1 / 41

Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale

Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale . Corso tenuto presso Istituto per le Applicazioni del Calcolo CNR. Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale. Introduzione alle problematiche della firma digitale

deion
Download Presentation

Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso tenuto presso Istituto per le Applicazioni del Calcolo CNR

  2. Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale • Introduzione alle problematiche della firma digitale • Il formato dei certificati a chiave pubblica • Meccanismi di revoca dei certificati • Servizi ausiliari • Architettura tecnica ed organizzativa di un sistema di certificazione • Supporto hardware per la firma digitale tramite smart-card ed acceleratori crittografici • Formati standard a supporto della firma digitale • Librerie di programmazione a supporto della firma digitale • Il ruolo del directory • Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale • La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale • Applicazioni pratiche della firma digitale • Glossario termini • Bibliografia-Sitografia

  3. Il concetto di firma • La firma è legata ad un individuo • Firmare un documento significa accettarne • volontariamente il contenuto

  4. Introduzione alle problematiche della firma digitale La firma digitale usa la crittografia asimmetrica come strumento. La firma digitale si prefigge i seguenti obiettivi: certezza del sottoscrittore non modificabilità del messaggio originale il sottoscrittore non può negare di aver firmato, nè il ricevente di disconoscere la firma del sottoscrittore Eventualmente la certezza del momento in cui è stata apposta l’apposita AUTENTICITA’ INTEGRITA’ NON RIPUDIO MARCA TEMPORALE o riferimento temporale (normativa AIPA 42/2001)

  5. Richiami su crittografia a chiavi asimmetriche Ideata da Diffie-Hellman, utilizza una coppia di chiavi: • Privata – nota solo all’autore del messaggio • Pubblica – nota a tutti (esistono delle directory consultabili da chiunque, NB: questo per la firma non è più vero per questioni di privacy) Il processo crittografico si basa sui due seguenti capisaldi: • Il messaggio cifrato con la chiave privata può essere messo in chiaro SOLO attraverso l’utilizzo della corrispettiva chiave pubblica • da una tipologia di chiave (per esempio quella pubblica) non si può risalire in alcun modo all’altra chiave (per esempio quella privata)

  6. Richiami su crittografia a chiavi asimmetriche Se il mittente risultato RISERVATEZZA solo il proprietario della chiave privata può leggere il documento codifica il messaggio con la chiave pubblica del destinatario codifica il messaggio con la propria chiave privata AUTENTICITA’ del documento codifica il messaggio con la chiave pubblica del destinatario e poi firma usando la propria chiave privata AUTENTICITA’ e RISERVATEZZA del documento NB: esistono chiavi diverse per realizzare questi scopi

  7. SMARTCARD con Microprocessore Chiave privata Per quanto detto è ovvio che esiste un problema di sicurezza della chiave privata. Il POSSESSO della chiave privata certifica la titolarità del sottoscrittore, la cui identità è accertata dal certificatore. In caso di smarrimento e/o pericolo di compromissione della chiave privata è necessario bloccare la relativa chiave pubblica!! Tutta l’implementazione della firma digitale potrebbe essere fatta con la chiave privata passata al proprietario su un floppy e quindi copiata in qualche cartella sul disco rigido. Ma quale sicurezza avremmo? Necessari dispositivi di firma SICURI (hw e sw), i.e. SMARTCARD protetta da un codice PIN

  8. Firma e chiavi asimmetriche Calcolo Hash sottoscrittore Lato sottoscrittore Chiave privata Busta PKCS#7 Documento + hash criptato con chiave privata del sottoscrittore Testo da firmare Consegna Se i due hash coincidono il sottoscrittore è CERTO e il documento NON ALTERATO Lato verificatore Hash sottoscrittore criptato Hash ricalcolato Testo in chiaro = ? Decodifica usando chiave pubblica del sottoscr. (da controllare su un directory di CA) Hash sott. in chiaro CA

  9. Una precisazione importante ATTENZIONE E’ altamente sconsigliabile la firma digitale di documenti contenente elementi variabili. Bisogna utilizzare, per i documenti da firmare digitalmente, formati il più possibile statici (rtf, pdf, text, tiff, etc.).   File che contengono elementi dinamici (macro, funzioni, script, etc.), che possono essere inseriti in alcuni tipi di documento informatico (.doc, .xls, etc.), potrebbero visualizzare contenuti differenti al momento della sottoscrizione e della successiva verifica

