F. Toschi

Sicurezza dei dati e delle applicazioni:

documenti elettronici e firma digitale

Corso tenuto pressoIstituto per le Applicazioni del

CalcoloCNR

F. Toschi

1. Introduzione alle problematiche della firma digitale 2. Il formato dei certificati a chiave pubblica 3. Meccanismi di revoca dei certificati 4. Servizi ausiliari 5. Architettura tecnica ed organizzativa di un sistema di certificazione 6. Supporto hardware per la firma digitale tramite smart-card ed

acceleratori crittografici 7. Formati standard a supporto della firma digitale 8. Librerie di programmazione a supporto della firma digitale 9. Il ruolo del directory 10. Applicativi per la generazione e la gestione dei documenti elettronici

con firma digitale 11. La legislazione Italiana ed Europea in materia di documenti elettronici

e firma digitale 12. Applicazioni pratiche della firma digitale 13. Glossario termini 14. Bibliografia-Sitografia

Sicurezza dei dati e delle applicazioni: documenti elettronici e firma digitale

F. Toschi

Il concetto di firma

La firma è legata ad un individuo

Firmare un documento significa accettarne volontariamente il contenuto

F. Toschi

La firma digitale usa la crittografia asimmetrica come strumento. La firma digitale si prefigge i seguenti obiettivi:

certezza del sottoscrittore

non modificabilità del messaggio originale

il sottoscrittore non può negare di aver firmato, nè il ricevente di disconoscere la firma del sottoscrittore

Eventualmente la certezza del momento in cui è stata apposta l’apposita

NON RIPUDIO

INTEGRITA’

AUTENTICITA’

Introduzione alle problematiche della firma digitale

MARCA TEMPORALE o riferimento temporale (normativa AIPA 42/2001)

F. Toschi

Richiami su crittografia a chiavi asimmetriche

Ideata da Diffie-Hellman, utilizza una coppia di chiavi:

• Privata – nota solo all’autore del messaggio• Pubblica – nota a tutti (esistono delle directory

consultabili da chiunque, NB: questo per la firma

non è più vero per questioni di privacy)

Il processo crittografico si basa sui due seguenti capisaldi:

A) Il messaggio cifrato con la chiave privata può essere messo in chiaro SOLO attraverso l’utilizzo della corrispettiva chiave pubblica

B) da una tipologia di chiave (per esempio quella pubblica) non si può risalire in alcun modo all’altra chiave (per esempio quella privata)

F. Toschi

Richiami su crittografia a chiavi asimmetriche

codifica il messaggio con la chiave pubblica del

destinatario

Se il mittente risultato

codifica il messaggio con la propria chiave privata

codifica il messaggio con lachiave pubblica del

destinatario e poi firmausando la propria chiave

privata

RISERVATEZZA solo il proprietario della chiave

privata può leggere il documento

AUTENTICITA’ del documento

AUTENTICITA’ e

RISERVATEZZA del documento

NB: esistono chiavi diverse per realizzare questi scopi

F. Toschi

Chiave privata

SMARTCARD con Microprocessore

Per quanto detto è ovvio che esiste un problema di sicurezza della chiave privata.

Il POSSESSO della chiave privata certifica la titolarità del sottoscrittore, la cui identità è accertata dal certificatore.

In caso di smarrimento e/o pericolo di compromissione della chiave privata è necessario bloccare la relativa chiave pubblica!! Tutta l’implementazione della firma digitale

potrebbe essere fatta con la chiave privata passata al proprietario su un floppy e quindi copiata in qualche cartella sul disco rigido.

Ma quale sicurezza avremmo?

Necessari dispositivi di firma SICURI (hw e sw), i.e. SMARTCARD protetta da un codice PIN

F. Toschi

Firma e chiavi asimmetriche

Chiave privata

Testo da firmare

Calcolo Hash sottoscrittore

Documento + hash criptato con chiave privata del sottoscrittore

Testo in chiaro

Hash sottoscrittorecriptato

Hash ricalcolato

Decodifica usando chiave pubblica del sottoscr. (da controllare su un directory di CA)

Se i due hash coincidonoil sottoscrittore è CERTO eil documento NON ALTERATO

Hash sott. in chiaro

= ?

