CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La tecnologia e le applicazioni delle smart card nelle-government Ing. Giovanni Manca Centro nazionale per linformatica nella pubblica amministrazione
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Smart Card Gli elementi che compongono la Smart Card: Microcircuito Sistema operativo (maschera) Microcircuito+Sistema operativo=SmartCard
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il Microcircuito INTERFACEINTERFACE CPU RAMROM EEPROM DATA ADDRESSES I/O n.c. 5V 0V Clock Reset or CPU + Co Pro
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il Sistema Operativo Il Sistema operativo è mascherato nella memoria ROM e sovrintende alle seguenti funzioni: Gestione del protocollo di comunicazione; Gestione del protocollo logico (APDU); Gestione dello SmartCard File System; Sicurezza : Sicurezza fisica (protezione degli oggetti di sicurezza contenuti nella SmartCard); Sicurezza logica (criteri di accesso ai file ed agli oggetti di sicurezza).
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La norma ISO 7816 Parte prima e seconda per le caratteristiche fisiche e la posizione dei contatti elettrici parte terza per le caratteristiche elettriche ed il protocollo di trasmissione Parte quarta per la definizione dei comandi applicativi,la struttura dei file,le modalità di accesso ed i diritti di accesso Parte quinta per le procedure di registrazione degli Application Identifiers (AID) Parte ottava per la formalizzazione degli aspetti inerenti la sicurezza Parte nona per la gestione del ciclo di vita i criteri di accesso ecc.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il protocollo di comunicazione (1) Il protocollo di comunicazione è definito dalla norma ISO 7816 parte terza: Le implementazioni del protocollo prevedono: – modalità T=0 (asincrono a carattere) – modalità T=1 (asincrono a blocchi) Il protocollo di comunicazione è gestito dallinsieme driver e SmartCard reader. Il livello di sofisticazione del driver dipende dal livello di sofisticazione del firmware del lettore.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il protocollo di comunicazione (2) (Lo standard PC/SC) IFD:= Interface Device (SmartCard reader ) ICC:= Integrated Circuit Card Spex di riferimento Spex di riferimento conformi alla norma ISO Fornito con lo IFD È garantita linteroperabilità tra lettori PC/SC e SmartCard conformi a ISO È garantita linteroperabilità tra lettori PC/SC e SmartCard conformi a ISO
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il protocollo logico (1) Application Protocol Data Unit (APDU) Costituisce la modalità con cui, tramite il protocollo di comunicazione, sono inviati alla Smart Card i comandi applicativi È disciplinato dalla parte quarta della norma ISO 7816 È strutturato nel seguente modo: FieldDescriptionLength (by) Command header Class byte (CLA)1 Instruction byte (INS)1 Parameter bytes (P1-P2)2 Le fieldCommand data field length (Nc)0,1 or 3 Command data fieldAbsent for Nc=0 else a Nc byte stringNc Le fieldData responce legth if present (Ne)0,1,2 or 3 Response fieldMay be absent, if present Nr bytes (0<Nr<=Ne)Nr Response trailerStatus bytes (SW1-SW2)2
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il protocollo logico (2) Tipologie di comandi APDU Comandi di tipo amministrativo – Create File, Invalidate File, Delete File ….. – Put Data (per settare gli attributi dei file e degli oggetti di sicurezza) – Change Reference Data (amministrazione del PIN) Comandi di utilizzo del File System – Select File – Read, Update,Append Comandi di identificazione ed autenticazione – Verify PIN, Get Challenge, External Auth., Internal Auth... Comandi crittografici – MSE (Manage Security Environment) – PSO (Perform Security Operation) PSO_CDS (Compute Digital Signature) PSO_Encrypt/Decrypt
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il protocollo logico (2) Alcuni esempi CLA00 INSA4 = SELECT FILE P102 (Select by File Identifier (FID)) P200 Lc02 = Length of subsequent data field Data fieldFID of (Elementary File) LeEmpty CLA00 INSB0 = READ BINARY P1,P20000 LcEmpty DatafieldEmpty Lexx length of data to be read Data fieldEmpty SW1-SW29000 or specific status bytes Select Elementary File (EF) Data fieldSelected EF Data SW1-SW29000 or specific status bytes Read Binary
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Il File System nella Smart Card Organizzazione (Norma ISO ) I dati sono organizzati in un file system gerarchico. Master File (MF) è la root del file system, ed è selezionato automaticamente al reset. Elementary File (EF) sono I repository dei dati. Dedicated File (DF) sono le directory del file system e possono contenere sia DF che EF. Esse consentono di installare più di unapplicazione allinterno della Smart Card. MF DF 0EF 00 EF 0n EF 0 EF n DF n EF n0 EF nn DF n0EF n00 EF n0n