  10. Che cosa è la firma elettronica? La firma digitale ed elettronica sono il mezzo per garantire l'integrità del file firmato e la paternità del sottoscrittore. • FIRMA DIGITALE firma avanzata rilasciata da certificatore qualificato e con dispositivo sicuro Il documento ha la stessa valenza giuridica di quello autografo • FIRMA ELETTRONICA Garantisce l’autenticità • FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integrità

  11. Riepilogando... FIRMA DIGITALEIl documento ha la stessa valenza giuridica di quello autografo è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. [...] (La firma è rilasciata da un certificatore accreditato) FIRMA ELETTRONICAGarantisce l’autenticitàai sensi dell’articolo 2, comma 1, lettera a) , del decreto legislativo 23 gennaio 2002, n. 10, l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; FIRMA ELETTRONICA AVANZATAGarantisce autenticità e integrità ai sensi dell’articolo 2, comma 1, lettera g) , del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;

  12. Validità giuridica la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi e rilevanti a tutti gli effetti di legge, come una firma autografa. Se la natura della firma digitale non è conforme alla normativa (firma debole) la validità giuridica del documento è rimessa all’apprezzamento del giudice.

  13. La firma – tipologia di chiavi • chiavi di sottoscrizione - destinate alla generazione e verifica delle firme apposte e quindi utilizzate dal privato per firmare i suoi documenti (1024 bit) • chiavi di certificazione - destinate alla generazione e verifica delle firme apposte ai certificati, alle liste di revoca e a quelle di sostenzione. utilizzate dalla CA (2048 bit) • chiavi di marcatura temporale - destinate alla generazione e verifiche delle marche temporali. usate dalla CA (1024 bit)

  14. I tipi di certificati a chiave pubblica Di sottoscrizione – usati per la firma dei documenti Di autenticazione • per essere riconosciuti su web o per la firma elettronica Di crittografia • utilizzati per crittografare documenti Esempio (non più pertinente): Il registro dei certificati gestito da Postecert è raggiungibile all'indirizzo ldap://certificati.postecert.it

  15. I tipi di certificati a chiave pubblica • certificati personali per firma digitale • certificati personali, per firma digitale a valore legale • certificati personali, per posta elettronica S/MIME • certificati personali, per client web (browser) • certificati per server web • certificati per IPSEC e VPN • certificati per code signing • certificati autofirmati per le proprie chiavi pubbliche, ossia della CA stessa (certificati Root). • certificati per il sistema di marcatura temporale: • certificati autofirmati per le proprie chiavi pubbliche, ossia della TSA stessa. Esempio: su Windows, vedere Proprietà Internet e poi Certificati

  16. Interoperabilità Le norme tecniche definite dall’AIPA e recepite dalla legislazione vigente assicurano la INTEROPERABILITA’ dei certificati, firme etc.

  17. Il formato dei certificati a chiave pubblica • Il certificato è il mezzo che il destinatario usa per avere la garanzia sull’identità • del mittente (e per venire in possesso della chiave pubblica di quest’ultimo). • Il certificato contiene, oltre alla chiave pubblica per la verifica della firma, • anche i dati del titolare, è quindi garantito e firmato da una "terza parte fidata“ • (il certificatore). • Per la legge italiana deve contenere almeno i seguenti dati: • numero di serie del certificato; • ragione e denominazione sociale del certificatore; • codice identificativo del titolare presso il certificatore; • nome, cognome e data di nascita ovvero ragione • o denom. sociale del titolare; • valore della chiave pubblica; • algoritmi di generazione e verifica utilizzabili; • inizio e fine del periodo di validità delle chiavi; • algoritmo di sottoscrizione del certificato. • Il certificato è nel formato X.509 versione 4 e contiene una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.

  18. Meccanismi di revoca dei certificati La revoca consiste nell'inserimento del certificato in una lista di certificati non più validi, denominata CRL. Un certificato viene aggiunto alla lista di revoca dietro richiesta alla CA emittente da parte del titolare oppure su iniziativa della CA stessa. Può rendersi necessario revocare un certificato se:• il certificato è stato generato in modo errato rispetto alle informazioni che il titolare ha fornito al certificatore• vi sono fondate ragioni per ritenere che la chiave privata del titolare sia compromessa (persa?, copiata?)• si rilevino gravi errori nelle informazioni fornite dal titolare del certificato dopo che questi ha già accettato il proprio certificato• sia intervenuta una variazione significativa nei dati identificativi dell'ente che eroga il servizio di certificazione.

