Firma Elettronica Stefano Masiero

Presentazione sul tema: "Firma Elettronica Stefano Masiero"— Transcript della presentazione:

1 Firma Elettronica Stefano Masiero
Area Sistemi di Sicurezza Informatica

2 Aspetti tecnici di base Firma digitale in pratica
Agenda Quadro normativo Aspetti tecnici di base Firma digitale in pratica

3 Agenda Quadro normativo

4 Italia:quadro normativo 1/3
Legge n.59/97 Doc. cartaceo  Doc. informatico Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici. D.P.R. 513 D.P.C.M 8/2/99 Regole tecniche sulla materia. Circolare AIPA n22, 22/07/1999 Modalità di iscrizione all'albo dei Certificatori Circolare AIPA n24, 19/06/2000 Linee guida sull'interoperabilità dei Certificatori

5 Italia:quadro normativo 2/3
Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa T.U. 28/12/2000 n.445 Circolare AIPA n27, 16/02/2001 Modalità di iscrizione all'Albo CA della P.A. D. Leg.vo 23/01/2002, n.10 e D.P.R /04/2003 Recepimento della direttiva /93/CE

6 Italia:quadro normativo 3/3
D.P.C.M. 13/01/04 Nuove regole tecniche Deliberazione CNIPA n.4/2005 del 17/02/05 Regole per il riconoscimento el verifica del documento informatico (interoperabilità) D. Leg.vo 7/3/2005, n. 82 Codice dell’amministrazione digitale

7 La Direttiva Europea sulla firma elettronica
Il 19 gennaio 2000: pubblicazione della direttiva europea nella GUCE. L'obiettivo principale: definire un quadro comunitario unitario per le firme elettroniche improntato sulla libera circolazione dei servizi di certificazione e sulla validità giuridica dei documenti firmati. Il testo è composto da 15 articoli e 4 allegati relativi a: I - requisiti dei certificati qualificati, II - requisiti delle CA che rilasciano certificati qualificati, III - requisiti dei dispositivi di firma sicura, IV - raccomandazioni per la firma della firma sicura.

8 L’evoluzione normativa - le norme pre-direttiva
Unica tipologia di Certificato Unica tipologia di Certificatore Unica tipologia di Firma Digitale

9 L’evoluzione normativa - le nuove norme
Dlgs 23/01/2002, n.10 DPCM 8/02/1999 13/01/2004 RECEPIMENTO DIRETTIVA DPR 137/2003 445/2000 Dlgs 82/2005

10 L’evoluzione normativa - le Innovazioni
Due tipologie di Certificati Certificato Qualificato Certificato non Qualificato Tre tipologie di Certificatore Certificatore che rilascia Certificati Qualificati: Accreditato Notificato Certificatore che rilascia Certificati non Qualificati Quattro tipologie di Firme elettroniche

11 Le Firme Elettroniche 1/2
Firma elettronica insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica. Firma elettronica avanzata firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

12 Le Firme Elettroniche 2/2
Firma elettronica qualificata la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma, quale l'apparato strumentale usato per la creazione della firma elettronica Firma digitale un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;

13 Gli effetti sul pregresso
I soggetti iscritti nell'elenco pubblico dei certificatori sono considerati per legge certificatori accreditati. I certificati emessi dai certificatori iscritti nell'elenco pubblico hanno la medesima efficacia dei certificati qualificati. I titolari di certificati possono quindi continuare ad utilizzare le chiavi private già certificate per sottoscrivere evidenze informatiche.

14 D.L.82/2005 Art.20 Documento informatico comma 2 “Il documento informatico, sottoscritto con firma elettronica qualificata o con firma digitale, soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche…” Art.21 Valore probatorio del documento informatico sottoscritto 1.“Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio é liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza.” 2.“Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.

15 D.L.82/2005 Art. 65 Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica 1. Le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell'articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide: a) se sottoscritte mediante la firma digitale, il cui certificato è rilasciato da un certificatore accreditato; b) ovvero, quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente; c) ovvero quando l'autore è identificato dal sistema informatico con i diversi strumenti di cui all'articolo 64, comma 2, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente e fermo restando il disposto dell'articolo 64, comma 3.

