F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso...
-
Upload
piero-marra -
Category
Documents
-
view
222 -
download
3
Transcript of F. Toschi Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale Corso...
F. Toschi
Sicurezza dei dati e delle applicazioni:
documenti elettronici e firma digitale
Corso tenuto pressoIstituto per le Applicazioni del
CalcoloCNR
F. Toschi
1. Introduzione alle problematiche della firma digitale 2. Il formato dei certificati a chiave pubblica 3. Meccanismi di revoca dei certificati 4. Servizi ausiliari 5. Architettura tecnica ed organizzativa di un sistema di certificazione 6. Supporto hardware per la firma digitale tramite smart-card ed
acceleratori crittografici 7. Formati standard a supporto della firma digitale 8. Librerie di programmazione a supporto della firma digitale 9. Il ruolo del directory 10. Applicativi per la generazione e la gestione dei documenti elettronici
con firma digitale 11. La legislazione Italiana ed Europea in materia di documenti elettronici
e firma digitale 12. Applicazioni pratiche della firma digitale 13. Glossario termini 14. Bibliografia-Sitografia
Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale
F. Toschi
Il concetto di firma
La firma è legata ad un individuo
Firmare un documento significa accettarne volontariamente il contenuto
F. Toschi
La firma digitale usa la crittografia asimmetrica come strumento. La firma digitale si prefigge i seguenti obiettivi:
certezza del sottoscrittore
non modificabilità del messaggio originale
il sottoscrittore non può negare di aver firmato, nè il ricevente di disconoscere la firma del sottoscrittore
Eventualmente la certezza del momento in cui è stata apposta l’apposita
NON RIPUDIO
INTEGRITA’
AUTENTICITA’
Introduzione alle problematiche della firma digitale
MARCA TEMPORALE o riferimento temporale (normativa AIPA 42/2001)
F. Toschi
Richiami su crittografia a chiavi asimmetriche
Ideata da Diffie-Hellman, utilizza una coppia di chiavi:
• Privata – nota solo all’autore del messaggio• Pubblica – nota a tutti (esistono delle directory
consultabili da chiunque, NB: questo per la firma
non è più vero per questioni di privacy)
Il processo crittografico si basa sui due seguenti capisaldi:
A) Il messaggio cifrato con la chiave privata può essere messo in chiaro SOLO attraverso l’utilizzo della corrispettiva chiave pubblica
B) da una tipologia di chiave (per esempio quella pubblica) non si può risalire in alcun modo all’altra chiave (per esempio quella privata)
F. Toschi
Richiami su crittografia a chiavi asimmetriche
codifica il messaggio con la chiave pubblica del
destinatario
Se il mittente risultato
codifica il messaggio con la propria chiave privata
codifica il messaggio con lachiave pubblica del
destinatario e poi firmausando la propria chiave
privata
RISERVATEZZA solo il proprietario della chiave
privata può leggere il documento
AUTENTICITA’ del documento
AUTENTICITA’ e
RISERVATEZZA del documento
NB: esistono chiavi diverse per realizzare questi scopi
F. Toschi
Chiave privata
SMARTCARD con Microprocessore
Per quanto detto è ovvio che esiste un problema di sicurezza della chiave privata.
Il POSSESSO della chiave privata certifica la titolarità del sottoscrittore, la cui identità è accertata dal certificatore.
In caso di smarrimento e/o pericolo di compromissione della chiave privata è necessario bloccare la relativa chiave pubblica!! Tutta l’implementazione della firma digitale
potrebbe essere fatta con la chiave privata passata al proprietario su un floppy e quindi copiata in qualche cartella sul disco rigido.
Ma quale sicurezza avremmo?
Necessari dispositivi di firma SICURI (hw e sw), i.e. SMARTCARD protetta da un codice PIN
F. Toschi
Firma e chiavi asimmetriche
Chiave privata
Testo da firmare
Calcolo Hash sottoscrittore
Documento + hash criptato con chiave privata del sottoscrittore
Testo in chiaro
Hash sottoscrittorecriptato
Hash ricalcolato
Decodifica usando chiave pubblica del sottoscr. (da controllare su un directory di CA)
Se i due hash coincidonoil sottoscrittore è CERTO eil documento NON ALTERATO
Hash sott. in chiaro
= ?