  19. Root Certificate Il root certificate è quello dell’AIPA Un certificato Root è il certificato autofirmato da una Certification Authority (CA). La chiave pubblica di questo certificato è usata per verificare la firma che la CA appone, mediante la chiave privata, a tutti i certificati da essa generati. Scaricando e accettando il certificato Root di una CA, l'utente dichiara la propria fiducia nella CA stessa e, conseguentemente, accetta la validità di tutti i certificati che essa può emettere.

  20. Servizi ausiliari: la marcatura temporale La marcatura temporale può essere richiesta alla TSA (Time Stamping Authority) secondo un preciso protocollo: • L'utente che ha bisogno della marca temporale per un documento calcola l'impronta del documento (hash del documento) e l'invia al server della TSA. • Il server della TSA riceve l'impronta, ne definisce il riferimento alla data/ora corrente e firma digitalmente la combinazione dei due dati. A questi elementi si aggiungono altre informazioni di controllo che costituiscono nel loro insieme la marca temporale da restituire all'utente. L'utente, una volta ricevuta la marca temporale, la conserva verificando:• la firma e il certificato della TSA• l'impronta contenuta nella marca temporale affinché corrisponda a quella inviata nella richiesta. Nel caso in cui venisse revocato il certificato di un firmatario di un documento, di cui si ha la marca temporale, è possibile determinare quando la firma è stata apposta, in particolare si riesce a determinare se ciò è avvenuto prima o dopo la revoca e definire quindi se si tratta di una firma affidabile.

  21. Architettura tecnica ed organizzativa di un sistema di certificazione • La firma autografa è immediatamente riconducibile all’identità di chi firma • Il DPR 513 ha introdotto il ruolo di Certification Authority (CA) come la terza parte preposta a garantire l’associazione tra l’identità del firmatario e la chiave pubblica del firmatario • Fasi previste per richiedere un certificato: • prenotazione presso una CA • riconoscimento fisico del richiedente • richiesta del certificato • rilascio del certificato (ed eventualmente del sw e hw necessario per il suo utilizzo)

  22. SMARTCARD con Microprocessore Supporto hardware per la firma digitale tramite smart-card ed acceleratori crittografici Carta d’identità elettronica • Smartcard a microprocessore • Sistema operativo • Un motore crittografico • Un file system dove sono inserite le informazioni • Lettore di smartcard da collegare ad un computer • Gli acceleratori crittografici sono dei dispositivi HARDWARE che consentono di liberare risorse di CPU occupandosi loro della cifratura/decifratura RSA (prestazioni dell’ordine di 100-1000 transazioni RSA a 1024 bit per secondo) • Struttura delle informazioni nel microprocessore della carta d’identità elettronica (file system della carta) http://www.aipa.it/attivita%5B2/carta%5B16/docum[1/SchemaSinteticoFScondescr.pdf • Specifiche del sistema operativo della carta http://www.aipa.it/attivita%5B2/carta%5B16/docum[1/SpecificaFinaleAPDU(1).zip

  23. La carta d’identità elettronica e la firma digitale • Scopo della carta d’identità: • riconoscimento di un individuo • a vista • per via elettronica • Dal sito dell’AIPA, alcuni interessanti documenti relativi alla carta d’identità elettronica • Il circuito di emissione Formato PDF (444 Kb) • Il processo di autenticazione in rete Formato PDF (249 Kb) • Interoperabilità tra carte e disaccoppiamento rispetto ai S.O. Formato PDF (22 Kb) • La carta di identità elettronica come documento sicuro di riconoscimento Formato PDF (20 Kb)

