1 / 39

Infrastruttura di certificazione per la firma elettronica (PKI)

Infrastruttura di certificazione per la firma elettronica (PKI). Introduzione ai certificati digitali, installazione, uso, risoluzione di problemi nell’ambito dell’infrastruttura di certificazione di RTRT Firenze 06 Ottobre 2009. Sommario. La sicurezza L’infrastruttura di sicurezza

mizell
Download Presentation

Infrastruttura di certificazione per la firma elettronica (PKI)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Infrastruttura di certificazione per la firma elettronica (PKI) Introduzione ai certificati digitali, installazione, uso, risoluzione di problemi nell’ambito dell’infrastruttura di certificazione di RTRT Firenze 06 Ottobre 2009

  2. Sommario • La sicurezza • L’infrastruttura di sicurezza • La sicurezza dell’informazione • L’autenticazione • Infrastruttura di certificazione • Componenti principali • Dotazione Utente • La firma digitale nella normativa • I servizi nella PKI di RTRT

  3. Requisiti per lo scambio sicuro di informazioni • confidenzialità: segretezza della informazione scambiata; • integrità: garanzia che l’informazione non è stata alterata; • autenticazione: processo di verifica dell’identità del soggetto; • non ripudiabilità: generazione e conservazione di informazioni che provano l’origine e la ricezione dei dati

  4. L’infrastruttura di sicurezza (1) L’infrastruttura di sicurezza è costituita da varie componenti che operano a vari livelli: • Rete • Sistemi • Politiche di accesso

  5. Ministeri,... Internet RTRT L’infrastruttura di sicurezza (2) TIX DMZ MZ

  6. Ministeri,... Internet RTRT L’infrastruttura di sicurezza (3)L’evoluzione TIX DMZ BACKEND MZ

  7. La sicurezza dell’informazione (1) • Adottare misure di sicurezza perimetrali o di sistema non è di per sé sufficiente; spesso è necessario adottare misure di sicurezza anche nel trasporto delle informazioni stesse: • a livello di protocolli di rete e/o di trasporto (vedi ad esempio le VPN) • a livello di sessione (vedi ad esempio SSL)

  8. Ministeri,... Internet RTRT La sicurezza dell’informazione (2) DMZ MZ

  9. L’autenticazione • L’autenticazione classica è con utente e password • Forme di autenticazione più forti: i certificati digitali, che si basano sulla crittografia a chiave pubblica: • crittografia: assicura la privatezza e la sicurezza • certificazione: assicura che la comunicazione avvenga effettivamente fra i due punti desiderati

  10. L’infrastruttura di certificazione • consiste di servizi e standard che supportano applicazioni di crittografia a chiave pubblica; di particolare interesse sono: • Registration Authority (Servizio di registrazione dei dati del richiedente) • Certification Authority (Servizio di rilascio dei certificati di firma ed autenticazione) • Timestamp Authority (servizio di marca temporale) • Sistema di Posta Elettronica Certificata • Dotazione utente (PSE)

  11. CA Registrazione Generazione chiavi Richiesta certificato PSE

  12. La Registration Authority • E’ l’entità delegata dalla CA a verificare l’identità dei soggetti richiedenti ma non in grado di emettere dei certificati

  13. La Certification Authority • Agendo come terza parte fidata, una CA è assimilabile ad una funzione che eroga un “servizio notarile virtuale” con il quale si certifica l’identità di un titolare di una “firma digitale”; è l’entità che si occupa della emissione del Certificato • in altre parole identifica il possessore di una coppia di chiavi e rende nota la sua chiave pubblica • Pubblica la Certificate Revocation List (CRL) che contiene la lista dei certificati revocati

  14. Il Certificato di Firma • Per certificato digitale di firma si intende: • un certificato rilasciato da un'Autorità di certificazione (CA) iscritta all’albo pubblico dei certificatori (presso il CNIPA) • un certificato conforme alla normativa per la firma di documenti elettronici. • Un certificato digitale di firma è la condizione indispensabile per la firma a valore legale dei documenti elettronici.Fra le prescrizioni previste dalla normativa vi è l'obbligo che il certificato di firma sia inserito in un dispositivo di firma. Il dispositivo di firma è un dispositivo hardware e software per la generazione e custodia di coppie di chiavi asimmetriche che siano in grado di svolgere le operazioni di firma digitale e di crittografia.