Lato sottoscrittore
Lato verificatore
Consegna
Busta PKCS#7
CA
F. Toschi
Una precisazione importante
ATTENZIONE E’ altamente sconsigliabile la firma digitale di documenticontenente elementi variabili. Bisogna utilizzare, per idocumenti da firmare digitalmente, formati il più possibilestatici (rtf, pdf, text, tiff, etc.).
File che contengono elementi dinamici (macro, funzioni, script,
etc.), che possono essere inseriti in alcuni tipi di documentoinformatico (.doc, .xls, etc.), potrebbero visualizzare contenutidifferenti al momento della sottoscrizione e della successivaverifica
F. Toschi
Che cosa è la firma elettronica?La firma digitale ed elettronica sono il mezzo per garantire l'integrità del file firmato e
la paternità del sottoscrittore.
• FIRMA DIGITALEfirma avanzata rilasciata da certificatore qualificato e con
dispositivo sicuroIl documento ha la stessa valenza giuridica di quello autografo
• FIRMA ELETTRONICA Garantisce l’autenticità
• FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integrità
F. Toschi
Riepilogando...
FIRMA DIGITALE Il documento ha la stessa valenza giuridica di quello
autografoè un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e
una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. [...] (La firma è rilasciata da un certificatore accreditato)
FIRMA ELETTRONICA Garantisce l’autenticitàai sensi dell’articolo 2, comma 1, lettera a) , del decreto legislativo 23 gennaio 2002, n. 10, l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integritàai sensi dell’articolo 2, comma 1, lettera g) , del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
FIRMA ELETTRONICA QUALIFICATAla firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;
F. Toschi
Validità giuridica
la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi
e rilevanti a tutti gli effetti di legge, come una firma autografa.
Se la natura della firma digitale non è conforme alla normativa (firma debole) la validità giuridica del documento è rimessa
all’apprezzamento del giudice.
F. Toschi
La firma – tipologia di chiavi
• chiavi di sottoscrizione - destinate alla generazione e verifica delle firme apposte e quindi utilizzate dal privato per firmare i suoi documenti (1024 bit)
• chiavi di certificazione - destinate alla generazione e verifica delle firme apposte ai certificati, alle liste di revoca e a quelle di sostenzione. utilizzate dalla CA (2048 bit)
• chiavi di marcatura temporale - destinate alla generazione e verifiche delle marche temporali. usate dalla CA (1024 bit)
F. Toschi
I tipi di certificati a chiave pubblica Di sottoscrizione
– usati per la firma dei documentiDi autenticazione
– per essere riconosciuti su web o per la firma elettronica
Di crittografia– utilizzati per crittografare documenti
Esempio (non più pertinente):Il registro dei certificati gestito da Postecert è
raggiungibile all'indirizzo ldap://certificati.postecert.it
F. Toschi
I tipi di certificati a chiave pubblica
• certificati personali per firma digitale• certificati personali, per firma digitale a valore legale• certificati personali, per posta elettronica S/MIME• certificati personali, per client web (browser) • certificati per server web• certificati per IPSEC e VPN• certificati per code signing• certificati autofirmati per le proprie chiavi pubbliche, ossia della CA stessa
(certificati Root). • certificati per il sistema di marcatura temporale:• certificati autofirmati per le proprie chiavi pubbliche, ossia della TSA
stessa.
Esempio: su Windows, vedere Proprietà Internet e poi Certificati
F. Toschi
Interoperabilità
Le norme tecniche definite dall’AIPA e recepite dalla legislazione vigente assicurano la
INTEROPERABILITA’
dei certificati, firme etc.
F. Toschi
Il certificato è il mezzo che il destinatario usa per avere la garanzia sull’identità del mittente (e per venire in possesso della chiave pubblica di quest’ultimo).