16 D.L.82/2005 Art. 65 Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica 2. Le istanze e le dichiarazioni inviate secondo le modalità previste dal comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento. 3. Dalla data di cui all'articolo 64, comma 3 (*), non è più consentito l'invio di istanze e dichiarazioni con le modalità di cui al comma 1, lettera c). 4. Il comma 2 dell'articolo 38 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente: «2. Le istanze e le dichiarazioni inviate per via telematica sono valide se effettuate secondo quanto previsto dall'articolo 65 del decreto legislativo 7 marzo 2005, n. 82». (*) max 31/12/2007

17 Aspetti tecnici di base
Agenda Aspetti tecnici di base

18 Principali minacce nello scambio messaggi
CONFIDENZIALITA’ NON RIPUDIO C ? B A B Intercettare un messaggio e leggere il suo contenuto Negare di aver inviato un messaggio INTEGRITA’ AUTENTICAZIONE C C A B A B Modificare il contenuto di un messaggio Inviare un messaggio sotto falso nome Funzionalità base della sicurezza ICT

19 Un po’ di terminologia Plaintext (cleartext) il testo in chiaro
Ciphertext il testo crittografato Crittografare usare una chiave per trasformare un plaintext in ciphertext Decrittare l’operazione inversa Chiave elemento la cui conoscenza è indispensabile per decrittare Crittografia l’arte di tenere segreto un messaggio Crittoanalisi l’arte di rompere un codice crittografico

20 Crittografia simmetrica
Chiave unica Chiave comune a mittente e destinatario Encryption Decryption Es: DES, tripleDES, IDEA, AES …

21 Crittografia asimmetrica
Chiavi generate a coppie: Chiave privata(Kpri)+ chiave pubblica (Kpub) Chiavi con funzionalità reciproca: i dati cifrati con una chiave possono essere decifrati con l’altra Kpri Es: RSA, Diffie-Hellman, ElGamal, Curve Ellittiche …

22 Firma digitale Firma digitale=cifratura asimmetrica dei dati con la chiave privata dell’autore Solitamente non si cifrano direttamente i dati ma un loro riassunto (digest) Fornisce autenticazione e integrità dei dati

23 Firma e verifica Funzioni di hash Dr: Digest calcolato dal ricevente
Df: Digest ricavato da firmatario (mediante decifratura con chiave publ. del firmatario)

24 Funzioni di hash Una funzione di hash H effettua una trasformazione di un messaggio m che riceve in input generando come output un messaggio h=H(m) di lunghezza fissa ridotta rispetto a quella di m Le funzioni di hash utilizzate in crittografia soddisfano le seguenti proprietà: il messaggio m in ingresso può essere di qualsiasi lunghezza il messaggio h in uscita ha sempre lunghezza fissa la computazione h=H(m) è veloce e poco onerosa la trasformazione H(m) è monodirezionale (one-way) la probabilità di collisione della funzione H(m) è quasi nulla

25 Riservatezza con crittografia asimmetrica
Non sono necessari segreti condivisi È possibile generare un messaggio segreto per uno specifico destinatario conoscendone solo la chiave pubblica

26 Scambio chiave simmetrica mediante alg. asimmetrici
La riservatezza senza segreti condivisi viene spesso usata per comunicare la chiave crittografica scelta per un algoritmo simmetrico

27 La Certificazione Digitale 1/4
Come ottengo la chiave pubblica di Bob? Come faccio a sapere che questa chiave pubblica appartiene effettivamente a Bob? Come faccio a sapere se la chiave pubblica di Bob è tuttora valida?

