, comma 2, del decreto del Presidente del Consiglio dei ministri dell'8 febbraio 1999: codici identificativi idonei per la verifica del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità per l'informatica nella pubblica amministrazione Circolare 7 maggio 2001, n. AIPA/CR/28Circolare 7 maggio 2001, n. AIPA/CR/28 – Articolo 18, comma 2, del decreto del Presidente del Consiglio dei ministri 31 ottobre Standard, modalità di trasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e associate ai documenti protocollati. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

33 F. Toschi Decreto del Presidente del Consiglio dei ministri 20 aprile 2001Decreto del Presidente del Consiglio dei ministri 20 aprile 2001 – Differimento del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999 Circolare del 16 febbraio 2001, n. AIPA/CR/27Circolare del 16 febbraio 2001, n. AIPA/CR/27 – Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – RelazioneRelazione Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – RelazioneRelazione Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 – Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999 Deliberazione AIPA n. 51/2000 del 23 novembre 2000Deliberazione AIPA n. 51/2000 del 23 novembre 2000 – Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dellart. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000 – Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 Circolare 19 giugno 2000 n. AIPA/CR/24Circolare 19 giugno 2000 n. AIPA/CR/24 - Linee guida per l'interoperabilità dei certificatori La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

34 F. Toschi Ministero della giustizia - Decreto 27 marzo 2000 n. 264Ministero della giustizia - Decreto 27 marzo 2000 n. 264 – Regolamento recante norme per la tenuta dei registri presso gli uffici giudiziari Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 – Gestione informatica dei flussi documentali nelle pubbliche amministrazioni Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 – Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della legge 16 giugno 1998, n. 191 Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22 – Modalità per presentare domanda di iscrizione nellelenco pubblico dei certificatori Decreto del Presidente della Repubblica 8 marzo 1999, n. 70Decreto del Presidente della Repubblica 8 marzo 1999, n. 70 – Regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell'articolo 4, comma 3, delle legge 16 giugno 1998, n. 191 Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dellarticolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513 Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 – Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche Deliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazioneDeliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per l'uso di supporti ottici Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161 – Regolamento recante norme per l'individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendali delle banche e delle cause di sospensione La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

35 F. Toschi Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 – Regolamento recante norme per l'organizzazione ed il funzionamento del Centro tecnico per l'assistenza ai soggetti che utilizzano la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17, comma 19, della Legge 15 maggio 1997, n. 127 Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 – Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici Legge 15 marzo 1997 n. 59, art. 15, comma 2 Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per il mandato informatico Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 – Rete unitaria della pubblica amministrazione La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

36 F. Toschi Applicazioni pratiche della firma digitale Diviene possibile per le Pubbliche amministrazioni, le imprese ed i privati scambiare documenti elettronici con la stessa validità dei corrispondenti documenti cartacei. La firma digitale costituisce una componente importante per la Rete unitaria della Pubblica Amministrazione.

37 F. Toschi Attenzione La normativa è ancora in fase di sviluppo In futuro anche gli aspetti tecnici saranno con tutta probabilità modificati e aggiornati....

38 F. Toschi Glossario termini PKCS Public Key Cryptography Standards. Standard realizzati per assicurare l'interoperabilità delle tecniche crittografiche. Le componenti di questo standard sono numerate. Maggiori dettagli sugli standard PKCS implementati sono disponibili presso il sito LDAP Lightweight Directory Access Protocol. Protocollo per utilizzato per accedere online a servizi di directory (in particolare servizi directory X.500) che possono contenere informazioni riguardo ad utenti e ad i loro certificati digitali. X.500 Insieme di standards ITU-T relativi a servizi di directory elettroniche. X.509 Standards ITU-T T relativi a certificati digitali. X.509 v3 si riferisce a certificati contenenti o in grado di contenere estensioni. Secure Sockets Layer (SSL) Protocollo originariamente sviluppato da Netscape, poi divenuto standard universale per l'autenticazione dei siti Web e per cifrare le comunicazioni tra i client (browsers) e i Web server. IPSec Insieme di standard aperti per assicurare comunicazioni private sicure nelle reti IP al livello network, che forniscono la crittazione a livello network. SHA-1 Secure Hash Algorithm (SHA), algoritmo specificato nel Secure Hash Standard (SHS, FIPS 180), sviluppato dal NIST [NIS93a]. SHA-1 [NIS94c] è una revisione del algoritmo SHA pubblicata nel 1994.