Il certificato contiene, oltre alla chiave pubblica per la verifica della firma, anche i dati del titolare, è quindi garantito e firmato da una "terza parte fidata“ (il certificatore).
Per la legge italiana deve contenere almeno i seguenti dati:
•numero di serie del certificato; •ragione e denominazione sociale del certificatore; •codice identificativo del titolare presso il certificatore; •nome, cognome e data di nascita ovvero ragione
o denom. sociale del titolare; •valore della chiave pubblica; •algoritmi di generazione e verifica utilizzabili; •inizio e fine del periodo di validità delle chiavi; •algoritmo di sottoscrizione del certificato. Il certificato è nel formato X.509 versione 4 e contiene una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.
Il formato dei certificati a chiave pubblica
F. Toschi
Meccanismi di revoca dei certificati
La revoca consiste nell'inserimento del certificato in una lista di certificati non più validi, denominata CRL. Un certificato viene aggiunto alla lista di revoca dietro richiesta alla CA emittente da parte del titolare oppure su iniziativa della CA stessa.
Può rendersi necessario revocare un certificato se:• il certificato è stato generato in modo errato rispetto alle informazioni che il titolare ha fornito al certificatore• vi sono fondate ragioni per ritenere che la chiave privata del titolare sia compromessa (persa?, copiata?)• si rilevino gravi errori nelle informazioni fornite dal titolare del certificato dopo che questi ha già accettato il proprio certificato• sia intervenuta una variazione significativa nei dati identificativi dell'ente che eroga il servizio di certificazione.
F. Toschi
Root Certificate
Un certificato Root è il certificato autofirmato da una Certification Authority (CA). La chiave pubblica di questo certificato è usata per verificare la firma che la CA appone, mediante la chiave privata, a tutti i certificati da essa generati.
Scaricando e accettando il certificato Root di una CA, l'utente dichiara la propria fiducia nella CA stessa e, conseguentemente, accetta la validità di tutti i certificati che essa può emettere.
Il root certificate è quello dell’AIPA
F. Toschi
Servizi ausiliari: la marcatura temporaleLa marcatura temporale può essere richiesta alla TSA (Time Stamping
Authority) secondo un preciso protocollo:• L'utente che ha bisogno della marca temporale per un documento calcola
l'impronta del documento (hash del documento) e l'invia al server della TSA.
• Il server della TSA riceve l'impronta, ne definisce il riferimento alla data/ora corrente e firma digitalmente la combinazione dei due dati. A questi elementi si aggiungono altre informazioni di controllo che costituiscono nel loro insieme la marca temporale da restituire all'utente.
L'utente, una volta ricevuta la marca temporale, la conserva verificando:• la firma e il certificato della TSA• l'impronta contenuta nella marca temporale affinché corrisponda a quella inviata nella richiesta.
Nel caso in cui venisse revocato il certificato di un firmatario di un documento, di cui si ha la marca temporale, è possibile determinare quando la firma è stata apposta, in particolare si riesce a determinare se ciò è avvenuto prima o dopo la revoca e definire quindi se si tratta di una firma affidabile.