  15. Il Certificato di Autenticazione • Per certificato digitale di autenticazione si intende il supporto tecnologico di autenticazione per tutti quei servizi che non richiedono il valore legale della firma.Possibili esempi sono: • accesso sicuro (autenticato, cifrato, differenziato ai sensi delle politiche di tutela dei dati personali) ad applicazioni e banche dati • posta sicura (scambio di posta elettronica, cifrata o meno, fra soggetti riconosciuti).

  16. Posta Elettronica Certificata • La posta elettronica certificata (detta anche posta certificata o PEC) è un sistema di comunicazione simile alla posta elettronica standard a cui si aggiungono delle caratteristiche specifiche di sicurezza e di certificazione della trasmissione. • Queste caratteristiche particolari sono state inizialmente stabilite nel 2003 da due documenti presenti sul sito del CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione): • le Linee Guida della posta certificata • l'Allegato Tecnico della posta certificata I due documenti definiscono gli aspetti generali del servizio e i dettagli tecnici che deve rispettare. Queste regole sono finalizzate a garantire la validità del servizio complessivo e l'interoperabilità tra i diversi gestori di posta certificata.

  17. Utilizzo della PEC • Negli ultimi anni alcune direttive governative hanno indicato la PEC come strumento di primaria importanza per le Pubbliche Amministrazioni; In questo contesto rivestono particolare importanza le caselle istituzionali delle P.A., previste dalla normativa sul protocollo, e l'indice generale delle Pubbliche Amministrazioni italiane (http://indicepa.gov.it/): questo sito permette di individuare le P.A. italiane utilizzando diversi criteri di ricerca e, per ciascuna P.A., fornisce varie informazioni tra cui la casella istituzionale (ove presente). L'indice della P.A. rappresenta il principale indirizzario di posta certificata presente in rete. • L'utilizzo della PEC si sta rapidamente diffondendo anche in molti settori diversi dalla P.A. Lo schema di DPR approvato dal Consiglio dei Ministri del 28 gennaio 2005 prevede infatti l'utilizzo della PEC anche tra soggetti privati.

  18. Caratteristiche principali della PEC (1) • La trasmissione vene considerata posta certificata solo se le caselle del mittente e del destinatario sono caselle di posta elettronica certificata. Se una delle caselle coinvolte nella trasmissione non è una casella di PEC si viene a perdere il valore della trasmissione e il sistema potrà fornire solo una parte delle funzionalità di certificazione previste; in questo caso, per esempio, non viene fornita la ricevuta di avvenuta consegna. I gestori di posta certificata sono obbligati a mantenere traccia di tutti i principali eventi che riguardano la trasmissione. Queste registrazioni vengono mantenute per alcuni anni e possono essere utilizzate come prova da parte degli interessati. I gestori, inoltre, sono tenuti ad utilizzare sempre un riferimento orario allineato con gli istituti ufficiali che garantiscono l'ora esatta. Quindi le registrazioni e tutti gli elementi descritti in seguito (ricevute, buste, ...) conterranno sempre l'ora esatta. • L'utilizzo dei servizi di posta certificata avviene esclusivamente utilizzando protocolli sicuri, in modo da evitare qualsiasi manomissione del messaggio da parte di terzi quali: • https, per webmail • smtps • smtp starttls • pop3s • Imaps • La maggior parte degli strumenti di posta più diffusi sono già in grado da tempo di gestire questi protocolli L'identificazione può avvenite tramite user e password oppure tramite certificati digitali

  19. Caratteristiche principali della PEC (2) • Certificazione dell'invioQuando si spedisce un regolare messaggio da una casella di posta certificata si riceve dal proprio provider di posta certificata una ricevuta di accettazione, firmata dal gestore stesso, che attesta il momento della spedizione ed i destinatari (distinguendo quelli normali da quelli dotati di PEC.); le informazioni sono disponibili sia in formato testo, leggibile, sia in formato xml, più facilmente elaborabile • Integrità del messaggio Il gestore di posta certificata del mittente crea un nuovo messaggio, detto busta di trasporto, che contiene il messaggio originale e i principali dati di spedizione; la busta viene firmata dal provider, in modo che il provider del destinatario possa verificare la sua integrità (ovvero che non sia stato manomesso nella trasmissione).A completa garanzia dell'integrità del messaggio mittente e destinatario sono obbligati ad utilizzare la casella di PEC solo tramite protocolli sicuri, come descritto in precedenza. • Certificazione della consegna Un messaggio di posta certificata viene consegnato nella casella del destinatario inserito nella sua "busta di trasporto". Non appena effettuata la consegna il provider del destinatario invia al mittente la ricevuta di consegna. Anche in questo caso si tratta di un messaggio email, firmato dal gestore stesso che attesta: • la consegna • data e ora di consegna • contenuto consegnato • Va sottolineato l'ultimo punto: infatti la ricevuta di consegna contiene, in allegato, anche il messaggio vero e proprio (con tutti i suoi eventuali allegati). Questo significa che la posta certificata fornisce al mittente una prova, firmata dal provider scelto dal destinatario, di tutto il contenuto che è stato recapitato (con data e ora di recapito). Questa è una delle caratteristiche più significative che distingue la posta certificata dai normali mezzi per l'invio di documenti ufficiali in formato cartaceo.