Lato sottoscrittore

Lato verificatore

Consegna

Busta PKCS#7

CA

F. Toschi

Una precisazione importante

ATTENZIONE   E’ altamente sconsigliabile la firma digitale di documenticontenente elementi variabili. Bisogna utilizzare, per idocumenti da firmare digitalmente, formati il più possibilestatici (rtf, pdf, text, tiff, etc.).  

File che contengono elementi dinamici (macro, funzioni, script,

etc.), che possono essere inseriti in alcuni tipi di documentoinformatico (.doc, .xls, etc.), potrebbero visualizzare contenutidifferenti al momento della sottoscrizione e della successivaverifica

F. Toschi

Che cosa è la firma elettronica?La firma digitale ed elettronica sono il mezzo per garantire l'integrità del file firmato e

la paternità del sottoscrittore.

• FIRMA DIGITALEfirma avanzata rilasciata da certificatore qualificato e con

dispositivo sicuroIl documento ha la stessa valenza giuridica di quello autografo

• FIRMA ELETTRONICA Garantisce l’autenticità

• FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integrità

F. Toschi

Riepilogando...

FIRMA DIGITALE Il documento ha la stessa valenza giuridica di quello

autografoè un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e

una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. [...] (La firma è rilasciata da un certificatore accreditato)

FIRMA ELETTRONICA Garantisce l’autenticitàai sensi dell’articolo 2, comma 1, lettera a) , del decreto legislativo 23 gennaio 2002, n. 10, l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;

FIRMA ELETTRONICA AVANZATA Garantisce autenticità e integritàai sensi dell’articolo 2, comma 1, lettera g) , del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;

FIRMA ELETTRONICA QUALIFICATAla firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;

F. Toschi

Validità giuridica

la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi

e rilevanti a tutti gli effetti di legge, come una firma autografa.

Se la natura della firma digitale non è conforme alla normativa (firma debole) la validità giuridica del documento è rimessa

all’apprezzamento del giudice.

F. Toschi

La firma – tipologia di chiavi

• chiavi di sottoscrizione - destinate alla generazione e verifica delle firme apposte e quindi utilizzate dal privato per firmare i suoi documenti (1024 bit)

• chiavi di certificazione - destinate alla generazione e verifica delle firme apposte ai certificati, alle liste di revoca e a quelle di sostenzione. utilizzate dalla CA (2048 bit)

• chiavi di marcatura temporale - destinate alla generazione e verifiche delle marche temporali. usate dalla CA (1024 bit)

F. Toschi

I tipi di certificati a chiave pubblica Di sottoscrizione

– usati per la firma dei documentiDi autenticazione

– per essere riconosciuti su web o per la firma elettronica

Di crittografia– utilizzati per crittografare documenti

Esempio (non più pertinente):Il registro dei certificati gestito da Postecert è

raggiungibile all'indirizzo ldap://certificati.postecert.it

F. Toschi

I tipi di certificati a chiave pubblica

• certificati personali per firma digitale• certificati personali, per firma digitale a valore legale• certificati personali, per posta elettronica S/MIME• certificati personali, per client web (browser) • certificati per server web• certificati per IPSEC e VPN• certificati per code signing• certificati autofirmati per le proprie chiavi pubbliche, ossia della CA stessa

(certificati Root). • certificati per il sistema di marcatura temporale:• certificati autofirmati per le proprie chiavi pubbliche, ossia della TSA

stessa.

Esempio: su Windows, vedere Proprietà Internet e poi Certificati

F. Toschi

Interoperabilità

Le norme tecniche definite dall’AIPA e recepite dalla legislazione vigente assicurano la

INTEROPERABILITA’

dei certificati, firme etc.