F. Toschi
Architettura tecnica ed organizzativa di un sistema di certificazione
• La firma autografa è immediatamente riconducibile all’identità di chi firma
• Il DPR 513 ha introdotto il ruolo di Certification Authority (CA) come la terza parte preposta a garantire l’associazione tra l’identità del firmatario e la chiave pubblica del firmatario
• Fasi previste per richiedere un certificato:– prenotazione presso una CA– riconoscimento fisico del richiedente– richiesta del certificato– rilascio del certificato (ed eventualmente del sw e hw
necessario per il suo utilizzo)
F. Toschi
• Smartcard a microprocessore• Sistema operativo• Un motore crittografico• Un file system dove sono inserite
le informazioni
• Lettore di smartcard da collegare ad un computer• Gli acceleratori crittografici sono dei dispositivi HARDWARE che
consentono di liberare risorse di CPU occupandosi loro della cifratura/decifratura RSA (prestazioni dell’ordine di 100-1000 transazioni RSA a 1024 bit per secondo)
• Struttura delle informazioni nel microprocessore della carta d’identità elettronica (file system della carta)http://www.aipa.it/attivita%5B2/carta%5B16/docum[1/
SchemaSinteticoFScondescr.pdf
• Specifiche del sistema operativo della cartahttp://www.aipa.it/attivita%5B2/carta%5B16/docum[1/SpecificaFinaleAPDU(1).zip
Supporto hardware per la firma digitale tramite smart-card ed acceleratori
crittografici
SMARTCARD con Microprocessore
Carta d’identità elettronica
F. Toschi
La carta d’identità elettronica e la firma digitale
Dal sito dell’AIPA, alcuni interessanti documenti relativi alla carta d’identità elettronica
•Il circuito di emissione Formato PDF (444 Kb)
•Il processo di autenticazione in rete Formato PDF (249 Kb)
•Interoperabilità tra carte e disaccoppiamento rispetto ai S.O. Formato PDF (22 Kb)
•La carta di identità elettronica come documento sicuro di riconoscimento Formato PDF (20 Kb)
Scopo della carta d’identità:
riconoscimento di un individuo1. a vista2. per via elettronica
F. Toschi
Formati standard a supporto della firma digitalePKCS#7 è il formato standard dei documenti firmati (*.p7m) (ovvero costituisce la busta elettronica)
Per maggiori informazioni vedere: http://www.rsasecurity.com/products/bsafe/whitepapers/IntroToPKCSstandards.pdf
Descrizione degli standard RSA a supporto della firma digitale: PKCS # 1 The RSA encryption standard. This standard defines mechanisms for encrypting and signing data
using the RSA public key system. PKCS # 3 The Diffie-Hellman key-agreement standard. This defines the Diffie-Hellman key agreement
protocol. PKCS # 5 The password-based encryption standard (PBE). This describes a method to generate a Secret Key
based on a password. PKCS # 6 The extended-certificate syntax standard. This is currently being phased out in favor of X509 v3. PKCS # 7 The cryptographic message syntax standard. This defines a generic syntax for messages which
have cryptography applied to it. PKCS # 8 The private-key information syntax standard. This defines a method to store Private Key
Information. PKCS # 9 This defines selected attribute types for use in other PKCS standards. PKCS # 10 The certification request syntax standard. This describes a syntax for certification requests. PKCS # 11 The cryptographic token interface standard. This defines a technology independent programming
interface for cryptographic devices such as smartcards. PKCS # 12 The personal information exchange syntax standard. This describes a portable format for storage
and transportation of user private keys, certificates etc. PKCS # 13 The elliptic curve cryptography standard. This describes mechanisms to encrypt and sign data using
elliptic curve cryptography. PKCS # 14 This covers pseudo random number generation (PRNG). This is currently under active development. PKCS # 15 The cryptographic token information format standard. This describes a standard for the format of
cryptographic credentials stored on cryptographic tokens.
F. Toschi
Formati standard a supporto della firma digitale
PKCS#7 è il formato standard dei documenti firmati (*.p7m)
costituisce la “busta elettronica”
Include:1. il messaggio2. l’hash del messaggio firmato con la chiave privata dei
sottoscrittore3. la chiave pubblica del sottoscrittore firmata della
chiave privata del certificatore
(le chiavi pubbliche dei certificatori sono pubblicamente accessibili)
F. Toschi
Librerie di programmazione a supporto della firma digitale CryptoLib è una libreria di primitive per la costruzione di applicazioni crittografiche. E'
caratterizzata da un'elevata portabilità, dal momento che è possibile utilizzarla su diverse versioni di Unix, ma anche su DOS, Windows 95 ed NT, etc...
La CryptoLib è essenzialmente una libreria numerica che fornisce,tra gli altri, i seguenti servizi: • rappresentazioni numeriche (BigInt) di lunghezza arbitraria, operazioni sui BigInt, ovvero
o operazioni aritmeticheo operazioni logicheo operazioni di shifto elevamento a potenza in moduloo calcolo del Massimo Comun Divisore con algoritmo di Euclide esteso
• primitive di crittografia• DES e 3DES• RSA• SHA• Diffie-Hellman• MD2, MD4 ed MD5• generazione di numeri primi e di sequenze pseudocasuali L'algoritmo SHA è uno standard americano pubblicato nel documento FIPS PUB (Federal
Information Processing StandardsPublication) 180-1. Per un messaggio di lunghezza inferiore a 264 bit, l'SHA-1 produce una
rappresentazione condensatalunga 160 bit che prende il nome di digest.