  20. Dotazione utente (1) • Tutti gli strumenti hardware e software necessari per l'utilizzo dei certificati: • la smart card • il lettore della smart card • il software per la gestione della smart card • il software specifico per la firma digitale dei documenti elettronici

  21. Dotazione utente (2) • Della dotazione fa parte anche la licenza che si compone di un numero di licenza e di un codice di revoca da utilizzare per tutte le operazioni “amministrative” inerenti il certificato (sospensione, revoca, etc.) • Esiste poi il PIN che protegge il certificato e che serve per accedere al certificato e quindi per le operazioni legate all’utilizzo (accesso, rinnovo, etc.) • La perdita del PIN del certificato non consente l’utilizzo dello stesso (analogia con il PIN del bancomat) • Assieme al PIN è presente anche il PUK che consente di sbloccare il PIN qualora questo risulti bloccato. • Bloccare sia il PIN che il PUK, o perdere il PUK, in caso di PIN bloccato, significa buttar via la carta

  22. Busta di revoca (1)

  23. Busta di Revoca (2)

  24. Problemi più frequenti • Hw/Sw • installazione della tipologia di lettore errata • Il lettore di Smart Card, connesso al pc, non viene visto a livello HW. • incompatibilità lettore con PC (sperimentata su porta seriale) • supporto (smartcard) rovinato • versione del sw di smartcard vecchia rispetto a tipo di smartcard • Problematiche legate ai Browser • Configurazione • Errori di installazione del sw necessario per i browser • perdita / dimenticanza password • blocco PIN smartcard

  25. Accessi sicuri (1) • Alcune note relative alla realizzazione di un sito sicuro: • certificato server fondamentale per l’integrità e la privatezza • certificato client necessario solo per autenticazione • sul server vanno registrati i certificati delle CA riconosciute • sul server devono essere attivati i controlli sulle CRL • In fase di autenticazione il controllo sui singoli certificati può essere effettuato a livello di server WEB e/o a livello di applicazione • Il responsabile del sito è anche responsabile del certificato del server (ad esempio, si deve preoccupare del suo rinnovo) • Le modalità di installazione del certificato su un server sono variabili ma normalmente si rifanno a modalità standard (pkcs12, PEM, …)

  26. Accessi sicuri (2) • Applicazioni già sviluppate in ambito sicuro • ARPA • Intranet di Regione Toscana (orario, mensa, stipendio,giustificativi) • Applicazioni nel settore socio-sanitario • Mandati di pagamento • Note di liquidazione • Big Brother (sistema di monitoraggio di sistemi e reti)

  27. La Firma digitale nella normativa Firma digitale • Particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità' di un documento informatico o di un insieme di documenti informatici (D. lgs 82/2005 – Codice dell’Amministrazione Digitale) Firma elettronica • L'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica (D. lgs 82/2005) Firma elettronica qualificata • La firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma, quale l'apparato strumentale usato per la creazione della firma elettronica (D. lgs 82/2005) Funzione di hash • Funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali (Del. CNIPA 11/2004) Impronta • Sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash (Del. CNIPA 11/2004 - Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali)

  28. I servizi nella PKI di RTRT I principali servizi per gli utenti sono i seguenti: • Firma Digitale con Valore Legale. • Autenticazione Personale: Smart-Card di Autenticazione, Carta Nazionale dei Servizi - CNS. • Autenticazione di Server: Web, Application-to-Application e VPN. • Autenticazione di codice: Code Signing. • Posta Certificata. • Richiesta e Validazione di Marche Temporali. Le slide successive fanno riferimento a quanto pubblicato sul sito www.rtrt.it/servizi/PKI

  29. Modalità di accesso ai servizi • All’interno del sito www.rtrt.it/servizi/PKI è possibile rintracciare il documento “Regole e procedure per l'accesso ai servizi” che descrive: • Come operare per accedere al contratto PKI in essere ed usufruire dei prodotti/servizi in esso previsti • Come opera il servizio di registrazione • Il servizio di help desk • L’Assistenza hw/sw on site e l’assistenza sistemistica applicativa