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca I file elementari (EF) Transparent Elementary File: l File non formattato; l laccesso ai dati è per offset e lunghezza. Linear Fixed Elementary File: l File organizzato a record di lunghezza fissa; l laccesso ai dati è per numero di record. Linear Variable Elementary File: l File organizzato a record di lunghezza variabile; l laccesso ai dati è per numero di record. Cyclic Elementary File: l File organizzato a record di lunghezza fissa; l laccesso in lettura è per numero di record l la scrittura è sul record successivo allultimo record aggiornato Transparent EF Linear Fixed EF Linear Variable EF Cyclic EF
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Modalità di navigazione del File System Consentito Non consentito direttamente MF DF 0EF 00 EF 0n EF 0 EF n DF n EF n0 EF nn DF n0EF n00 EF n0n
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Modalità di selezione Selezione tramite File Identifier (FID) – il campo dati del comando di selezione è il File Identifier – è possibile selezionare EF o DF sotto la directory corrente (pe:EFn da MF, DFn da MF, DFn0 da DFn) Selezione tramite Path – il campo dati del comando di selezione è costituito dai FID del percorso di selezione – per selezionare EFn0n da MF il campo dati del comando di selezione contiene : DFn FID, DF0n FID, EFn0n FID NOTA:il FID è costituito da 2 byte che possono essere scelti a piacere con i seguenti limiti : – 3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF corrente è ignota, 2F00 riservato a EF_Dir (vedere Direct Application Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO (vedere applicazione Netlink)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Selezione diretta dei DF (Norma ISO e 5) Consentito Non consentito MF DF 0 EF 0 EF N EF 00 EF 0N DF N EF N0 EF NN DF N0 EF N00 EF N0N DF N00 EF N000 EF N00N
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Selezione diretta dei DF Questo comando consente di selezionare direttamente una Directory senza conoscere il File Identifier e lintero percorso di selezione Il comando di selezione ha come campo dati lApplication Identifier (AID) Gli AID delle Directory selezionabili direttamente ed i percorsi di selezione sono memorizzati nel File 2F00 (EF-DIR) Gli AID devono essere richiesti allISO in conformità alla norma Questo comando è utilizzato da terminali che gestiscono più tipologie di smart card (p.e. terminali ATM e POS) Il terminale legge EF-DIR, verifica se contiene AID noti e seleziona le applicazioni
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza Lobiettivo della sicurezza è la custodia dei dati contenuti nelle smart card. Questo obiettivo è perseguito tramite: sicurezza fisica sicurezza logica
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza fisica (1) La sicurezza fisica è linsieme delle contromisure messe in atto per proteggere le informazioni da attacchi condotti tramite: lutilizzo improprio dellinterfaccia elettrica; azioni fisiche volte a guadagnare il controllo diretto del microprocessore; analisi dellassorbimento elettrico.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza fisica (2) Le principali contromisure Sensori che rilevano la marginatura della tensione di alimentazione Sensori che rilevano la marginatura del clock Sensori di temperatura di esercizio Sensori ottici Questi accorgimenti proteggono dallutilizzo improprio dellinterfaccia elettrica e da azioni fisiche volte a guadagnare il controllo diretto del microprocessore
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza fisica La gestione dei sensori Sensors Register Hang Routine NOP HALT JMP-1 NM Interrupt Intrusion Events OS Code
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza fisica Analisi dellassorbimento elettrico Questo tipo di attacco tende a mettere in relazione le variazioni di assorbimento elettrico, dovute alla commutazione dei transistor, con i processi svolti dal microprocessore. Una contromisura efficace adottata dai costruttori di Smart Card consiste nel disaccoppiare il clock fornito allinterfaccia dal clock del microprocessore e variarne in modo casuale la frequenza durante processi di calcolo interno
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza logica La sicurezza logica controlla laccesso alle informazioni contenute nella smart card tramite: codici personali di accesso alle informazioni (PIN); processi di autenticazione realizzati con tecniche crittografiche simmetriche o asimmetriche; funzioni che consentono di rendere non modificabili ed accessibili in sola lettura alcuni dati; funzioni che consentono di rendere non esportabili gli oggetti di sicurezza (chiavi e codici di accesso).
