LA FIRMA DIGITALE E LE CARTE MULTISERVIZI DELLA PA Giovanni Manca Responsabile Ufficio Standard, architetture e metodologie CENTRO NAZIONALE PER L’INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

Agenda Il quadro normativo di riferimento della firma digitale in Italia Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Italia: quadro normativo (1) art. 15, comma 2 della L.59/97 Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici. D.P.R. 513 D.P.C.M. 8/2/99 Circolare AIPA n22, 22/07/1999 Circolare AIPA n24, 19/06/2000 Regole tecniche sulla materia. Modalità di iscrizione all'albo dei Certificatori Linee guida sull'interoperabilità dei Certificatori Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Italia: quadro normativo (2) Delib.ne AIPA n51, 23/11/2000 T.U. 28/12/ 2000, n.445 Circ.re AIPA n. 27 del 16/02/2001 D. Leg.vo 23/01/2002, n.10 e DPR 137 7/04/2003 Conservazione dei documenti informatici Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Modalità di iscrizione all'Albo CA della P.A. Recepimento della direttiva 1999/93/CE Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Italia: quadro normativo (3) DPCM 13/01/2004 Del.ne AIPA n.11/2004 Decreto ??? Nuove regole tecniche in fase di pubblicazione in GURI Conservazione dei documenti informatici anche su supporto ottico. Nuove modalità di accreditamento dei certificatori che emettono certificati qualificati Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Firma digitale: lo stato dell'arte 14 Certificatori accreditati e 4 in fase di accreditamento. SIA, SSB, Seceti, BNL Multiservizi hanno cessato la loro attività per fusione in ACTALIS. Cedacri Nord, Saritel hanno cambiato nome. Finital ha cessato definitivamente l’attività. Sono state rilasciate circa 1.250.000 smart card. In Europa siamo ampiamente al primo posto nella diffusione. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La Direttiva Europea sulla firma elettronica (1) Il 19 gennaio 2000: pubblicazione della direttiva europea nella GUCE. L'obiettivo principale: definire un quadro comunitario unitario per le firme elettroniche improntato sulla libera circolazione dei servizi di certificazione e sulla validità giuridica dei documenti firmati. Il testo è composto da 15 articoli e 4 allegati relativi a: I - requisiti dei certificati qualificati, II - requisiti delle CA che rilasciano certificati qualificati, III - requisiti dei dispositivi di firma sicura, IV - raccomandazioni per la firma della firma sicura. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La direttiva europea sulla firma elettronica (2) Prevede la costituzione di un comitato (art.9) per la verifica dei requisiti di sicurezza dei dispositivi e del sw di firma. Recepimento della direttiva europea con il decreto legislativo 10/2002. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La direttiva europea e la legge italiana (1) Partendo da un contesto di commercio elettronico si introduce la Firma elettronica Partendo da un contesto di documento informatico si introduce la Firma digitale quella avanzata prodotta con dispositivo di firma sicuro e rilasciata da un certificatore accreditato (art.10 DPR 513). Le altre forme di firma possono anche essere usate, ma hanno una valenza interna all'organizzazione e non forniscono alcuna garanzia di validità giuridica. firma elettronica (art. 2 def. 1) che garantisce l'autenticità, firma elettronica avanzata (art.2 def.2) l'autenticità e l'integrità, firma elettronica avanzata prodotta con dispositivo di firma sicuro che conferisce al documento la stessa valenza giuridica di quello autografo (art. 3, c.4 e art. 5). Le firme di cui sopra possono essere rilasciato da un certificatore accreditato o non accreditato Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La direttiva europea e la legge italiana (2) I servizi di certificazione non sono subordinati ad autorizzazione (art.3, c.1). Per la P.A. è consentito ai singoli governi imporre requisiti ulteriori. E' prevista comunque la procedura di accreditamento (art.3, c.2) Il Certificatore che ottiene il bollino blu in un Paese è automaticamente certificato in tutti gli altri paesi della UE (art.3, c.4) E' istituito un apposito comitato per la specificazione dei requisiti di tutto ciò che afferisce alla firma elettronica (artt. 9 e 10) I servizi di certificazione sono subordinati ad autorizzazione (art.8 DPR 513) in termini di verifica della rispondenza di adeguati requisiti societari, tecnici ed organizzativi. L'Italia non possiede una normativa sugli organismi nazionali di certificazione della sicurezza informatica. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La direttiva europea e la legge italiana (3) Validità dei certificati qualificati emessi da un paese terzo se aderenti ai requisiti della direttiva e se esistono accordi con la UE (art. 7) Validità dei certificati qualificati emessi da un paese terzo se operanti su licenza o autorizzazione di uno stato UE (art.8 c.4 DPR 513) Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La legge italiana: regole per la P.A. Validità inter-amministrazione di tutte le firme certificate e rispondenti ai requisiti di interoperabilità tra le CA (che sono obbligatori). Tutte le procedure interne all'amministrazione possono essere firmate in maniera non avanzata, in quanto decisione interna all'organizzazione. Il CNIPA ex CTRUPA è ancora fornitore dell'infrastruttura PKI e dei supporti di firma per le P.A. che utilizzano la RUPA . Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia Definizione La crittografia simmetrica La crittografia asimmetrica Pro e contro della crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso

Le principali minacce nello scambio messaggi ? B A B Intercettare un messaggio e leggere il suo contenuto Negare di aver inviato un messaggio C A B C A B Modificare il contenuto di un messaggio Inviare un messaggio sotto falso nome Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Funzioni base della sicurezza ICT Una lettera da A A B A Confidenzialità evidence that the contents of the message have not been disclosed to third parties Integrità proof that the message contents have not been altered,deliberately or accidentally, during transmission Non ripudio the certainty of knowing that the sender of the message cannot later deny having sent it. Autenticazione a guarantee that a message really has come from the person who claims to have sent it Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia E’ lo strumento fondamentale per la realizzazione dei meccanismi di sicurezza La crittografia è la scienza che studia gli algoritmi matematici idonei a trasformare reversibilmente, in funzione di una variabile crittografica detta chiave, il contenuto informativo di un documento o di un messaggio, in modo da nasconderne il significato. La trasformazione diretta è usualmente indicata come operazione di cifratura ( o codifica), quella inversa come operazione di decifratura ( o decodifica). Effettuare le due operazioni, senza conoscere l’opportuna chiave crittografica, deve risultare estremamente laborioso, tanto da essere praticamente impossibile. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia simmetrica (1) Gli algoritmi di crittografia simmetrici ( o a chiave segreta) sono quelli di tipo convenzionale in cui le operazioni di cifratura e di decifratura richiedono la conoscenza di una unica chiave (o di chiavi diverse ma facilmente derivabili l’una dall’altra). Tale chiave, detta in genere chiave segreta , deve essere nota esclusivamente al mittente ed al legittimo destinatario dei messaggi. Mittente e destinatario devono essere in grado di mantenere rigorosamente segreta la loro chiave e devono disporre di un canale sicuro mediante il quale scambiare la chiave stessa. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia simmetrica (2) B M k AB (M) M mittente destinatario Testo Testo Testo CIFRATURA DECIFRATURA in chiaro cifrato in chiaro k AB k AB k AB Chiave segreta di cifratura/decifratura nota solo al mittente ed al destinatario Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia simmetrica - Caratteristiche Richiede una fase iniziale in cui ciascuna coppia di interlocutori si scambia la chiave segreta in maniera sicura Il numero delle chiavi per realizzare una comunicazione reciproca tra N utenti (dispositivi) è pari a Nx(n-1)/2 (se le chiavi rimangono sempre le stesse) Viene generalmente utilizzato per proteggere, mediante codifica, informazioni (file) in un repository locale Algoritmi più diffusi: DES, 3DES, RC2, RC4, IDEA, Rijndael (AES) La robustezza dell’algoritmo è misurata dalla lunghezza delle chiavi: 40 bit (debole), 128 bit (forte) Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia asimmetrica Gli algoritmi asimmetrici, di concezione recente (1976), utilizzano per le operazioni di cifratura e di decifratura due chiavi distinte che, in pratica, non possono essere ricavate l’una dall’altra (senza disporre di informazioni segrete). La chiave di decifratura (o chiave privata) deve essere mantenuta rigorosamente riservata dal suo proprietario mentre la corrispondente chiave di cifratura (o chiave pubblica) puo’ essere resa pubblica. La proprietà fondamentale degli algoritmi asimmetrici è che le due chiavi possono scambiarsi di ruolo : l’una consente l’inversione della trasformazione ottenuta usando l’altra e viceversa. Gli algoritmi asimmetrici vengono generalmente usati per il calcolo di firme elettroniche. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia asimmetrica – modalità di cifratura B B B M (M) E B CIFRATURA DECIFRATURA E B D B E X chiave pubblica di X M testo in chiaro D X chiave privata di X Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La crittografia asimmetrica - modalità autenticazione B E A (D D A (M) A M CIFRATURA DECIFRATURA D A E A E X chiave pubblica di X M testo in chiaro D X chiave privata di X Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Pro e contro della crittografia Scambio sicuro chiave segreta Difficile gestire molti utenti Simmetrica Rapida Chiave Pubblica Crittografia molto sicura Lenta Asimmetrica Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia La sottoscrizione digitale definizione il processo di firma funzioni di hash la verifica di firma Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Definizioni - la firma elettronica NON E’ la rappresentazione elettronica, comunque ottenuta, della firma manuale E’ una sequenza di numeri ricavata elaborando crittograficamente il documento od una sua versione compressa E’ una particolare forma di autenticazione che consente di stabilire l’origine di un messaggio o di un documento elettronico e di appianare potenziali dispute relative al suo contenuto Lo schema di firma elettronica si basa su un processo di firma vera e propria (usando la chiave privata) ed un processo di verifica (usando