  30. Firma digitale • L'Infrastruttura a Chiave Pubblica di Regione Toscana abilita la Firma Digitale con Valore Legale di documenti. • Le regole e le procedure operative adottate dalla struttura di certificazione digitale di InfoCamere per l'emissione di certificati per chiavi di sottoscrizione per Regione Toscana sono descritte nel manuale operativo dell’Ente Certificatore Infocert. • Le linee guida per il profilo del certificato di sottoscrizione, sono specificate nel documento Infrastruttura a chiave pubblica PKI - Reg. Toscana - Linee guida per il profilo dei certificati. • Dike è il software necessario alla gestione dell'ambiente locale di firma digitale, e consente di apporre e/o verificare una o più firme su qualunque tipo di file, nonché di marcarlo temporalmente.

  31. Autenticazione • Sono previste le seguenti tipologie di certificati di autenticazione: • Autenticazione personale • Autenticazione server (certificati web ed application-to-application) • Autenticazione VPN • Autenticazione codice • Le regole e le procedure operative per le varie tipologie di certificati di autenticazione sono descritte nei corrispondenti manuali operativi • Le regole e le procedure operative adottate per l'emissione di CNS di Regione Toscana sono descritte nel corrispondente manuale operativo operativo

  32. Posta certificata • L'Infrastruttura a Chiave Pubblica di Regione Toscana offre il servizio di Posta Elettronica Certificata (PEC). • La Posta Elettronica Certificata si basa sul servizio LegalMail di InfoCert con dominio riservato a RTRT (postacert.toscana.it) • L'accesso al servizio PEC avviene con modalità di sicurezza diversificate in funzione dell'utilizzo della casella. Le modalità di fornitura e l'accesso diversificato previsto dalla Infrastruttura a Chiave Pubblica di Regione Toscana sono indicati nel documento “Regole per la fornitura e l'utilizzo delle Caselle di Posta Elettronica Certificata” • Alcune caratteristiche: • Accesso sicuro alla propria casella di posta elettronica da qualsiasi postazione della Rete Telematica di Regione Toscana. • Ricevute di accettazione e di consegna che forniscono le attestazioni del momento di invio, del momento della consegna e del contenuto del messaggio consegnato • 50 MB di spazio a casella • Per ulteriori informazioni sul servizio di Posta Elettronica Certificata rivolgersi a luca.menegatti@regione.toscana.it

  33. Marcatura temporale • L'Infrastruttura a Chiave Pubblica di Regione Toscana permette l'emissione e la validazione di Marche Temporali. • l tempo, cui fanno riferimento le marche temporali di InfoCert, è riferito al Tempo Universale Coordinato, ed è assicurato da un ricevitore radio sintonizzato con il segnale emesso dall'Istituto Elettrotecnico Nazionale Galileo Ferraris. • La marcatura temporale di un documento informatico può essere effettuata utilizzando DìKe, il software di firma/verifica fornito da InfoCert, che consente di eseguirne anche un immediato controllo. • La marcatura temporale di un documento informatico può essere effettuata anche a livello applicativo (ad esempio, procedura per i mandati di apagmento)

  34. Servizi di supporto • Registration Authority • Help Desk • Servizi di assistenza tecnica • API di firma, Time Stamp, Posta Certificata

  35. RA • Il servizio di Registration Authority si occupa delle fasi di riconoscimento e rilascio dei certificati ai richiedenti autorizzati. • Il servizio garantisce la copertura del territorio regionale, in particolar modo: • - Firenze negli uffici della Regione Toscana • - Capoluoghi di Provincia presso le sedi provinciali delle Camere di Commercio, • Direttamente presso le sedi degli Enti regionali per ordinativi superiori a 10 smartcard.