28 La Certificazione Digitale 2/4
Come ottengo la chiave pubblica di Bob? Seriale E’ nel Certificato Digitale X509.V3 (ISO/IEC :2001) D. N. Issuer Chiave pubblica

29 La Certificazione Digitale 3/4
Come faccio a sapere che questa chiave pubblica appartiene effettivamente a Bob? Garantisce il certificatore Bob invia una struttura dati di tipo X.509V3 che viene restituita dal certificatore firmata digitalmente Quest’ultima struttura dati è chiamata certificato digitale Seriale D. N. Issuer Chiave pubblica CA signature

30 La Certificazione Digitale 4/4
Come faccio a sapere se la chiave pubblica di Bob è tuttora valida ? La CA fornisce una lista di revoca (CRL) che può essere consultata per verificare la validità del certificato L’accesso alla CRL è definito nel Certificate Practice Statement (CPS) della CA

31 PKI – Certificato X509 E’una struttura dati per legare in modo sicuro una chiave pubblica ad alcuni attributi Tipicamente lega una chiave ad un’identità… ma sono possibili altri legami (ad es. indirizzo IP) Firmato elettronicamente dall’emettitore: l’AUTORITA’ DI CERTIFICAZIONE Con scadenza temporale Revocabile sia dall’utente sia dall’emettitore Occorre un infrastruttura di certificazione, revoca, distribuzione,… PKI

32 Public Key Infrastructure (PKI)
Una public key infrastructure (PKI) è composta da: tecnologia, politiche, processi e persone utilizzate per gestire (generare, distribuire, archiviare, utilizzare, revocare) chiavi di crittografia e certificati digitali in sistemi di crittografia a chiave pubblica.

33 PKI: il modello di interazione
Web Server Relying party application Certificate Holder Registration Authority Internet 2 CRL e certificati 3 Directory Server 4 RAO Certification Authority 1 5 DB Registrazioni Cittadino/Titolare Relying Parties (Validate signatures & certificate paths)

34 PKI – Autorità di certificazione
Emissione dei certificati Bob Documento d'identità Emissione dei certificati

35 PKI – Esempio Certificato X509 1/2
Issuer Subject DN “InfoCamere” CA Distinguish Name

36 PKI – Esempio Certificato X509 2/2
Key usage Digital Signature (Ca, user) NonRepudiation (user) KeyEncipherment (user) DataEncipherment KeyAgreement (encipherOnly, decipherOnly) KeyCertSign(CA) cRLSign(CA) “InfoCamere” CA

37 Alcune estensioni dei certificati X509 v3 1/2
Key and policy information Key usage Extended key usage in aggiunta o in sostituzione di keyUsage; valori possibili: (id-pkix.3.1) serverAuth [DS, KE, KA] (id-pkix.3.2) clientAuth [DS, KA] (id-pkix.3.3) codeSigning [DS] (id-pkix.3.4) Protection [DS, NR, KE, KA] (id-pkix.3.8) timeStamping [DS, NR] Certificate policies indica le policy sotto le quali il certificato è stato rilasciato e gli scopi per cui può essere utilizzato indicazione tramite OID, URI, messaggio di testo critica o non critica

38 Alcune estensioni dei certificati X509 v3 2/2
Certificate subject and issuer attributes Subject alternative name consente di usare diversi formalismi per identificare il possessore del certificato (es. indirizzo , indirizzo IP, URL): rfc822Name, dNSName, iPAddress, uniformResourceIdentifier,... CRL distribution point identifica il punto di distribuzione della CRL da utilizzare nel processo di verifica della validità di un certificato che può essere: directory entry o URL Estensione private PKIX Subject information access Authority information access  OCSP

39 PKI – Revoca dei certificati: CRL
Elenco dei certificati revocati Le CRL sono emesse periodicamente e mantenute dagli enti emettitori Le CRL sono,usualmente, firmate dalla CA che ha emesso i certificati “InfoCamere” CA

40 Certification Authority
OCSP RFC-2560: On-line Certificate Status Protocol standard IETF-PKIX per verificare in linea se un certificato è valido: Good Revoked revocationTime revocationReason Unknown risposte firmate dal server (non dalla CA!) ocsp responder relying party CRL Certification Authority ocsp req ocsp resp. Client ocsp