F. Toschi
Il ruolo del directory Cos'è il servizio di directory di una CA?
Il servizio di directory consente ad una CA di rendere disponibili pubblicamente i certificati emessi per i clienti del proprio servizio. In tal modo chiunque necessiti del certificato di una persona, ad esempio per inviarle una e-mail confidenziale, può ottenerlo accedendo liberamente al servizio di directory.
Solitamente una CA utilizza il proprio servizio di directory anche per la pubblicazione della lista di revoca relativa ai certificati non più validi da essa emessi.
Informazioni contenute nel registro dei certificati (art. 43, comma 1, DPCM 8/02/99)– Elenco di tutti i certificati emessi– Lista dei certificati revocati (CRL)– Lista dei certificati sospesi (CSL)
Modalità di accesso al registro dei certificati– Internet Directory Server X.500 LDAP v.3
F. Toschi
Il ruolo del directory: esempio
Mittente prepara una busta PKCS7: prima del giorno X
Vi sono due possibilità affinchè il messaggio risulti attendibile
CAtempo
Compromissione della chiave privata (smarrimento smartcard + PIN ?)Inserimento della chiave pubblica nella Certificate Revocation List della CA
Giorno X
CRLChiave pubblica appare nella CRL
Il mittente INOLTRAil documento (firmato con la chiaveattualmente compromessa) ma CONTime Stamp antecedente alla compromissione della chiave privata
Il mittente INOLTRA il documento firmato PRIMA della compromissione della chiave privata
F. Toschi
IMPORTANTISSIMA risulta quindi la certezza della DATA.
Come si può ottenere?
1) ricezione in data antecedente ad X
2) messaggio ha un TIME STAMP apposto da terzi fidati (TSA),
NB: non ci si può certo fidare dell’orologio del computer del mittente. Questo infatti è facilmente modificabile!!
Certezza della data
F. Toschi
Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale
Alcuni esempi di applicativi per gestire documenti elettronici
Verifica_CT http://www.ct.rupa.it/
Digital Sign http://www.comped.it/
Firma OK http://www.poste.it
Signncrypt http://www.signncrypt.it/
F. Toschi
La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale
Decreto del Presidente della Repubblica 7 aprile 2003, n.137 -Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del
decreto
legislativo 23 gennaio 2002, n. 10
Ministero delle attività produttive - Decreto 20 marzo 2003 – Sperimentazione dell'invio telematico dei bilanci di esercizio delle società
Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA 03.02.03
Allegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata –
CT RUPA 03.02.03
Direttiva sulla trasparenza dell'azione amministrativa e gestione elettronica dei flussi documentali – Ministro per l'innovazione e le tecnologie - 9 dicembre 2002
Conversione in legge, con modificazioni, del decreto-legge 25 ottobre 2002, n. 236 , recante disposizioni urgenti in materia di termini legislativi in scadenza (Proroga dei termini per la presentazione dei
documenti societari con firma digitale)
Circolare del Ministero delle attività produttive 29 novembre 2002, n. 3553/C – Prime indicazioni attuative dell'art. 31,comma 2,della legge 24 novembre 2000, n. 340 così come modificato dall’art. 3,
comma 13, della legge 28 dicembre 2001, n. 448
Decreto legislativo 23 gennaio 2002, n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche
Dal sito: http://www.interlex.it/
F. Toschi
Ministero delle attività produttive - Decreto 12 novembre 2001 – Modalità per la presentazione per via telematica o su supporto informatico degli atti di conversione in euro del
capitaledelle società al fine del deposito per l'iscrizione nel registro delle imprese
Ministero delle attività produttive - Circolare n. 3529/C del 30.10.2001 – Attuazione dell’articolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitalepresso le Camere di commercio)
Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - articolo 6, commi 1 e 2, del Testo unico delle disposizioni legislativee regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente dellaRepubblica 29 dicembre 2000, n. 445 –
Autorità per l'informatica nella pubblica amministrazione –Deliberazione n. 42/2001
Circolare del 21 giugno 2001, n. AIPA/CR/31 – Art. 7, comma 6, del decreto del Presidente del Consiglio dei ministri del 31 ottobre 2000, recante "Regole tecnicheper il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428" - requisiti
minimidi sicurezza dei sistemi operativi disponibili commercialmente
Circolare 18 maggio 2001, n. AIPA/CR/29 – Art. 14, comma 2, del decreto del Presidente del Consiglio dei ministri dell'8 febbraio 1999: codici identificativi idoneiper la verifica del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità per l'informatica nellapubblica amministrazione
Circolare 7 maggio 2001, n. AIPA/CR/28 – Articolo 18, comma 2, del decreto del Presidente del Consiglio dei ministri 31 ottobre 2000 - Standard, modalità ditrasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra lepubbliche amministrazioni e associate ai documenti protocollati.