  36. Help Desk (1) • I servizi di help desk e di Assistenza e Manutenzione sono accessibili tarmite un Call-Center unico al numero verde 800901906 verso cui veicolare tutte le richieste per la gestione delle problematiche sia di natura tecnologica che applicativa compreso le richieste per interventi di assistenza e manutenzione relative a servizi/beni rilasciati all’interno del contratto in essere. • Il numero verde è abilitato per i prefissi della regione toscana e per il prefisso di Roma, non sono abilitate le chiamate dai cellulari. • Tale Call-Center fornisce informazioni per gli Enti su come accedere ai servizi PKI e mette a disposizione degli aderenti i seguenti servizi: • servizio informativo e di orientamento al tema • indicazioni su modalità di compilazione delle form di preregistrazione • centro per informazioni e controllo delle prenotazioni (servizio di RA) • normativa e riferimenti di legge • informazioni e istruzioni per l’uso della marcatura temporale • installazione del lettore e del dispositivo di firma; • installazione dell’applicativo di firma e timestamping • installazione dell’applicativo di verifica • assistenza all’uso degli applicativi forniti • configurazioni browser per l’utilizzo del certificato di autenticazione • istruzioni per revoche e sospensione certificati • informazioni per la configurazione, l’uso e gestione degli errori del servizio di posta certificata • gestione delle segnalazioni su eventuali malfunzionamenti dei servizi offerti • gestione delle richieste di sostituzione dei supporti di memorizzazione • gestione delle richieste di assistenza hw/sw on site e di assistenza sistemistica ed applicativa

  37. Help desk (2) • Il servizio di Help Desk o Call-Center è tendenzialmente in grado di risolvere il 90% dei problemi utenti, per i casi rimanenti sarà attivata la procedura di assistenza tecnica. • L’utente chiama il call center e si identifica col numero di serie della smartcard o codice fiscale • In prima battuta l’help desk cerca di capire il problema e risolverlo; se non è in grado di farlo, il Call-Center ha il compito di segnalare il problema irrisolto al referente tecnico dell'ente che ha il compito di valutare sulla base delle informazioni fornite e sulla base di una propria verifica, se il problema necessita di assistenza in loco. Il call-center oltre alle informazioni sul problema utente, fornirà al referente l'informazione che associa il numero di serie della SC all'ordine (ordine Ente, ordine Regione Toscana) al fine di eventuali autorizzazioni all’intervento on-site. • Il Call-Center per ogni problema irrisolto, invia la documentazione raccolta all'indirizzo e-mail del referente e del servizio di assistenza Netikos.

  38. Assistenza hw/sw on site • Oltre al servizio di Help Desk di primo livello, ma al di fuori di questo, è possibile usufruire, previo ordinativo di giornate/uomo del profilo professionale 1 previsto nel contratto, di un servizio di assistenza hw/sw on-site sia per la parte di installazione che di configurazione dei servizi/beni per l’utente finale. • In particolare tale servizio riguarderà, per i sistemi operativi indicati nell’offerta per le varie voci: • Installazione hw e sw del lettore di smartcard; • Installazione hw e sw del supporto di memorizzazione (comprensiva di sw PKCS#11 e CSP); • Configurazione del PSE; • Configurazione dei più comuni browser e mailer per l’utilizzazione diretta del certificato rilasciato sul supporto di memorizzazione (ovvero deve essere attivato l’interfacciamento verso il supporto di memorizzazione tramite PKCS#11 o Microsoft CryptoAPI (via CSP) per tale supporto); • Installazione e configurazione dell’applicativo di firma e timestamp (comprensiva di interfacciamento verso il supporto di memorizzazione via PKCS#11 / CSP); • Installazione e configurazione della posta certificata e posta sicura; • Risoluzione di problemi hw/sw relativamente agli aspetti di cui sopra. • In conseguenza di una richiesta di intervento e sulla base delle giornate/uomo disponibili per l’Ente, si valuterà concordemente fra le parti il tempo necessario alla risoluzione del problema e quindi si procederà all’intervento stesso.

  39. Assistenza sistemistico /applicativa • Oltre al servizio di Help Desk di primo livello, ma al di fuori di questo, è possibile usufruire, previo ordinativo di giornate/uomo dei profili professionali 2 e 3 previsti nel contratto, di un servizio di assistenza sistemistica ed applicativa. • Questo servizio fornisce un supporto al personale incaricato della gestione logica della PKI o coinvolto nella fase di sviluppo e debugging di applicazioni integrate con la PKI o nella fase di integrazione sistemistica dei servizi di PKI sui sistemi centrali (ad esempio installazione e configurazione di certificati e gestione CRL su server WEB Apache, Netscape/Iplanet/SunOne, IIS, Netware o accesso ai servizi di TSA da server). • In conseguenza di una richiesta di intervento e sulla base delle giornate/uomo disponibili per l’Ente, si valuterà concordemente fra le parti il tempo necessario alla risoluzione del problema e quindi si procederà all’intervento stesso. L’intervento sarà considerato chiuso solo una volta risolto il problema e, comunque, sarà riconosciuto solo il tempo concordato, a meno dell’evidenziazione di situazioni anomale non legate ai servizi/beni interessati.

More Related