  24. Formati standard a supporto della firma digitale PKCS#7 è il formato standard dei documenti firmati (*.p7m) (ovvero costituisce la busta elettronica) Per maggiori informazioni vedere: http://www.rsasecurity.com/products/bsafe/whitepapers/IntroToPKCSstandards.pdf Descrizione degli standard RSA a supporto della firma digitale: PKCS # 1 The RSA encryption standard. This standard defines mechanisms for encrypting and signing data using the RSA public key system. PKCS # 3 The Diffie-Hellman key-agreement standard. This defines the Diffie-Hellman key agreement protocol. PKCS # 5 The password-based encryption standard (PBE). This describes a method to generate a Secret Key based on a password. PKCS # 6 The extended-certificate syntax standard. This is currently being phased out in favor of X509 v3. PKCS # 7 The cryptographic message syntax standard. This defines a generic syntax for messages which have cryptography applied to it. PKCS # 8 The private-key information syntax standard. This defines a method to store Private Key Information. PKCS # 9 This defines selected attribute types for use in other PKCS standards. PKCS # 10 The certification request syntax standard. This describes a syntax for certification requests. PKCS # 11 The cryptographic token interface standard. This defines a technology independent programming interface for cryptographic devices such as smartcards. PKCS # 12 The personal information exchange syntax standard. This describes a portable format for storage and transportation of user private keys, certificates etc. PKCS # 13 The elliptic curve cryptography standard. This describes mechanisms to encrypt and sign data using elliptic curve cryptography. PKCS # 14 This covers pseudo random number generation (PRNG). This is currently under active development. PKCS # 15 The cryptographic token information format standard. This describes a standard for the format of cryptographic credentials stored on cryptographic tokens.

  25. Formati standard a supporto della firma digitale PKCS#7 è il formato standard dei documenti firmati (*.p7m) costituisce la “busta elettronica” Include: • il messaggio • l’hash del messaggio firmato con la chiave privata dei sottoscrittore • la chiave pubblica del sottoscrittore firmata della chiave privata del certificatore (le chiavi pubbliche dei certificatori sono pubblicamente accessibili)

  26. Librerie di programmazione a supporto della firma digitale CryptoLib è una libreria di primitive per la costruzione di applicazioni crittografiche. E' caratterizzata da un'elevata portabilità, dal momento che è possibile utilizzarla su diverse versioni di Unix, ma anche su DOS, Windows 95 ed NT, etc... La CryptoLib è essenzialmente una libreria numerica che fornisce,tra gli altri, i seguenti servizi: • rappresentazioni numeriche (BigInt) di lunghezza arbitraria, operazioni sui BigInt, ovvero • operazioni aritmetiche • operazioni logiche • operazioni di shift • elevamento a potenza in modulo • calcolo del Massimo Comun Divisore con algoritmo di Euclide esteso • primitive di crittografia • DES e 3DES • RSA • SHA • Diffie-Hellman • MD2, MD4 ed MD5 • generazione di numeri primi e di sequenze pseudocasuali L'algoritmo SHA è uno standard americano pubblicato nel documento FIPS PUB (Federal Information Processing Standards Publication) 180-1. Per un messaggio di lunghezza inferiore a 264 bit, l'SHA-1 produce una rappresentazione condensata lunga 160 bit che prende il nome di digest.

  27. Il ruolo del directory Cos'è il servizio di directory di una CA? Il servizio di directory consente ad una CA di rendere disponibili pubblicamente i certificati emessi per i clienti del proprio servizio. In tal modo chiunque necessiti del certificato di una persona, ad esempio per inviarle una e-mail confidenziale, può ottenerlo accedendo liberamente al servizio di directory. Solitamente una CA utilizza il proprio servizio di directory anche per la pubblicazione della lista di revoca relativa ai certificati non più validi da essa emessi. Informazioni contenute nel registro dei certificati (art. 43, comma 1, DPCM 8/02/99) • Elenco di tutti i certificati emessi • Lista dei certificati revocati (CRL) • Lista dei certificati sospesi (CSL) Modalità di accesso al registro dei certificati • Internet Directory Server X.500 LDAP v.3

  28. Il ruolo del directory: esempio Giorno X Chiave pubblica appare nella CRL CRL tempo Mittente prepara una busta PKCS7: prima del giorno X Vi sono due possibilità affinchè il messaggio risulti attendibile CA Compromissione della chiave privata (smarrimento smartcard + PIN ?) Inserimento della chiave pubblica nella Certificate Revocation List della CA Il mittente INOLTRA il documento (firmato con la chiave attualmente compromessa) ma CON Time Stamp antecedente alla compromissione della chiave privata Il mittente INOLTRA il documento firmato PRIMA della compromissione della chiave privata

  29. Certezza della data IMPORTANTISSIMA risulta quindi la certezza della DATA. Come si può ottenere? 1) ricezione in data antecedente ad X 2) messaggio ha un TIME STAMP apposto da terzi fidati (TSA), NB: non ci si può certo fidare dell’orologio del computer del mittente. Questo infatti è facilmente modificabile!!