41 PKI - Verifica di una firma 1/2
Busta crittografica Verifica di integrità

42 PKI - Verifica di una firma 2/2
Certificato “Self signed” Verifica del certificato 1 2 ds=digital signature Subject 1 Subject 2 Certificati utente

43 PKI – Il riconoscimento tra CA 1/2
La PKI è intrinsecamente gerarchica; Ci possono essere più subCA, per motivi di performance o per utilizzare policy differenti; Una Certification Authority (top level) svolge il ruolo di “trust anchor” Ogni PKI è un’isola Emissione dei certificati

44 PKI – Il riconoscimento tra CA 2/2
Interazione tra utenti di PKI diverse: Cross-certificazione Bridge CA Trust list Emissione dei certificati

45 PKI – La cross-certification
Due CA firmano vicendevolmente i loro certificati “top level” l’utente, sulla base della fiducia che ripone nel proprio certificatore, per transitività arriva a fidarsi anche della CA della controparte Non è scalabile Cresce come N*(N-1) Emissione dei certificati

46 E’ il modello usato dal governo federale USA
PKI – La Bridge CA E’ il modello usato dal governo federale USA Una CA fa da snodo centrale (“Hub”) Tutte si cross-certificano con l’Hub L’utente, “trusta” la sua CA, quindi l’Hub e quindi la CA dell’interlocutore L’Hub fa da ponte tra le varie PKI-isole Emissione dei certificati

47 PKI – La Trusted list E’ il modello CNIPA
Una lista “affidabile” di CA, che le applicazioni di verifica consultano al momento della verifica di una firma; Nella forma attuale richiede un processo di aggiornamento dell’applicazione Emissione dei certificati

48 Si scontra con la normativa sulla privacy
PKI – Il Directory Nel modello PKI originario è il deposito di tutte le informazioni dei titolari Nella pratica si rivela meno utile, in particolare perché gli standard di firma prevedono che il certificato del firmatario sia allegato Si scontra con la normativa sulla privacy Emissione dei certificati

49 Time stamping Prova della creazione dei dati prima di un certo istante di tempo TSA (Time-Stamping Authority) RFC-3161: protocollo di richiesta (TSP, Time-Stamp Protocol) formato della prova (TST, Time-Stamp Token)

50 Ruolo, permessi, autorizzazioni…
Dove metto le informazioni aggiuntive di un certificato? Dentro al certificato stesso Così abbiamo tutti i dati (es. identità e ruolo) insieme Ciclo di vita di un “ruolo” può vincolare fortemente il tempo di validità di un certificato ALTERNATIVAMENTE In un directory oppure in un certificato di attributo (X509 v4)

51 Limiti d’uso e di valore
Possono essere inseriti a discrezione del Titolare I limiti d’uso sono rappresentati da max 200 caratteri a testo libero Ci sono forti dubbi sul valore giuridico

52 Formati di firma: PKCS#7
Cryptographic Message Syntax PKCS-7 è lo standard RSA per la busta sicura (v1.5 è anche RFC-2315) permette firma e/o cifratura dei dati, con algoritmi simmetrici o asimmetrici permette di apporre più firme su uno stesso oggetto (gerarchiche o parallele) può includere i certificati usati per la firma è un formato recursivo

53 PKCS#7 Firma unica Firma congiunta Firma innestata 1 1 2 2 Firma 1

54 Formati di firma: Xml signature
Frutto del lavoro congiunto di World Wide Web Consortium (W3C) e Internet Engineering Task Force (IETF) Raccomandazione ufficiale W3C dal Febbraio 2002 Requisiti funzionali Utilizzabile in generale per qualsiasi formato di documento Specificamente per documenti XML: firma del documento e/o di tag selezionati nel tracciato XML Possibilità di allegare la firma al documento o di firmare un documento riferito via hyperlink Supporto per firma contemporanea di più documenti/tag Flessibilità di apposizione di firme multiple e/o congiunte Supporto a varietà di algoritmi