la chiave pubblica) Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Il Processo di Firma 1010100011111 1010100011111 Signed document Hash Il Processo di Firma Plain-text Document Sign Sender’s private key 1010100011111 Encrypted Hash Signed document Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Funzioni di hash Una funzione di hash H effettua una trasformazione di un messaggio m che riceve in input generando come output un messaggio h=H(m) di lunghezza fissa e ridotta rispetto a quella di m Le funzioni di hash utilizzate in crittografia soddisfano le seguenti proprietà: il messaggio m in ingresso può essere di qualsiasi lunghezza il messaggio h in uscita ha sempre lunghezza fissa la computazione h=H(m) è veloce e poco onerosa la trasformazione H(m) è monodirezionale (one-way) la probabilità di collisione della funzione H(m) è quasi nulla Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La verifica della firma Sender’s public key 1010100011111 Encrypted Hash Signed document 1010100011111 Hash 1010100011111 Hash Identico Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori la certificazione digitale le liste di revoca Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La certificazione digitale Come ottengo la chiave pubblica di Bruno? Come faccio a sapere che questa chiave pubblica appartiene effettivamente a Bruno? Come faccio a sapere se la chiave pubblica di Bruno è tuttora valida? Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La certificazione digitale - X.509 V3 data structure Come ottengo la chiave pubblica di Bruno? Seriale D. N. E’ nel Certificato Digitale X509.V3 standard de facto Issuer Chiave pubblica Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Certificato digitale (1) Come faccio a sapere che questa chiave pubblica appartiene effettivamente a Bruno ? Seriale D. N. Issuer Chiave pubblica Garantisce il certificatore Bob invia una struttura dati di tipo X.509V3 che viene restituita dal certificatore firmata digitalmente Quest’ultima struttura dati è chiamata certificato digitale CA Signature Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Certificato digitale (2) Contiene essenzialmente: una chiave pubblica il riferimento (Distinguished Name) ad informazioni che associano la chiave pubblica ad il suo proprietario (nome, e-mail, il nome della Società, telefono) od al dispositivo (Security gateway) che ne fa uso (Indirizzo IP, …) il riferimento (Distinguished Name) ad informazioni circa l’organo che ha emesso il certificato (nome, e-mail, telefono) un serial number che identifica univocamente il certificato la data di emissione del certificato la data di scadenza del certificato la firma digitale dell’organo che ha emesso il certificato Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Le liste di revoca : Certificate Revocation Lists (CRL) Come faccio a sapere se la chiave pubblica di Bruno è tuttora valida ? La CA fornisce una CRL che può essere consultata per verificare la validità del certificato L’accesso alla CRL è definito nel Certificate Practice Statement (CPS) della CA Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La firma elettronica nella pratica Per utilizzare nella pratica la FE abbiamo visto che è necessario risolvere alcuni problemi : la certificazione delle chiavi pubbliche. la gestione delle chiavi private compromesse. La soluzione di tali problemi implica necessariamente l’istituzione di Terze Parti Fidate, entità neutrali ed affidabili riconosciute dalle parti in gioco. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Definizione di Public Key Infrastructure (PKI) Una public key infrastructure (PKI) è composta da tecnologia, politiche, processi e persone utilizzate per gestire (generare, distribuire, archiviare, utilizzare,revocare) chiavi di crittografia e certificati digitali in sistemi di crittografia a chiave pubblica. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Il ciclo di vita delle chiavi (e dei certificati) Generazione delle chiavi ed eventuale registrazione Distribuzione delle chiavi Attivazione /Disattivazione delle chiavi Terminazione delle chiavi (distruzione od eventuale archivio) Rimpiazzamento/ Aggiornamento delle chiavi Revoca delle chiavi Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Le componenti di una PKI Autorità di certificazione (CA): sono responsabili della emissione e della revoca dei certificati Autorità di registrazione (RA): sono responsabili della verifica delle informazioni che associano una chiave pubblica all’entità che ne farà utilizzo (che può essere distinta da quella che richiede il certificato) Possessore del certificato: può essere una persona, un dispositivo hardware, un agent software che rappresenta l’entità che farà utilizzo della chiave pubblica (ovvero del certificato) per attestare, mediante firma digitale, la propria identità Utilizzatore del certificato: può essere una persona, un dispositivo hardware, un agent software che valida una firma digitale a partire da una chiave pubblica (certificato) di una CA ritenuta fidata Repository dei certificati: memorizzano e pubblicano i certificati e le liste di quelli revocati (CRL) Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