F. Toschi

Il certificato è il mezzo che il destinatario usa per avere la garanzia sull’identità del mittente (e per venire in possesso della chiave pubblica di quest’ultimo).

Il certificato contiene, oltre alla chiave pubblica per la verifica della firma, anche i dati del titolare, è quindi garantito e firmato da una "terza parte fidata“ (il certificatore).

Per la legge italiana deve contenere almeno i seguenti dati:

•numero di serie del certificato; •ragione e denominazione sociale del certificatore; •codice identificativo del titolare presso il certificatore; •nome, cognome e data di nascita ovvero ragione

o denom. sociale del titolare; •valore della chiave pubblica; •algoritmi di generazione e verifica utilizzabili; •inizio e fine del periodo di validità delle chiavi; •algoritmo di sottoscrizione del certificato. Il certificato è nel formato X.509 versione 4 e contiene una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.

Il formato dei certificati a chiave pubblica

F. Toschi

Meccanismi di revoca dei certificati

La revoca consiste nell'inserimento del certificato in una lista di certificati non più validi, denominata CRL. Un certificato viene aggiunto alla lista di revoca dietro richiesta alla CA emittente da parte del titolare oppure su iniziativa della CA stessa.

Può rendersi necessario revocare un certificato se:• il certificato è stato generato in modo errato rispetto alle informazioni che il titolare ha fornito al certificatore• vi sono fondate ragioni per ritenere che la chiave privata del titolare sia compromessa (persa?, copiata?)• si rilevino gravi errori nelle informazioni fornite dal titolare del certificato dopo che questi ha già accettato il proprio certificato• sia intervenuta una variazione significativa nei dati identificativi dell'ente che eroga il servizio di certificazione.

F. Toschi

Root Certificate

Un certificato Root è il certificato autofirmato da una Certification Authority (CA). La chiave pubblica di questo certificato è usata per verificare la firma che la CA appone, mediante la chiave privata, a tutti i certificati da essa generati.

Scaricando e accettando il certificato Root di una CA, l'utente dichiara la propria fiducia nella CA stessa e, conseguentemente, accetta la validità di tutti i certificati che essa può emettere.

Il root certificate è quello dell’AIPA

F. Toschi

Servizi ausiliari: la marcatura temporaleLa marcatura temporale può essere richiesta alla TSA (Time Stamping

Authority) secondo un preciso protocollo:• L'utente che ha bisogno della marca temporale per un documento calcola

l'impronta del documento (hash del documento) e l'invia al server della TSA.

• Il server della TSA riceve l'impronta, ne definisce il riferimento alla data/ora corrente e firma digitalmente la combinazione dei due dati. A questi elementi si aggiungono altre informazioni di controllo che costituiscono nel loro insieme la marca temporale da restituire all'utente.

L'utente, una volta ricevuta la marca temporale, la conserva verificando:• la firma e il certificato della TSA• l'impronta contenuta nella marca temporale affinché corrisponda a quella inviata nella richiesta.

Nel caso in cui venisse revocato il certificato di un firmatario di un documento, di cui si ha la marca temporale, è possibile determinare quando la firma è stata apposta, in particolare si riesce a determinare se ciò è avvenuto prima o dopo la revoca e definire quindi se si tratta di una firma affidabile.

F. Toschi

Architettura tecnica ed organizzativa di un sistema di certificazione

• La firma autografa è immediatamente riconducibile all’identità di chi firma

• Il DPR 513 ha introdotto il ruolo di Certification Authority (CA) come la terza parte preposta a garantire l’associazione tra l’identità del firmatario e la chiave pubblica del firmatario

• Fasi previste per richiedere un certificato:– prenotazione presso una CA– riconoscimento fisico del richiedente– richiesta del certificato– rilascio del certificato (ed eventualmente del sw e hw

necessario per il suo utilizzo)

F. Toschi

• Smartcard a microprocessore• Sistema operativo• Un motore crittografico• Un file system dove sono inserite

le informazioni

• Lettore di smartcard da collegare ad un computer• Gli acceleratori crittografici sono dei dispositivi HARDWARE che

consentono di liberare risorse di CPU occupandosi loro della cifratura/decifratura RSA (prestazioni dell’ordine di 100-1000 transazioni RSA a 1024 bit per secondo)

