La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Autorità di Certificazione legislazione italiana.

Presentazioni simili


Presentazione sul tema: "Autorità di Certificazione legislazione italiana."— Transcript della presentazione:

1 Autorità di Certificazione legislazione italiana

2 Indice - IntroduzioneIntroduzione - Autorità di CertificazioneAutorità di Certificazione * Ruolo delle Autorità di CertificazioneRuolo delle Autorità di Certificazione * Definizione di CertificatoDefinizione di Certificato * Catena di certificazioneCatena di certificazione - Il D.P.C.M. 8 febbraio 1999: Allegato TecnicoIl D.P.C.M. 8 febbraio 1999: Allegato Tecnico Parte generale * Articolo 1: DefinizioniArticolo 1: Definizioni * Articolo 4: Caratteristiche generali delle chiaviArticolo 4: Caratteristiche generali delle chiavi

3 Indice Parte relativa ai certificati * Articolo 11: Informazioni contenute nei certificatiArticolo 11: Informazioni contenute nei certificati * Articolo 12: Formato dei certificatiArticolo 12: Formato dei certificati * Articolo 28: Generazione dei certificatiArticolo 28: Generazione dei certificati * Articolo 42: Caratteristiche del sistema di generazione dei certificatiArticolo 42: Caratteristiche del sistema di generazione deicertificati Parte relativa ai certificatori * Articolo 22: Registrazione dei titolariArticolo 22: Registrazione dei titolari * Articolo 24: Obbligo di informazioneArticolo 24: Obbligo di informazione * Articolo 25: Comunicazione tra certificatore e titolareArticolo 25: Comunicazione tra certificatore e titolare * Articolo 27: Richiesta di certificazioneArticolo 27: Richiesta di certificazione * Articolo 20: Cessazione dellattivitàArticolo 20: Cessazione dellattività

4 Indice * Articolo 45: Manuale operativoArticolo 45: Manuale operativo * Articolo 46: Piano per la sicurezzaArticolo 46: Piano per la sicurezza * Articolo 47: Giornale di controlloArticolo 47: Giornale di controllo * Articolo 48: Sistema di qualità del certificatoreArticolo 48: Sistema di qualità del certificatore Parte relativa alla gestione dei certificati * Articolo 43: Registro dei certificatiArticolo 43: Registro dei certificati * Articolo 29: Revoca dei certificati relativi a chiavi di sottoscrizioneArticolo 29: Revoca dei certificati relativi a chiavi disottoscrizione * Articolo 30: Revoca su iniziativa del certificatoreArticolo 30: Revoca su iniziativa del certificatore * Articolo 31: Revoca su richiesta del titolareArticolo 31: Revoca su richiesta del titolare * Articolo 33: Sospensione dei certificatiArticolo 33: Sospensione dei certificati * Articolo 34: Sospensione su iniziativa del certificatoreArticolo 34: Sospensione su iniziativa del certificatore

5 Indice * Articolo 35: Sospensione su richiesta del titolareArticolo 35: Sospensione su richiesta del titolare * Articolo 37: Sostituzione delle chiavi di certificazioneArticolo 37: Sostituzione delle chiavi di certificazione * Articolo 38: Revoca dei certificati relativi a chiavi di certificazioneArticolo 38: Revoca dei certificati relativi a chiavi dicertificazione - Elenco pubblico dei certificatoriElenco pubblico dei certificatori * Articolo 15: Elenco pubblico dei certificatoriArticolo 15: Elenco pubblico dei certificatori * Articolo 16: Richiesta di iscrizione allelenco pubblico dei certificatoriArticolo 16: Richiesta di iscrizione allelenco pubblico dei certificatori * ElencoElenco

6 Introduzione Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 introduce nel nostro ordinamento la firma digitale. Come noto, il processo di firma prevede luso di crittografia a chiave pubblica. PROBLEMA: per la verifica di una firma digitale una entità deve avere accesso alla chiave pubblica del firmatario e avere la certezza che questa corrisponda alla chiave privata del firmatario. Indice

7 Autorità di Certificazione SOLUZIONE RAGIONEVOLE: uso di terze parti sicure che permettano di mettere in relazione un firmatario (identificato secondo un certo canone) con una specifica chiave pubblica. Tali terze parti sono indicate come Autorità Certificanti/di certificazione: possono essere una qualsiasi amministrazione centrale sicura che voglia garantire per lidentità degli utenti che vogliano avere una relazione con una chiave pubblica IndiceElenco Autorità

8 Ruolo delle Autorità di Certificazione Ogni Autorità di certificazione stabilisce e impone la propria procedura per ottenere la propria certificazione. Quindi ogni Autorità definisce: il proprio ambito di competenza quali tipi di certificazione elettronica può fornire quali informazioni vanno fornite in modo preciso Indice