RFC 3280 : PKI Entities Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

PKI : il modello di interazione Certification Authorities (CAs) (Issuers) Registration Authorities (RAs) Certificate Holders (Subjects) Relying Parties (Validate signatures & certificate paths) Directory Server (Repository) Store & distribute certificates CRL Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

PKI: il modello di interazione Relying Party Application Registration Authority Web Server Internet Directory Server Certification Authority Certificate Holder Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea la crittografia la sottoscrizione digitale il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale considerazioni generali sulle infrastrutture approfondimento sulle nuove regole della firma digitale la firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Firma digitale: la necessità dell'interoperabilità un PC o un server, una smart card che contiene la chiave privata del titolare (e il certificato), un lettore/scrittore di smart card un certificato, un documento informatico, una applicazione di posta elettronica, una applicazione di firma: una libreria software per i meccanismi di crittografia, una libreria sw per i driver del lettore/scrittore smart card. una libreria sw per l'applicazione di posta. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Firma digitale: la necessità dell'interoperabilità Busta PKCS#7 (doc + firma + cert.) Le probabilità di successo ai fini della mutua comprensione Caso 1): Caso 2): Nessuna Solo se il fornitore dell'applicazione di firma è lo stesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

L'interoperabilità: i problemi affrontati Condizione necessaria per la diffusione della firma digitale, e per l'utilizzo friendly da parte dell'utente (librerie sw diverse, dispositivi diversi, …). In attesa di standard a livello europeo/internazionale, sono state sviluppate soluzioni concrete, semplici e e immediate sul tema dell'interoperabilità relativamente a: la struttura dei certificati e la loro estensione, la rappresentazione dei dati dei certificati, la struttura ed il formato delle CRL ovvero CSL, la struttura e la rappresentazione dei documenti firmati, la marcatura temporale. Si è quindi passati da una fase iniziale che vedeva una CA compatibile soltanto con se stessa, ad una situazione in cui ogni CA inscritta all'elenco pubblico CNIPA è in grado di leggere e gestire certificati emessi da altre CA. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

PKCS: Public Key Cryptography Standards PKCS#1 : RSA Cryptography PKCS#3 : Diffie-Hellman Key Agreement PKCS#5 : Password Based Cryptography PKCS#7 : Digital Envelope PKCS#8 : Private Key Information Syntax PKCS#9 : Selected Attribute Type PKCS#10 : Certificate Request PKCS#11 : Cryptographic Token Interface PKCS#12 : Personal Information Exchange Syntax PKCS#15 : Cryptographic Token Information Format #2,#4,#6 obsoleti, #13 e #14 in sviluppo Ulteriori informazioni : http//www.rsasecurity.com/rsalabs/PKCS Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La fiducia che possiamo riporre nel certificato dipende da molti fattori Come la CA autentica il soggetto Politiche operative, procedure e controlli di sicurezza adottati dalla CA Obblighi del Titolare della chiave (e del certificato) Responsabilità ed obblighi legali della CA Certificate Policies e Certification Practice Statement Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