55 Tag di xml signature

56 PDF digital signature solution
Sin dal 1999 il formato pdf (v1.3) ha introdotto un supporto documentato e standard alle funzioni di firma digitale Formato firma: PKCS#7 v1.5 detached (RFC2315) DER encoded Digest: SHA-1 Certificati: X509 v3 Gestione completa della catena dei certificati Gestione delle liste di revoca mediante CRL Alcuni vantaggi… Disponibilità di un verificatore gratuito Accesso immediato al documento firmato Gestione firma multiple Gestione dell’aspetto visivo delle firme

57 PSE (Personal Security Environment)
Ogni utente dovrebbe proteggere: la propria chiave privata (segreta!) i certificati delle root CA fidate (autentiche!) Software PSE: file (cifrato) della chiave privata Hardware PSE: passivo = chiavi protette attivo = chiavi protette + operazioni crittografiche mobilità possibile (ma con problemi) in entrambi casi Smartcard

58 Smart card – architettura
ROM: Read Only Memory • Contiene il sistema operativo della smart card e programmi “fissi”. • Dimensione variabile tra 2k e 64k. • Dopo la scrittura non è modificabile. RAM: Random Access Memory • Utilizzata per memorizzazioni temporanee. • Si cancella quando si sfila la smart card (power off). • Varia in genere tra i 128 byte e i 1024 byte. EEPROM: Electrically Erasable Read Only Memory • Memorizza informazioni variabili (tipo hard disk); capacità verso i 128k. • Contiene le applicazioni e i dati.

59 Smart card – caratteristiche
Token USB CoProcessore crittografico DES – 3DES RSA almeno 1024bit

60 Hardware Cryptographic device: caratteristiche
Hardware Security Module Dispositivi interni Dispositivi di rete CoProcessore crittografico DES – 3DES RSA almeno 4096 bit

61 Livelli architetturali
Livelli architetturali software su PC Nativo ISO ,2,…9 File system – formato dati PC/SC PKCS#11 Applicazioni Dati Applicazione A Dati Applicazione B Set di comandi e File System Sistema Operativo CPU

62 Gli Enti di standardizzazione 1/2
ISO – International Standard Organization Fondata nel 1946, l’ISO è un’organizzazione internazionale costituita da organismi nazionali per la standardizzazione ITU – International Telecommunication Union Organismo intergovernativo mediante il quale le organizzazioni pubbliche e private sviluppano le telecomunicazioni. L’ITU fu fondato nel 1865 e diventò l’ente regolatore per gli standard nelle telecomunicazioni. IETF – Internet Engineering Task Force IETF è una comunità aperta ed internazionale di progettisti di rete, operatori, venditori e ricercatori coinvolti nell’evoluzione dell’architettura Internet e delle normali operazioni su Internet.

63 Gli Enti di standardizzazione 2/2
ETSI - European Telecommunications Standards Institute Organismo privato no-profit, la cui missione è produrre standards per telecomunicazioni CEN - Comité Européen de Normalisation Fondato nel 1961 dagli organi nazionali di standardizzazione della CEE e di EFTA W3C – World Wide Web Consortium Il World Wide Web Consortium (W3C) sviluppa tecnologie interoperabili (specifiche, linee guida, software, ecc.) per condurre il Web al suo pieno potenziale NIST – National Institute of Standard and Technology Organo Federale USA per la standardizzazione CEN, the European Committee for Standardization, was founded in 1961 by the national standards bodies in the European Economic Community and EFTA countries. Now CEN is contributing to the objectives of the European Union and European Economic Area with voluntary technical standards which promote free trade, the safety of workers and consumers, interoperability of networks, environmental protection, exploitation of research and development programmes, and public procurement.

64 Certificazione di sicurezza
FIPS Standard USA (NIST) per la crittografia e per i dispositivi crittografici (e per molto altro) ITSEC I criteri ITSEC (Information Technology Evaluation Criteria) rispondono all'esigenza di creare uno standard di valutazione efficace e internazionalmente accettato della sicurezza dei sistemi informatici. Lo standard ITSEC è stato emesso dalla Commissione Europea, nella sua versione 1.2, nel giugno del 1991. Common Criteria I Common Criteria (abbreviazione per Common Criteria for Information Technology Security Evaluation, nel seguito CC) rappresentano l’armonizzazione di differenti standard di sicurezza, nazionali ed internazionali (CTCPEC, FC, ITSEC) dei sistemi informatici, e forniscono una base per il mutuo riconoscimento dei risultati della valutazione a livello internazionale.