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza Logica (Gli oggetti della sicurezza ) PIN Consente di verificare il possesso della della Smart Card, ad esso possono essere associate condizioni di accesso ai file e condizioni di utilizzo degli oggetti di sicurezza Possono essere definiti più PIN Chiavi crittografiche simmetriche ed asimmetriche Consentono di realizzare processi di autenticazione Ai processi di autenticazione possono essere vincolate le condizioni di accesso ai file Le chiavi possono essere usate anche per produrre crittografia da utilizzare allesterno della Smart Card (p.e. Firma Digitale)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Le condizioni di accesso Sono attributi dei Files e degli oggetti di sicurezza;definiscono le condizioni di accesso per tipologia di comando BSO Tipo di operazioni Comandi protetti PINUpdatePutData_OCI PINAdminPutData_FCI PINCreateCreateFile BSO Tipo di operazioni Comandi protetti ALWReadReadBinary AutKey &PIN UpdateUpdateBin NEVAdminPutData_FCI BSO Tipo di operazioni Comandi protetti PINUSEPSO_CDS NEVChangeChangeReference Data PINGenKeyGenerateKeyPair AC_DF AC_BSO Kpri AC_EF
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza logica (Le condizioni di accesso) PIN Auth. PIN o Auth Pin e Auth. MF DF 0EF 00 EF 0N EF 0 EF N DF N EF N0 EF NN DF N0EF N00 EF N0N PIN Auth. Key PIN Auth. Key BSO_Kpri
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza logica (Autenticazione)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Sicurezza logica Le Smart Card come motori crittografici Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e algoritmi asimmetrici (RSA) che utilizzano gli oggetti di sicurezza tramite comandi APDU Gli oggetti di sicurezza sono utilizzabili se è settato lambiente di sicurezza tramite il comando MSE (Manage Security Environment) La crittografia è sviluppata per mezzo del comando PSO xxx (Perform Security Operation) dove xxx vale: CDS per Digital Signature e MAC; ENC per cifratura simmetrica e asimmetrica; DEC per decifratura simmetrica ed asimmetrica.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Smart Card Librerie crittografiche
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Librerie Crittografiche PKCS#11 (Cryptoki) Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici. Forniscono una interfaccia standard che prescinde dal dispositivo crittografico per cui sono state sviluppate. Rendono le applicazioni in cui la crittografia è trattata con queste API largamente indipendenti dai dispositivi. Vincolano allutilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a Smart Card di differenti fornitori di poter operare sulla stessa piattaforma applicativa
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Cryptoki Gli scopi delle Cryptoki in base allo standard: The primary goal of Cryptoki was a lower-level programming interface that abstracts the details of the devices and presents to the application, a common model of the cryptographic device, called a cryptographic token. A secondary goal was resource-sharing. As desktop multi- tasking operating systems become more popular, a single device should be shared between more than one application. In addition, an application should be able to interface to more than one device at a given time.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca CRIPTOKY Il Token È la rappresentazione a oggetti dei dati e delle quantità di sicurezza contenute nel dispositivo crittografico – Gli oggetti sono definiti dagli attributi (template) Contiene la definizione dei meccanismi crittografici supportati dal dispositivo
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca CRIPTOKY Rappresentazione a oggetti del Token OBJECT Common Obj attributes CertificateKey -Cert attributes -Cert. Value Common Key attributes Value Data Obj type Public Key - Pub Key attributes -Pub Key Value Private Key - Priv Key attributes -Priv Key Value Secret Key - Secret Key Attribut. -Secret Key Value Key Obj
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Implementazione del Token nelle SmarCard MF User Signature PIN (S.O. PWD) DF Signature EF_Index EF_Kpub_Attribute BSO PIN EF_Kpri_Attribute EF_Kpub EF_CERT/Attribute EF-Data_OBJ BSO Kpri EF-GDO EF-DIR DF Applicazione n DF Applicazione 1 Dati Applic. n Dati Applic. 1