RFC 2527 : CP e CPS CP: “a named set of rules that indicates the applicability of a certificate to a particular community and/or class of application with common security requirements” CPS : “A statement of the practises wich a Certification Authority employes in issuing certificates” Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Benefici della PKI E’ il fattore abilitante per la realizzazione di una infrastruttura di sicurezza uniforme ed integrata: infrastruttura uniforme per multiapplicazione abilita nuove applicazioni ed il commercio elettronico efficienza per l’amministrazione della sicurezza migliori servizi ai clienti promuove efficienza dei processi riduce la dipendenza dalle reti dedicate: si puo’ usare Internet Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

PKI è al centro della E-security SET SSL S/MIME IPSec Protocols Databases Directories Hardware Crypto Smart Cards Technologies PKI Payments Mail Web VPNs Communications EDI ERP Banking e-Commerce Digital Signing Applications Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

+ + + + Certificate Authority Directory PKI-enabled Security Una PKI si compone di . . Certificate Authority + Directory + + PKI-enabled Applications Security Policy + Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Applicazione delle PKI Abilitare le applicazioni ad utilizzare crittografia, certificati digitali, directories, firma digitale, canali di comunicazione, Terza Parte Fidata,… Fornire interfacce applicative verso la PKI in modo da realizzare uno o più dei requisiti di sicurezza: Confidenzialità Autenticità Integrità Non-ripudio Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Alcuni siti di riferimento www.rsasecurity.com/rsalabs/PKCS www.pkiforum.org www.rfc-editor.org/rfc.html www.ietf.org Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda Il quadro normativo di riferimento della firma digitale in Italia Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale l’evoluzione normativa la certificazione le firme elettroniche e le nuove norme utilizzo della firma digitale nella PA l’integrazione degli strumenti CIE, CNS e firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

L’evoluzione normativa - le norme pre-direttiva Unica Tipologia di Certificato Unica tipologia di Certificatore Unica Tipologia di Firma Digitale Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

L’evoluzione normativa - le nuove norme Dlgs 23/01/2002, n.10 DPCM 8/02/1999 13/01/2004 RECEPIMENTO DIRETTIVA 445/2000 Direttiva 1999/93/CE 13.12.1999 Rettifica (Gazzetta ufficiale delle Comunità europee 7.5.2002) Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