65 Certificazione di sicurezza per le Smart Card
Le vecchie regole tecniche fissavano il livello di certificazione minimo: ITSEC E3High Le nuove regole tecniche si rifanno alle decisioni della Comunità Europea: DECISIONE DELLA COMMISSIONE del 14 Luglio 2003: SSCD Common Criteria EAL4+ secondo il protection profile CWA14169 SSCD: Secure Signature Creation Device

66 Certificazione di sicurezza per gli HCD
Le vecchie regole tecniche fissavano il livello di certificazione minimo: ITSEC E3High Le nuove regole tecniche si rifanno alle decisioni della Comunità Europea: DECISIONE DELLA COMMISSIONE del 14 Luglio 2003: SSCD Common Criteria EAL4+ secondo il protection profile CWA14167-x SSCD: Secure Signature Creation Device

67 Firma digitale in pratica
Agenda Firma digitale in pratica

68 Firma digitale: lo stato dell'arte
17 Certificatori accreditati L’elenco pubblico dei certificatori è disponibile via Internet (sito CNIPA) per la consultazione dove sono anche disponibili i link ai siti web degli stessi sui quali sono indicate le modalità operative da seguire. Alcuni soggetti che espletano questa attività esclusivamente per gruppi chiusi di utenti. Nel primo trimestre 2005 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato unità. L’Italia, in Europa, è ampiamente al primo posto nella diffusione. Infocamere ha emesso, ad oggi, più di certificati di cui di sottoscrizione

69 Firma elettronica in pratica
Per utilizzare nella pratica la FE abbiamo visto che è necessario risolvere alcuni problemi : la certificazione delle chiavi pubbliche. la gestione delle chiavi private compromesse. La soluzione di tali problemi implica necessariamente l’istituzione di Terze Parti Fidate, entità neutrali ed affidabili riconosciute dalle parti in gioco.

70 Requisiti per i Certificatori
Se soggetti pubblici possono rilasciare cert. Qualificati utili solo nei rapporti con l’amministrazione stessa Se soggetti privati devono rispettare determinati requisiti societari Capitale sociale >= capitale per attività bancaria Avere natura di società di capitali Garantire possesso dei requisiti di onorabilità degli amministratori Essere finanziariamente solida Tutti devono rispettare determinati requisiti tecnici, organizzativi, di sicurezza

71 Sistema di trust in Italia 1/2
...ricordiamo Self signed 1 Verifica del certificato 2 Subject 1 Subject 2 User certificates

72 Sistema di trust in Italia 2/2
Il sistema è basato su una Trust List secondo un modello paritetico Trust list CA1 CA2 ... CAn User1 User User1 User1 User User User User User Il processo di verifica deve conoscere i certificati di certificazione di tutti i soggetti autorizzati L’elenco pubblico dei certificatori è firmato dal Presidente del CNIPA I codici identificativi della chiave pubblica del Presidente del CNIPA sono stati pubblicati su GU mediante la CNIPA/CR/42

73 Firma digitale: la necessità dell'interoperabilità
Cosa serve per apporre una firma digitale? un PC o un server una smart card che contiene la chiave privata del titolare (e il certificato) un lettore/scrittore di smart card un certificato un documento informatico una applicazione di posta elettronica una applicazione di firma: una libreria software per i meccanismi di crittografia una libreria sw per i driver del lettore/scrittore smart card una libreria sw per l'applicazione di posta.