9 Definizione di certificato Le CA emettono certificati. Essi sono file (documenti elettronici) contenenti: dati identificativi di un individuo/entità chiave pubblica dellindividuo/entità (che necessariamente deve possedere la chiave privata corrispondente) il tutto firmato da una o più CA Funzione del certificato: legare una coppia di chiavi al particolare sottoscrittore Indice Info nei certificati Formato e generazione certificati

10 Catena di certificazione La certificazione avviene usando il meccanismo a chiave pubblica la firma apposta sui certificati deve essere verificabile è necessario disporre della chiave pubblica di queste autorità, diffusa attraverso un certificato Indice

11 Catena di certificazione Una CA può: funzionare in modo autonomo (pubblicizzando la sua chiave pubblica) appartenere a una struttura più o meno articolata (in tal caso deve fornire un certificato di una CA di più alto livello) Indice

12 Catena di certificazione Abbiamo quindi una gerarchia nelle CA: multilivello: CA di livello superiore certifica le CA dei livelli immediatamente sottostanti (gerarchia ad albero, catena di certificati) due livelli: una sola CA certifica tutte le altre ordine sparso: qualsiasi CA può certificare le altre Indice

13 Il D.P.C.M. 8 febbraio 1999 Stabilisce le regole tecniche per formazione trasmissione conservazione duplicazione riproduzione validazione (anche temporale) dei documenti informatici Indice

14 Il D.P.C.M. 8 febbraio 1999 Focalizzeremo lattenzione sulle regole tecniche. Esse sono suddivise in 5 titoli: regole tecniche di base regole tecniche per la certificazione delle chiavi regole tecniche sulla validazione temporale e per la protezione dei documenti informatici regole tecniche per le pubbliche amministrazioni disposizioni finali Vedremo in breve alcuni articoli dei primi due titoli Indice

15 D.P.C.M. 08/02/1999 – parte generale Articolo 1: Definizioni Tra esse ricordo: Titolare di una coppia di chiavi asimmetriche: il soggetto a cui è attribuita la firma digitale generata con la chiave privata della coppia, ovvero il responsabile del servizio o della funzione che utilizza la firma mediante dispositivi automatici Dispositivo di firma è un apparato elettronico programmabile solo allorigine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali Marca temporale è unevidenza informatica (= sequenza di simboli binari elaborabile da una procedura informatica) che consente la validazione temporale Indice

16 D.P.C.M. 08/02/99 – parte generale Articolo 4: Caratteristiche generali delle chiavi Una coppia di chiavi può essere attribuita a un solo titolare. Lunghezza delle chiavi: almeno 1024 bit Tipologie di chiavi: chiavi di sottoscrizione destinate alla generazione e verifica delle firme apposte o associate ai documenti chiavi di certificazione destinate alla generazione e verifica delle firme apposte ai certificati e alle loro liste di revoca (CRL) o sospensione (CSL) Il certificatore determina scadenza del certificato e validità delle chiavi Indice Torna a Art.29 Torna a Art.38

17 D.P.C.M. 08/02/99 – parte sui certificati Articolo 11: Informazioni contenute nei certificati Almeno: a) numero di serie del certificato b) ragione o denominazione sociale del certificatore c) codice identificatvo del titolare presso il certificatore d) nome cognome e data di nascita ovvero ragione o denominazione sociale del titolare e) valore della chiave pubblica f) algoritmi di generazione e verifica utilizzabili g) inizio e fine del periodo di validità delle chiavi h) algoritmo di sottoscrizione del certificato Altri elementi a seconda del tipo di chiavi Indice Torna a Certificati

18 D.P.C.M. 08/02/99 – parte sui certificati Articolo 12: Formato dei certificati Conformi a norma ISO/IEC 95948:1995 oppure a specifica pubblica PKCS#6 e PKCS#9 Articolo 28: Generazione dei certificati * Prima di emettere il certificato il certificatore deve: a. accertarsi dellautenticità della richiesta b. verificare che la chiave pubblica di cui si richiede la certificazione non sia già stata certificata da uno dei certificatori iscritti nellelenco c. richiedere la prova del possesso della chiave privata e verificare il corretto funzionamento della coppia di chiavi, eventualmente richiedendo la sottoscrizione di uno o più documenti di prova Indice Torna a CertificatiTorna a Art.35

19 D.P.C.M. 08/02/99 – parte sui certificati Articolo 28 * Il certificato deve essere poi pubblicato mediante inserimento nel registro dei certificati gestito dal certificatore. Il momento della pubblicazione deve essere attestato mediante generazione di una marca temporale. * Il certificato emesso e la marca temporale devono essere inviati al titolare. * Per ciascun certificato emesso il certificatore deve fornire al titolare un codice riservato. * La generazione dei certificati è registrata nel giornale di controllo.giornale di controllo Indice