  30. Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale Alcuni esempi di applicativi per gestire documenti elettronici Verifica_CT http://www.ct.rupa.it/ Digital Sign http://www.comped.it/ Firma OK http://www.poste.it Signncrypt http://www.signncrypt.it/

  31. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Dal sito: http://www.interlex.it/ Decreto del Presidente della Repubblica 7 aprile 2003, n.137 - Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10 Ministero delle attività produttive - Decreto 20 marzo 2003 – Sperimentazione dell'invio telematico dei bilanci di esercizio delle società Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA 03.02.03 Allegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA 03.02.03 Direttiva sulla trasparenza dell'azione amministrativa e gestione elettronica dei flussi documentali – Ministro per l'innovazione e le tecnologie - 9 dicembre 2002 Conversione in legge, con modificazioni, del decreto-legge 25 ottobre 2002, n. 236, recante disposizioni urgenti in materia di termini legislativi in scadenza (Proroga dei termini per la presentazione dei documenti societari con firma digitale) Circolare del Ministero delle attività produttive 29 novembre 2002, n. 3553/C – Prime indicazioni attuative dell'art. 31,comma 2,della legge 24 novembre 2000, n. 340 così come modificato dall’art. 3, comma 13, della legge 28 dicembre 2001, n. 448 Decreto legislativo 23 gennaio 2002, n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche

  32. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Ministero delle attività produttive - Decreto 12 novembre 2001 – Modalità per la presentazione per via telematica o su supporto informatico degli atti di conversione in euro del capitale delle società al fine del deposito per l'iscrizione nel registro delle imprese Ministero delle attività produttive -  Circolare n. 3529/C del 30.10.2001 – Attuazione dell’articolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitale presso le Camere di commercio) Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - articolo 6, commi 1 e 2, del Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 29 dicembre 2000, n. 445 – Autorità per l'informatica nella pubblica amministrazione –Deliberazione n. 42/2001 Circolare del 21 giugno 2001, n. AIPA/CR/31 – Art. 7, comma 6, del decreto del Presidente del Consiglio dei ministri del 31 ottobre 2000, recante "Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428" - requisiti minimi di sicurezza dei sistemi operativi disponibili commercialmente Circolare 18 maggio 2001, n. AIPA/CR/29 – Art. 14, comma 2, del decreto del Presidente del Consiglio dei ministri dell'8 febbraio 1999: codici identificativi idonei per la verifica del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità per l'informatica nella pubblica amministrazione Circolare 7 maggio 2001, n. AIPA/CR/28 – Articolo 18, comma 2, del decreto del Presidente del Consiglio dei ministri 31 ottobre 2000 - Standard, modalità di trasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e associate ai documenti protocollati.

  33. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Decreto del Presidente del Consiglio dei ministri 20 aprile 2001 – Differimento del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999 Circolare del 16 febbraio 2001, n. AIPA/CR/27 – Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 – Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999 Deliberazione AIPA n. 51/2000 del 23 novembre 2000 – Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dell’art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000 – Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 Circolare 19 giugno 2000 n. AIPA/CR/24 - Linee guida per l'interoperabilità dei certificatori

  34. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Ministero della giustizia - Decreto 27 marzo 2000 n. 264 – Regolamento recante norme per la tenuta dei registri presso gli uffici giudiziari Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 – Gestione informatica dei flussi documentali nelle pubbliche amministrazioni Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 – Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della legge 16 giugno 1998, n. 191 Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22 – Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori Decreto del Presidente della Repubblica 8 marzo 1999, n. 70 – Regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell'articolo 4, comma 3, delle legge 16 giugno 1998, n. 191 Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513 Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 – Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche Deliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per l'uso di supporti ottici Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161 – Regolamento recante norme per l'individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendali delle banche e delle cause di sospensione

  35. La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 – Regolamento recante norme per l'organizzazione ed il funzionamento del Centro tecnico per l'assistenza ai soggetti che utilizzano la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17, comma 19, della Legge 15 maggio 1997, n. 127 Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 – Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici Legge 15 marzo 1997 n. 59, art. 15, comma 2 Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per il mandato informatico Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 – Rete unitaria della pubblica amministrazione

  36. Applicazioni pratiche della firma digitale • Diviene possibile per le Pubbliche amministrazioni, le imprese ed i privati scambiare documenti elettronici con la stessa validità dei corrispondenti documenti cartacei. • La firma digitale costituisce una componente importante per la Rete unitaria della Pubblica Amministrazione.

  37. Attenzione La normativa è ancora in fase di sviluppo In futuro anche gli aspetti tecnici saranno con tutta probabilità modificati e aggiornati....