La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale
F. Toschi
Decreto del Presidente del Consiglio dei ministri 20 aprile 2001 – Differimento del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regoletecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999
Circolare del 16 febbraio 2001, n. AIPA/CR/27 – Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nellePubbliche Amministrazioni
Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processoamministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione
Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processoamministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione
Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa
Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 – Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecnichedi cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999
Deliberazione AIPA n. 51/2000 del 23 novembre 2000 – Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni aisensi dell’art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513
Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000 – Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428
Circolare 19 giugno 2000 n. AIPA/CR/24 - Linee guida per l'interoperabilità dei certificatori
La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale
F. Toschi
Ministero della giustizia - Decreto 27 marzo 2000 n. 264 – Regolamento recante norme per la tenuta dei registri presso gli uffici giudiziari
Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 – Gestione informatica dei flussi documentali nelle pubbliche amministrazioni
Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 – Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento diidentità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato
dall'articolo2, comma 4, della legge 16 giugno 1998, n. 191
Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22 – Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori
Decreto del Presidente della Repubblica 8 marzo 1999, n. 70 – Regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell'articolo 4, comma 3, dellelegge 16 giugno 1998, n. 191
Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione,anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente dellaRepubblica, 10 novembre 1997, n. 513
Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 – Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche
Deliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per l'uso di supporti ottici
Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161 – Regolamento recante norme per l'individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendalidelle banche e delle cause di sospensione
La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale
F. Toschi
Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 – Regolamento recante norme per l'organizzazione ed il funzionamento del Centro tecnico per l'assistenza ai soggetti cheutilizzano la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17, comma 19, della Legge 15 maggio1997, n. 127
Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 – Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici
Legge 15 marzo 1997 n. 59, art. 15, comma 2
Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per il mandato informatico
Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 – Rete unitaria della pubblica amministrazione
La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale
F. Toschi
Applicazioni pratiche della firma digitale
• Diviene possibile per le Pubbliche amministrazioni, le imprese ed i privati scambiare documenti elettronici con la stessa validità dei corrispondenti documenti cartacei.
• La firma digitale costituisce una componente importante per la Rete unitaria della Pubblica Amministrazione.
F. Toschi
Attenzione
La normativa è ancora in fase di sviluppo
In futuro anche gli aspetti tecnici saranno con tutta probabilità modificati e aggiornati....
F. Toschi
Glossario termini PKCS
Public Key Cryptography Standards. Standard realizzati per assicurare l'interoperabilità delle tecniche crittografiche. Le componenti di questo standard sono numerate. Maggiori dettagli sugli standard PKCS implementati sono disponibili presso il sito http://www.rsa.com
LDAP
Lightweight Directory Access Protocol. Protocollo per utilizzato per accedere online a servizi di directory (in particolare servizi directory X.500) che possono contenere informazioni riguardo ad utenti e ad i loro certificati digitali.