74 Interoperabilità Non si ha interoperabilità dei dispositivi di firma
Con la Circolare AIPA/CR/24 si è ottenuta l’interoperabiltà a livello di verifica Certificato (Certificazione,marcatura temp., sottoscrizione): X509v3 profilo RFC3280; Contenuto del certificato e loro rappresentazione Estensioni del certificato e loro rappresentazione CRL Formato di firma: PKCS#7: Rappresentazione dei dati esterni ed interni alla busta Non si ha interoperabilità dei dispositivi di firma CNIPA ha emanato nuove regole tecniche di interoperabilità (deliberazione n.4/2005)

75 Firma Digitale Carta Servizi Camerali Nazionale Servizi Processo
Alcuni utilizzi delle firme elettroniche nella PA e nelle attività d’impresa (1/2) Carta Nazionale Servizi Servizi Camerali Processo Telematico Conservazione ottica sostitutiva Firma Digitale Notifiche al Garante della Privacy Carta d'Identità Elettronica Protocollo Informatico

76 Alcuni utilizzi delle firme elettroniche nella PA e nelle attività d’impresa (2/2)
Emissione e conservazione delle fatture in formato elettronico Tenuta libri paga e matricola Posta elettronica certificata Stipula di contratti, offerte ed altri atti Firma Digitale Sistemi di workflow e Gestione documentale Invio di istanze alla PA

77 Carta d’Identità Elettronica
E’ una smart card con caratteristiche aggiuntive anticontraffazione È uno strumento per l’identificazione fisica e per l’autenticazione ai servizi informatici Riporta la foto e i dati biometrici del titolare È rilasciata dagli Uffici Anagrafici Il certificatore è il Ministero dell’Interno E’ abilitata alla firma digitale E’ abilitata all’utilizzo dello standard Netlink per i servizi sanitari

78 Carta Nazionale dei Servizi
E’ una smart card standard il cui chip è conforma alle stesse specificazioni della CIE È uno strumento per l’autenticazione ai servizi informatici NON riporta la foto e i dati biometrici del titolare È rilasciata da qualsiasi Pubblica Amministrazione Il certificatore può essere uno dei certificatori accreditati per la firma digitale E’ abilitata alla firma digitale E’ abilitata all’utilizzo dello standard Netlink per i servizi sanitari

79 Servizi di certificazione: altre opportunità
sicuro Accessi remoti sicuri Web sicuro Certificati X509 VPN sicure Sicurezza di Windows LAN/WLAN sicure No virus e cavalli di troia pagamenti sicuri

80 Attività nell’ambito del contratto RTRT 1/3
la fornitura di dispositivi sicuri (smart card e token USB) per la firma digitale qualificata e per l’autenticazione; la fornitura di certificati personali di firma digitale qualificata e autenticazione; la fornitura di lettori di smart card con interfacce seriali, USB e PCMCIA; la fornitura di certificati per Web Server, per la firma del software, per il colloquio tra applicazioni e per l’instaurazione di Virtual Private Network; la stesura delle policy per tutte le tipologie di certificati; l’emissione di Carte Nazionali dei Servizi; la stesura di tutta la documentazione tecnica e amministrativa prevista dalle Regole Tecniche vigenti per l’emissione della Carta Nazionale dei Servizi;

81 Attività nell’ambito del contratto RTRT 2/3
la fornitura di un servizio di Posta Elettronica Certificata e di Posta Elettronica Sicura; la connessione telematica ad alta velocità ed affidabilità alla rete InfoCamere; la migrazione dei certificati e delle caselle di posta del precedente fornitore; la fornitura di librerie crittografiche e API per l’interfacciamento dei servizi di PKI e di Posta da parte delle applicazioni sviluppate autonomamente dalla Regione; il servizio di Marcatura temporale; realizzazione di un portale dei servizi PKI regionale;

82 Attività nell’ambito del contratto RTRT 3/3
servizio di Registration Authority distribuito su tutto il territorio regionale; servizio di help desk per prenotazioni e assistenza tecnica; assistenza tecnica e sistemistica presso gli Enti; Formazione del personale della Regione e degli Enti sull’utilizzo e sulla gestione dei componenti della fornitura e sugli aspetti normativi legati alla firma digitale.

83 Grazie per la cortese attenzione