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Descrizione del File System EF_Index: Elementary File di tipo Linear TLV che contiene gli identificativi PKCS#11 (CKA_ID) degli oggetti Chiave Pubblica, Chiave Privata, Certificati ed oggetti Dati presenti nella Directory di Firma Digitale. Questo file è utilizzato dalle Funzioni di Gestione degli Oggetti per la navigazione del File System della Carta.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Descrizione del File System di Firma Digitale (esempio) EF_Kpri_Attribute Elementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i Template PKCS#11 degli Oggetti Chiavi Private e sono: Common attributes: CKA_CLASS (CKO_PRIVATE_KEY = 03); CKA_TOKEN (CK_BBOOL, posto a vero); CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica lautenticazione tramite la funzione: C_Login.; CKA_LABEL (CK_CHAR); CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma); Common key attributes: CKA_ID (byte array TBD).; CKA_KEY_TYPE(CKK_RSA= 00); CKA_DERIVE (CK_BOOL, posto a falso per le chiavi di firma); CKA_START_DATE (CK_DATE); CKA_END_DATE (CK_DATE); CKA_LOCAL (CK_BOOL, posto a vero per le coppie di chiavi di firma); Private key attributes: CKA_SUBJECT (codifica DER del DN del certificato); CKA_SENSITIVE (CK_BBOOL, posto a vero); CKA_EXTRACTABLE (CK_BBOOL, posto a falso); CKA_SIGN (CK_BBOOL, posto a vero); CKA_SIGN_RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE; CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma ) CKA_VERIFY_RECOVER(CK_BBOOL,, posto a vero per le coppie di chiavi di firma); CKA_DECRYPT(CK_BBOOL,, posto a falso per le coppie di chiavi di firma); CKA_ALWAIS_SENSITIVE (CK_BBOOL,, posto a vero)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Descrizione del File System di Firma Digitale (esempio) BSO-KPRI È il contenitore della chiave privata (Base Security Objects) ed è gestito dal sistema operativo della Smatcard. Il sistema operativo della CIE memorizza la chiave in formato modulo (N) ed esponente (d) e ad essa è applicabile il TemplatePKCS#11 (Table 4-0 Private Key OBJ Attributes) solo per i seguenti attributi: – CKA_MODULUS (Big integer); – CKA_ PRIVATE_EXPONENT (Big integer);
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca I meccanismi crittografici Meccanismi PKCS#11 Meccanismi InterniMeccamismi di Lib. CKM_RSA_PKCS_KEY_PAIR_GEN X CKM_RSA_PKCS X CKM_DES_KEY_GEN X CKM_DES_ECB X CKM_DES_CBC XX CKM_DES_CBC_PAD X CKM_DES_MAC XX CKM_DES2_KEY_GEN X CKCM_DES3_CBC XX CKM_DES3_ECB X CKM_DES3_MAC XX CKM_SHA_1 XX
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Le funzioni PKCS#11 Funzioni per la gestione dei lettori e delle SmarCard C_GetSlotList C_GetSlotInfo C_GetTokenInfo C_GetMechanismList C_GetMechanismInfo C_InitToken C_InitPIN C_SetPIN Funzioni per la gestione della sessione C_OpenSession C_CloseSession C_CloseAllSession C_GetSessionInfo C_Login C_Logout Key Management: C_GenerateKey C_GenerateKeyPair C_WrapKey C_UnwrapKey Funzioni di firma e verifica firma: C_SignInit C_Sign C_SignUpdate C_SignFinal C_VerifyInit C_Verify C_VerifyUpdate C_VerifyFinal Funzioni di Message Digesting: C_DigestInit C_Digest C_DigestUpdate C_DigestFinal
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Un esempio Generazione della Coppia di chiavi di firma Funzioni di libreria Funzione: C_GenerateKeyPair (prerequisito: C_Login) Parametri: CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le funzioni C_OpenSession e C_GetSessionInfo; CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici supportati dalla libreria; CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave pubblica; CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template; CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave privata; CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template; CK_OBJECT_HANDLE_PTR phPublicKey : puntatore allarea in cui la libreria restituirà lo handle delloggetto chiave pubblica; CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore allarea in cui la libreria restituirà lo handle delloggetto chiave privata.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Un esempio Generazione della Coppia di chiavi di firma Gestione della SmartCard La funzione C_GenerateKeyPayr effettua le seguenti operazioni sulla SmartCard : Inserisce nel file EF_Index lidentificativo degli oggetti chiave ottenuto dai template; Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le informazioni ottenute dai template; Costruisce il file EF_Kpub tramite il comando APDU: CREATE FILE; Costruisce loggetto BSOKPRI-SIGN tramite il comando APDU: PUT DATA OCI forzando algoritmo e condizioni di accesso compatibili con il template della chiave privata; Genera la coppia di chiavi tramite il comando APDU: GENERATE KEY PAIR.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca SmartCard e lambiente MS APPLICATION Ser.Provider Crypto Service Provider C - API Resource Manager IFD COM Fornito dal produttore del Sistema Operativo Smart Card Lettore IFD Driver
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca SmartCard Le Smart Card nei principali progetti della Pubblica Amministrazione
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La Carta della sperimentazione Netlink La sperimentazione Netlink utilizza una Smart Card che contiene: – dati sanitari; – componenti di sicurezza per la protezione dei dati sanitari; La carta Netlink non prevede lutilizzo di oggetti crittografici quali: – Chiave privata – Certificato digitale