  38. Glossario termini PKCS Public Key Cryptography Standards. Standard realizzati per assicurare l'interoperabilità delle tecniche crittografiche. Le componenti di questo standard sono numerate. Maggiori dettagli sugli standard PKCS implementati sono disponibili presso il sito http://www.rsa.com LDAP Lightweight Directory Access Protocol. Protocollo per utilizzato per accedere online a servizi di directory (in particolare servizi directory X.500) che possono contenere informazioni riguardo ad utenti e ad i loro certificati digitali. X.500 Insieme di standards ITU-T relativi a servizi di directory elettroniche. X.509 Standards ITU-T T relativi a certificati digitali. X.509 v3 si riferisce a certificati contenenti o in grado di contenere estensioni. Secure Sockets Layer (SSL) Protocollo originariamente sviluppato da Netscape, poi divenuto standard universale per l'autenticazione dei siti Web e per cifrare le comunicazioni tra i client (browsers) e i Web server. IPSec Insieme di standard aperti per assicurare comunicazioni private sicure nelle reti IP al livello network, che forniscono la crittazione a livello network. SHA-1 Secure Hash Algorithm (SHA), algoritmo specificato nel Secure Hash Standard (SHS, FIPS 180), sviluppato dal NIST [NIS93a]. SHA-1 [NIS94c] è una revisione del algoritmo SHA pubblicata nel 1994.

  39. Glossario termini AIPA - Autorità per l’Informatica nella Pubblica Amministrazione CA - certification authority – autorità di certificazione CSL - certificate suspension list – lista dei certificati sospesi CSR - certificate signing request CRL - certificate revocation list – lista dei certificati revocati FIPS - Federal Information Processing Standard FTP - File Transfer Protocol GMT - Greenwich Mean Time HTTP - Hypertext Transfer Protocol HTTPS - Hypertext Transfer Protocol con SSL ISO - International Standard Organization ITSEC - Information Technology Security Evaluation Criteria LDAP - Lightweight Directory Access Protocol LRA - local registration authority – autorità di registrazione locale LRAA - local registration authority administrator – amministratore LRA POP - Point of Presence PIN - personal identification number PKCS - Public Key Cryptography Standards PKI - public key infrastructure – infrastruttura a chiave pubblica RDS - Relative Distinguished Name RPA - Relying Party Agreement RSA - sistema crittografico Rivest-Shamir-Adleman SET - Secure Electronic Transaction S/MIME - Secure Multipurpose Internet Mail Extensions SSL - Secure Sockets Layer TSA - Time Stamping Authority URL - uniform resource locator WWW - World Wide Web X.509 - specifica ITU-T in materia di certificazione e relativo framework di autenticazione

  40. Bibliografia-Sitografia Solo alcuni punti di partenza. In rete si trova ovviamente molto di più... Directory server LDAP Per esempio: ldap://certificati.postecert.it La firma elettronica in Italia: • Autorità per l’informatica nella pubblica amministrazione AIPA • http://www.aipa.it • Elenco pubblico certificatori attivi • http://www.aipa.it/attivita%5B2/certifica%5B17/ • Centro tecnico della Presidenza del Consiglio dei Ministri • http://www.ct.rupa.it/ • Esempi di manualistica • http://www.poste.it/online/postecert/ • http://www.poste.it/online/postecert/manualeoperativo.zip • Firma elettronica: tecnologie e standard • http://www.aipa.it/attivita%5B2/standard%5B5/archiviazioneottica%5B1/firmaweb.asp • Dal sito di interlex, molti articoli su leggi e diritto relativo alla firma digitale • http://www.interlex.it/docdigit/indice.htm

  41. Bibliografia-Sitografia • Alcuni certificatori attivi in Italia • Enel http://www.enel.it/enelit/index.asp • CA Actalis http://www.actalis.it/ • http://www.card.infocamere.it/ • Buffetti http://www.buffettifin.it/http://www.comped.it/ • http://www.signncrypt.it/ • http://www.regione.emilia-romagna.it/firma.digitale/ • Sugli standard etc. • http://www.rsasecurity.com/rsalabs/pkcs RSA • Sugli hash • http://www.cs.columbia.edu/~hgs/teaching/security/slides/hashes1.pdf • Software per varie piattaforme • http://opensignature.sourceforge.net/ linux • http://www.macitynet.it/macity/aA11467/index.shtml apple • Guida all’uso della firma digitale http://www.poste.it/online/postecert/guida_pratica.zip

More Related