20 D.P.C.M. 08/02/99 – parte sui certificati Articolo 42: Caratteristiche del sistema di generazione dei certificati La generazione deve avvenire in un sistema usato esclusivamente per tale funzione, situato in locali protetti. I vari accessi, effettuati da personale autorizzato, devono essere registrati sul giornale di controllo. Indice

21 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 22: Registrazione dei titolari La richiesta di registrazione deve essere redatta per iscritto e deve essere conservata a cura del certificatore per almeno 10 anni. Al momento della registrazione il certificatore deve verificare lidentità del richiedente. Il certificatore deve attribuire a ciascun titolare registrato un codice identificativo di cui garantisce lunivocità nellambito dei propri utenti. Articolo 24: Obbligo di informazione Il certificatore deve informare espressamente il richiedente riguardo agli obblighi assunti in merito alla segretezza della chiave privata e alla conservazione e uso dei dispositivi di firma. Indice

22 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 25: Comunicazione tra certificatore e titolare Il certificatore può fornire al titolare gli strumenti necessari per realizzare un sistema di comunicazione sicuro che consenta di effettuare per via telematica le seguenti operazioni: a. personalizzazione dei dispositivi di firma b. richiesta di certificazione di chiavi generate fuori dallambiente del certificatore c. richiesta di revoca immediata di un certificato In assenza di tale sistema le operazioni vanno effettuate presso il certificatore Indice Torna a Art.27Torna a Art.31Torna a Art.35

23 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 27: Richiesta di certificazione Viene inoltrata tramite il sistema di comunicazione di cui allart.25 o con altro meccanismo previsto dal manuale operativo.art.25 Vanno indicate le informazioni che il soggetto non vuole siano inserite Articolo 20: Cessazione dellattività Si è tenuti a comunicare allA.I.P.A. la data di cessazione con un anticipo di almeno 6 mesi, indicando il certificatore sostitutivo o il depositario del registro dei certificati e la relativa documentazione. Tali informazioni verranno rese note dallA.I.P.A. nellelenco pubblico. Il certificatore deve avvisare i possessori dei certifcati da esso emessi, specificando che tutti i certificati non scaduti al momento della cessazione devono essere revocati. Indice

24 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 45: Manuale operativo Definisce le procedure applicate dal certificatore nello svolgimento della propria attività. Tra gli elementi che il manuale deve contenere, ricordiamo: a. dati identificativi del certificatore b. responsabile del manuale operativo c. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme d. tariffe e. modalità di identificazione e registrazione degli utenti f. modalità di generazione delle chiavi g. modalità di emissione dei certificati h. modalità di sospensione e revoca dei certificati i. modalità di sostituzione delle chiavi j. modalità di gestione e accesso al registro dei certificati Indice Torna a Art.16

25 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 46: Piano per la sicurezza Deve essere fornito dal responsabile della sicurezza Tra gli elementi che il piano deve contenere, ricordiamo: a. attribuzione delle responsabilità b. algoritmi crittografici utilizzati c. descrizione delle procedure utilizzate nellattività di certificazione d. descrizione dei dispositivi installati e. descrizione dei flussi di dati f. procedura di gestione delle copie di sicurezza dei dati g. specificazione dei controlli h. modalità di sospensione e revoca dei certificati Indice Torna a Art.16

26 D.P.C.M. 08/02/99 – parte sui certificatori Articolo 47: Giornale di controllo E costituto dallinsieme delle registrazioni effettuate automaticamente dai dispositivi installati presso il certificatore A ciascuna registrazione deve essere associata la data e lora in cui è stata effettuata. Lintegrità del giornale di controllo deve essere verificata con frequenza almeno mensile. Articolo 48: Sistema di qualità del certificatore Entro un anno dallinizio dellattività, il sistema di qualità deve essere certificato secondo le norme ISO Indice Torna a Art.28

27 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 43: Registro dei certificati Devono essere presenti i seguenti elementi: a. i certificati emessi dal certificatore b. la lista dei certificati revocati c. la lista dei certificati sospesi Esso è accessibile a qualsiasi soggetto. Le liste di certificati sospesi e revocati possono essere suddivise in liste diverse. Il registro può essere replicato su più siti purchè sia garantita la consistenza e lintegrità delle copie. Di esso va mantenuta una copia di riferimento (cfr. Articolo 44) Indice