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca EF.NKEF EF.NKAP EF.NKEP EF.NKPP MF DF.NKAF EF.DIREF.GDO DF.NKEF DF.NKAP DF.NKEP DF.NKPP EF.NKAF DF.NETLINK EF.NETLINK EF.DIR La carta Net Link
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La Carta CNS La carta CNS è il dispositivo in dotazione al cittadino che gli consente di interagire i servizi in rete erogati dalla PA. Nel Progetto Lombardo essa contiene: dati sanitari; componenti di sicurezza per la protezione dei dati sanitari; oggetti crittografici,chiave privata e certificato digitale, per attivare funzioni di attestazione; componenti di sicurezza per costruire aree dati da dedicare a servizi regionali non connessi alla Sanità.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La Carta di Identità Elettronica La Carta di Identità Elettronica (CIE) è lo strumento di identificazione dei cittadini. Essa consente: lidentificazione a vista ; lidentificazione forte in rete per lerogazione telematica di servizi da parte delle Pubbliche Amministrazioni. Lidentificazione forte in rete è ottenuta per mezzo della chiave privata e del certificato digitale in essa contenuti. La CIE contiene anche dati sanitari ed i componenti di sicurezza necessari alla loro protezione. Come per la carta CNS sono presenti componenti di sicurezza per costruire aree dati da dedicare a servizi non connessi alla sanità.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca La Carta di Identità Elettronica Servizi_installati DF_Servizio #2 Dati_servizio #2 MF DF2 K pri DF1 C_Carta Dati_Personli DF0 ID_Carta INST key DF_Servizio #1 Dati_servizio #1 KI a DF_Servizio #n Dati_servizio #n EF.GDO KI c Area NetLink Memoria residua PIN
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca CNS MF Dati Anagrafici DF-Anagrafica Applicazione Sanitaria (Netlink) DF-Netlink K pri EF-GDO EF-K Pub PUKPIN Altri Servizi DF- Altri Servizi PIN-FD DF-F Digitale Dati Firma Digitale Quantità Sic. Ente Emettitore EF-DIR
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca SmartCard INTEROPERABILITA
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca PC/SC e Interoperabilità Linteroperabilità PC/SC consente di : gestire in modo unificato lo Smart Card File System tramite moduli SW (Service Provider) messi a disposizione dai fornitori di Smart Card gestire in modo unificato le funzioni crittografiche simmetriche ed asimmetriche tramite moduli SW (Crypto Service Provider) messi a disposizione dai fornitori di Smart Card Gestire in modo unificato i lettori di Smart Card tramite i driver messi a disposizione dai fornitori
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Librerie Crittografiche e Interoperabilità SO carta 1 SO carta 2 SO carta N Drivers PCSC dei lettori RESOURCE MANAGER PKCS#11 CARTA 1 PKCS#11 CARTA 2 PKCS#11 CARTA N WRAPPER PKCS#11/ATR Interceptor Microsoft CSP Applicazioni di autenticazione e Firma Digitale PKI Middleware Autenticazione SSL SGU
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Interoperabilità SW Applicazioni non crittografiche DELTA SGU SO carta 1 SO carta 2 SO carta N Drivers PCSC dei lettori RESOURCE MANAGER APDU MANAGER 1 APDU MANAGER 2 APDU MANAGER N WRAPPER/ATR Interceptor Gestione informazioni Applicative (es:Sanità e servizi comunali)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Interoperabilità del sistema operativo Affinché unapplicazione possa interagire con differenti tipologie di SmaCtcard senza la necessità di accorgimenti SW è necessario che: i sistemi operativi abbiano gli stessi comandi APDU almeno per la fase di utilizzo del ciclo di vita delle SmartCard; le SmartCard abbiano la medesima struttura del File System e le stesse condizioni di accesso; I dati siano descritti con una sintassi comune (es: ASN1); I dati siano codificati con le medesime regole (es: BER); Le smartcard del progetto Netlink, le CNS e la Carta di Identità Elettronica interoperano in base alle precedenti asserzioni
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Interoperabilità delle Carte sanitarie Carta Operatore SISS/Netlink Carta di Identità Elettronica Carta Regionale dei Servizi Carta Netlink Posto di Lavoro delloperatore sanitario
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Smart Card Smart Card e PKI
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Smart Card e PKI Legenda RA:Registration Authority CAO:Crt. Authority Operator RAO:Registration Autority Operator CRL:Certificate Revocation List C A CAO RA Directory Shadow Certificati X509v3 CRL CA Toolkit User Application Directory DB RA Frontend
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Smart Card e PKI S C Applicazione di firma digitale e crittografia dei dati CA Toolkit (L D A P) H-API Cryptoki Resource Manager Driver IFD PKCS#11 API Directory
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nelle-gov, G. Manca Per maggiori informazioni