39 F. Toschi AIPA - Autorità per lInformatica nella Pubblica Amministrazione CA - certification authority – autorità di certificazione CSL - certificate suspension list – lista dei certificati sospesi CSR - certificate signing request CRL - certificate revocation list – lista dei certificati revocati FIPS - Federal Information Processing Standard FTP - File Transfer Protocol GMT - Greenwich Mean Time HTTP - Hypertext Transfer Protocol HTTPS - Hypertext Transfer Protocol con SSL ISO - International Standard Organization ITSEC - Information Technology Security Evaluation Criteria LDAP - Lightweight Directory Access Protocol LRA - local registration authority – autorità di registrazione locale LRAA - local registration authority administrator – amministratore LRA POP - Point of Presence PIN - personal identification number PKCS - Public Key Cryptography Standards PKI - public key infrastructure – infrastruttura a chiave pubblica RDS - Relative Distinguished Name RPA - Relying Party Agreement RSA - sistema crittografico Rivest-Shamir-Adleman SET - Secure Electronic Transaction S/MIME - Secure Multipurpose Internet Mail Extensions SSL - Secure Sockets Layer TSA - Time Stamping Authority URL - uniform resource locator WWW - World Wide Web X specifica ITU-T in materia di certificazione e relativo framework di autenticazione Glossario termini

40 F. Toschi Bibliografia-Sitografia Solo alcuni punti di partenza. In rete si trova ovviamente molto di più... Directory server LDAPPer esempio:ldap://certificati.postecert.itldap://certificati.postecert.it La firma elettronica in Italia: Autorità per linformatica nella pubblica amministrazione AIPA –http://www.aipa.ithttp://www.aipa.it –Elenco pubblico certificatori attivi –http://www.aipa.it/attivita%5B2/certifica%5B17/http://www.aipa.it/attivita%5B2/certifica%5B17/ Centro tecnico della Presidenza del Consiglio dei Ministri –http://www.ct.rupa.it/http://www.ct.rupa.it/ Esempi di manualistica –http://www.poste.it/online/postecert/http://www.poste.it/online/postecert/ –http://www.poste.it/online/postecert/manualeoperativo.ziphttp://www.poste.it/online/postecert/manualeoperativo.zip Firma elettronica: tecnologie e standard –http://www.aipa.it/attivita%5B2/standard%5B5/archiviazioneottica%5B1/firmaweb.asphttp://www.aipa.it/attivita%5B2/standard%5B5/archiviazioneottica%5B1/firmaweb.asp Dal sito di interlex, molti articoli su leggi e diritto relativo alla firma digitale –http://www.interlex.it/docdigit/indice.htmhttp://www.interlex.it/docdigit/indice.htm

41 F. Toschi Bibliografia-Sitografia Alcuni certificatori attivi in Italia Enel CA Actalishttp://www.actalis.it/http://www.actalis.it/ Buffettihttp://www.buffettifin.it/http://www.comped.it/http://www.buffettifin.it/http://www.comped.it/ Sugli standard etc. Sugli hash Software per varie piattaforme linuxhttp://opensignature.sourceforge.net/ applehttp://www.macitynet.it/macity/aA11467/index.shtml Guida alluso della firma digitalehttp://www.poste.it/online/postecert/guida_pratica.ziphttp://www.poste.it/online/postecert/guida_pratica.zip


Scaricare ppt "F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso tenuto presso Istituto per le Applicazioni del Calcolo."

Presentazioni simili


Annunci Google