X.500
Insieme di standards ITU-T relativi a servizi di directory elettroniche.
X.509
Standards ITU-T T relativi a certificati digitali. X.509 v3 si riferisce a certificati contenenti o in grado di contenere estensioni.
Secure Sockets Layer (SSL)
Protocollo originariamente sviluppato da Netscape, poi divenuto standard universale per l'autenticazione dei siti Web e per cifrare le comunicazioni tra i client (browsers) e i Web server.
IPSec
Insieme di standard aperti per assicurare comunicazioni private sicure nelle reti IP al livello network, che forniscono la crittazione a livello network.
SHA-1
Secure Hash Algorithm (SHA), algoritmo specificato nel Secure Hash Standard (SHS, FIPS 180), sviluppato dal NIST [NIS93a]. SHA-1 [NIS94c] è una revisione del algoritmo SHA pubblicata nel 1994.
F. Toschi
AIPA - Autorità per l’Informatica nella Pubblica Amministrazione
CA - certification authority – autorità di certificazione
CSL - certificate suspension list – lista dei certificati sospesi
CSR - certificate signing request
CRL - certificate revocation list – lista dei certificati revocati
FIPS - Federal Information Processing Standard
FTP - File Transfer Protocol GMT - Greenwich Mean Time
HTTP - Hypertext Transfer Protocol HTTPS - Hypertext Transfer Protocol con SSL
ISO - International Standard Organization
ITSEC - Information Technology Security Evaluation Criteria
LDAP - Lightweight Directory Access Protocol
LRA - local registration authority – autorità di registrazione locale
LRAA - local registration authority administrator – amministratore LRA
POP - Point of Presence
PIN - personal identification number
PKCS - Public Key Cryptography Standards
PKI - public key infrastructure – infrastruttura a chiave pubblica
RDS - Relative Distinguished Name
RPA - Relying Party Agreement
RSA - sistema crittografico Rivest-Shamir-Adleman
SET - Secure Electronic Transaction
S/MIME - Secure Multipurpose Internet Mail Extensions
SSL - Secure Sockets Layer
TSA - Time Stamping Authority
URL - uniform resource locator
WWW - World Wide Web
X.509 - specifica ITU-T in materia di certificazione e relativo framework di autenticazione
Glossario termini
F. Toschi
Bibliografia-SitografiaSolo alcuni punti di partenza. In rete si trova ovviamente molto di più...Directory server LDAP Per esempio: ldap://certificati.postecert.it
La firma elettronica in Italia:
• Autorità per l’informatica nella pubblica amministrazione AIPA– http://www.aipa.it– Elenco pubblico certificatori attivi– http://www.aipa.it/attivita%5B2/certifica%5B17/
• Centro tecnico della Presidenza del Consiglio dei Ministri– http://www.ct.rupa.it/
• Esempi di manualistica– http://www.poste.it/online/postecert/– http://www.poste.it/online/postecert/manualeoperativo.zip
• Firma elettronica: tecnologie e standard– http://www.aipa.it/attivita%5B2/standard%5B5/archiviazioneottica%5B1/firmaweb.asp
• Dal sito di interlex, molti articoli su leggi e diritto relativo alla firma digitale– http://www.interlex.it/docdigit/indice.htm
F. Toschi
Bibliografia-Sitografia•Alcuni certificatori attivi in Italia
•Enel http://www.enel.it/enelit/index.asp•CA Actalis http://www.actalis.it/
http://www.card.infocamere.it/•Buffetti http://www.buffettifin.it/http://www.comped.it/
http://www.signncrypt.it/http://www.regione.emilia-romagna.it/firma.digitale/
Sugli standard etc.•http://www.rsasecurity.com/rsalabs/pkcs RSA
•Sugli hash•http://www.cs.columbia.edu/~hgs/teaching/security/slides/hashes1.pdf
•Software per varie piattaforme•http://opensignature.sourceforge.net/ linux•http://www.macitynet.it/macity/aA11467/index.shtml apple
•Guida all’uso della firma digitale http://www.poste.it/online/postecert/guida_pratica.zip