28 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 29: Revoca dei certificati relativi a chiavi di sottoscrizione La revoca di un certificato determina la cessazione anticipata della sua validità. Effettuata dal certificatore mediante linserimento del certificato in una delle CRL da lui gestite. La revoca è efficace a partire dal momento della pubblicazione della lista che la contiene ed è definitiva. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere immediatamente alla pubblicazione dellaggiornamento della lista di revoca. Indice Tipologie di chiavi

29 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 30: Revoca su iniziativa del certificatore Deve darne comunicazione al titolare, specificando i motivi, la data e lora a partire dalla quale il certificato non è più valido. Articolo 31: Revoca su richiesta del titolare Deve essere redatta per iscritto e recare la motivazione e la decorrenza. E inoltrata tramite il sistema di comunicazione sicuro di cui allarticolo 25articolo 25 Il certificatore deve verificare lautenticità della richiesta e procedere alla revoca entro il termine richiesto. Se non riesce a verificare in tempo utile, procede alla sospensione del certificato. Indice

30 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 33: Sospensione dei certificati La validità di un certidficato può essere sospesa dal titolare, dal certificatore o dal terzo interessato. La sospensione è effettuata dal certificatore attraverso l'inserimento del certificato in una delle liste dei certificati sospesi e diviene efficace dal momento della pubblicazione della lista che lo contiene. Articolo 34: Sospensione su iniziativa del certificatore Il certificatore deve darne preventiva comunicazione al titolare, specificandone i motivi e la durata. L'avvenuta sospensione deve essere notificata al titolare specificando data e ora a partire dalla quale il certificato risulterà essere sospeso. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione Indice

31 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 35: Sospensione su richiesta del titolare La richiesta deve essere redatta per iscritto specificando la motivazione e il periodo di sospensione, e inoltrata mediante il sistema di comunicazione sicuro di cui all'Art. 25.Art. 25 Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. In caso di emergenza è possibile richiedere la sospensione immediata di un certificato usando il codice previsto dall'Art. 28. La richiesta deve essere successivamente confermata usando una delle modalità previste dal certificatore.Art. 28 Indice

32 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 37: Sostituzione delle chiavi di certificazione La procedura di sostituzione deve avvenire almeno 90 gg. prima della scadenza del certificato relativo a una chiave di certificazione, generando una nuova coppia di chiavi. Il certificatore deve quindi generare un certificato relativo alla nuova chiave pubblica sottoscritto con la chiave privata della vecchia coppia e uno relativo alla vecchia chiave pubblica sottoscritto con la nuova chiave privata. Indice

33 D.P.C.M. 08/02/99 – parte su gestione certificati Articolo 38: Revoca dei certificati relativi a chiavi di certificazione E' consentita solo nei seguenti casi: a) compromissione della chiave segreta b) guasto del dispositivo di firma c) cessazione dell'attività Deve essere notificata entro 24 ore all'AIPA e a tutti i possessori di certificati sottoscritti con la chiave segreta appartenente alla coppia revocata. Il certificato revocato deve essere inserito in una lista di revoca aggiornata immediatamente. Indice Tipologie di chiavi

34 Elenco pubblico dei certificatori Articolo 15: Elenco pubblico dei certificatori Contiene, per ogni certificatore, le seguenti informazioni: a) Ragione o denominazione sociale b) Sede legale c) Rappresentante legale d) Nome X.500 e) Indirizzo Internet f) Elenco numeri telefonici di accesso g) Lista dei certificati delle chiavi di certificazione h) Manuale operativo i) Data di cessazione e certificatore sostitutivo Tale elenco è sottoscritto dall'AIPA Indice

35 Elenco pubblico dei certificatori Articolo 16: Richiesta di iscrizione all'elenco pubblico dei certificatori Alla domanda di iscrizione devono essere allegati: a) Copia del manuale operativomanuale operativo b) Copia del piano per la sicurezzapiano per la sicurezza c) profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi d) copia della polizza assicurativa a copertura dei rischi dell'attività e dei danni causati a terzi L'Autorità può chiedere integrazioni alla documentazione presentata. Entro 60 giorni dalla presentazione la domanda viene accettata ovvero respinta con provvedimento motivato. Indice

36 Elenco pubblico dei certificatori Elenco qui di seguito le società individuate dall'AIPA, alla data del 6 luglio 2000, ai fini dell'attività di certificazione: Società Interbancaria per l'Automazione – Cedborsa S.p.A. Società per i Servizi Bancari – SSB S.p.A BNL Multiservizi S.p.A. Infocamere – Società Consortile di Informatica delle Camere di Commercio Italiane S.p.A. Finanziaria Italiana S.p.A. Saritel S.p.A. Postecom S.p.A. Servizi Centralizzati S.p.A. Indice Torna a Autorità


Scaricare ppt "Autorità di Certificazione legislazione italiana."

Presentazioni simili


Annunci Google