L’evoluzione normativa - le Innovazioni Due tipologie di Certificati Tre tipologie di Certificatore Due tipologie di Firme elettroniche Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La certificazione – tipologie di certificati Certificato Qualificato Certificato non Qualificato Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La certificazione - i certificatori Certificatore che rilascia Certificati Qualificati: Accreditato Notificato Certificatore che rilascia Certificati non Qualificati Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Le Firme Elettroniche Firma elettronica insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica. Firma elettronica avanzata firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Le nuove norme Le istanze e le dichiarazioni inviate per via telematica da e verso le PA sono valide: SE sottoscritte mediante firma digitale basata su un certificato qualificato rilasciato da un certificatore accreditato e generata mediante un dispositivo sicuro per la creazione di firme elettroniche Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La Firma Digitale nella Direttiva La Firma Digitale pre-recepimento Art. 5.1 della Direttiva europea Sul piano probatorio il documento stesso fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La Firma Digitale nella Direttiva Altre firme elettroniche Art. 5.2 della Direttiva europea Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Altre innovazioni introdotte dalla direttiva Firme "deboli" Oggetto di Norme Accreditamento e Vigilanza Schema di Accreditamento e Vigilanza Schema nazionale sicurezza per usi commerciali Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Gli effetti sul pregresso I soggetti iscritti nell'elenco pubblico dei certificatori saranno considerati per legge certificatori accreditati. I certificati emessi dai certificatori iscritti nell'elenco pubblico avranno la medesima efficacia dei certificati qualificati. I titolari di certificati potranno quindi continuare ad utilizzare le chiavi private già certificate per sottoscrivere evidenze informatiche. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Conservazione del documento elettronico Deliberazione 11/2004 (su www.cnipa.gov.it). Norme fiscali regolate dall’art. 10, comma 6 del DPR 28/12/2000 n. 445. (D.M. 23 gennaio 2004 del MEF) Necessità di armonizzazione delle norme in materia. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Utilizzo della firma digitale nella PA (1) Servizi Camerali Mandato Informatico Processo Telematico Conservazione ottica Firma Digitale Procedute Telematiche di Acquisto DPR 4 aprile 2002 Libro Matricola AA.CC. Protocollo Informatico Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Utilizzo della firma digitale nella PA (2) Carta d'Identità Elettronica Gestione delle richieste di Pareri in AIPA Carta Nazionale Servizi Sistemi di workflow Firma Digitale Gestione Documentale Avvisi di e-Government Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

L’integrazione della CIE/CNS con la Firma Digitale Carta Identità Elettronica e Carta Nazionale Servizi Strumenti di identificazione e di autenticazione in rete Firma Digitale Consente di sottoscrivere una dichiarazione, atto, istanza, o qualunque atto o fatto rappresentato in una evidenza informatica Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

CIE, CNS, Firma Digitale ed il portale governativo CIE/CNS + Firma digitale consentiranno quindi l’autenticazione e l’interazione con i servizi in rete delle Pubbliche Amministrazioni Servizi in rete che saranno accessibili anche attraverso il dominio gov.it Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Agenda La firma digitale nelle carte di accesso Il quadro normativo di riferimento della firma digitale in Italia, Il recepimento della direttiva europea La crittografia La sottoscrizione digitale Il ruolo dei certificatori Utilizzo pratico della firma digitale Interoperabilità della firma digitale Considerazioni generali sulle infrastrutture Approfondimento sulle nuove regole della firma digitale La firma digitale nelle carte di accesso Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La firma digitale e la carta di identità elettronica I principi ispiratori la sicurezza: del dispositivo fisico, del circuito di emissione, formazione e rilascio, del processo di riconoscimento dei titolare "a vista" ed in rete la carta servizi: possibilità di fruire i servizi a carattere nazionale (sanità, finanze, certificato elettorale…) possibilità di fruire dei servizi a livello locale (trasporti, musei, sportello unico, …) l'interoperabilità: su tutto il territorio nazionale Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La firma digitale e la carta di identità elettronica La scelta architetturale tipologie di identificazione a vista in rete scelta progettuale microprocessore consente il riconoscimento in rete e la fruizione dei servizi banda ottica a lettura laser - worm consente la non contraffazione del documento per il riconoscimento a vista del titolare tutte le informazioni contenute nei supporti elettronici sono certificate da un bollo elettronico emesso dal M.I. e dal Comune all'atto dell'emissione della carta Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La firma digitale e la carta di identità elettronica La carta di identità elettronica non è uno strumento di firma del titolare anche se utilizzata per l'identificazione a vista (supporto plastico) e in rete (supporto chip) del possessore. Per l'identificazione in rete del titolare si utilizzano tecnologie simili a quelle della firma digitale ma l'infrastruttura pki ed i certificati emessi si riferiscono alla carta come supporto fisico e non al titolare, la cui identità non si conosce se non al momento della fruizione dei servizi di rete. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

La firma digitale e la carta di identità elettronica La carta di identità elettronica è fornita di chip la cui strutturazione (maschera) consente di inserire dei servizi sia a valenza nazionale che locale. Tra questi ultimi è previsto l’inserimento della firma digitale del titolare rilasciata da una CA accreditata. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Principi generali sulla CNS La CNS non identifica “a vista”. Le caratteristiche del micro chip sono coerenti con quelle della CIE. La CNS contiene un certificato di autenticazione rilasciato dai certificatori accreditati. Il certificato di autenticazione ha un profilo standardizzato allegato alle regole tecniche della CNS. La CNS utilizza il profilo Netlink nella sua funzione di tessera sanitaria. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Principi generali organizzativi La CNS può essere emessa da tutte le pubbliche amministrazioni su richiesta del cittadino. L’amministrazione emittente è responsabile dell’identificazione del titolare e di consegnare la carta al suo legittimo proprietario. La CNS può contenere una banda magnetica, anche per finalità di pagamento. Si sta sviluppamdo un meccanismo di pagamento online. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Principi generali organizzativi Tutte le PP. AA. che erogano servizi in rete devono garantirne l’accesso ai titolari di CNS (e CIE). La CNS prevede un layout libero. E’ obbligatorio riportare la scritta “CARTA NAZIONALE DEI SERVIZI” e l’amministrazione emittente. La CNS può contenere le informazioni per la firma digitale. La CNS può supportare funzioni di pagamento. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Principi generali organizzativi L’amministrazione che emette carte CNS è responsabile di definire un servizio di call center per la revoca o sospensione della CNS. L’amministrazione può disporre la revoca. Le informazioni anagrafiche relative alle carte CNS sono inviate al sistema INA-SAIA (indice nazionale delle anagrafi). L’amministrazione che emette le carte CNS definisce le procedure di gestione, personalizzazione e rilascio delle carte CNS e le descrive in un apposito manuale della sicurezza. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Requisiti di sicurezza dei produttori di CNS Policy generali relative allo stabilimento di produzione. Policy di sicurezza del settore produzione, embedding e inizializzazione. Attribuzione delle responsabilità specifiche. Documentazione delle policy di sicurezza. Inizializzazione Netlink con le chiavi di gruppo. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Requisiti di sicurezza nella fase di personalizzazione e distribuzione: esempio Tracciatura (logging) delle operazioni in fase di personalizzazione. Autenticazione degli operatori adibiti alla personalizzazione. Stampa dei PIN/PUK in buste retinate. Rilascio separato dei PIN/PUK e delle carte CNS. Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca

Ulteriori informazioni www.cnipa.gov.it manca@cnipa.it Seminario di studio CNIPA – 25 giugno 2004 La firma digitale e le carte multiservizi della PA – G. Manca