• Struttura delle informazioni nel microprocessore della carta d’identità elettronica (file system della carta)http://www.aipa.it/attivita%5B2/carta%5B16/docum[1/

SchemaSinteticoFScondescr.pdf

• Specifiche del sistema operativo della cartahttp://www.aipa.it/attivita%5B2/carta%5B16/docum[1/SpecificaFinaleAPDU(1).zip

Supporto hardware per la firma digitale tramite smart-card ed acceleratori

crittografici

SMARTCARD con Microprocessore

Carta d’identità elettronica

F. Toschi

La carta d’identità elettronica e la firma digitale

Dal sito dell’AIPA, alcuni interessanti documenti relativi alla carta d’identità elettronica

•Il circuito di emissione Formato PDF (444 Kb)

•Il processo di autenticazione in rete Formato PDF (249 Kb)

•Interoperabilità tra carte e disaccoppiamento rispetto ai S.O. Formato PDF (22 Kb)

•La carta di identità elettronica come documento sicuro di riconoscimento Formato PDF (20 Kb)

Scopo della carta d’identità:

riconoscimento di un individuo1. a vista2. per via elettronica

F. Toschi

Formati standard a supporto della firma digitalePKCS#7 è il formato standard dei documenti firmati (*.p7m) (ovvero costituisce la busta elettronica)

Per maggiori informazioni vedere: http://www.rsasecurity.com/products/bsafe/whitepapers/IntroToPKCSstandards.pdf

Descrizione degli standard RSA a supporto della firma digitale: PKCS # 1 The RSA encryption standard. This standard defines mechanisms for encrypting and signing data

using the RSA public key system. PKCS # 3 The Diffie-Hellman key-agreement standard. This defines the Diffie-Hellman key agreement

protocol. PKCS # 5 The password-based encryption standard (PBE). This describes a method to generate a Secret Key

based on a password. PKCS # 6 The extended-certificate syntax standard. This is currently being phased out in favor of X509 v3. PKCS # 7 The cryptographic message syntax standard. This defines a generic syntax for messages which

have cryptography applied to it. PKCS # 8 The private-key information syntax standard. This defines a method to store Private Key

Information. PKCS # 9 This defines selected attribute types for use in other PKCS standards. PKCS # 10 The certification request syntax standard. This describes a syntax for certification requests. PKCS # 11 The cryptographic token interface standard. This defines a technology independent programming

interface for cryptographic devices such as smartcards. PKCS # 12 The personal information exchange syntax standard. This describes a portable format for storage

and transportation of user private keys, certificates etc. PKCS # 13 The elliptic curve cryptography standard. This describes mechanisms to encrypt and sign data using

elliptic curve cryptography. PKCS # 14 This covers pseudo random number generation (PRNG). This is currently under active development. PKCS # 15 The cryptographic token information format standard. This describes a standard for the format of

cryptographic credentials stored on cryptographic tokens.

F. Toschi

Formati standard a supporto della firma digitale

PKCS#7 è il formato standard dei documenti firmati (*.p7m)

costituisce la “busta elettronica”

Include:1. il messaggio2. l’hash del messaggio firmato con la chiave privata dei

sottoscrittore3. la chiave pubblica del sottoscrittore firmata della

chiave privata del certificatore

(le chiavi pubbliche dei certificatori sono pubblicamente accessibili)

F. Toschi

Librerie di programmazione a supporto della firma digitale CryptoLib è una libreria di primitive per la costruzione di applicazioni crittografiche. E'

caratterizzata da un'elevata portabilità, dal momento che è possibile utilizzarla su diverse versioni di Unix, ma anche su DOS, Windows 95 ed NT, etc...     

La CryptoLib è essenzialmente una libreria numerica che fornisce,tra gli altri, i seguenti servizi: • rappresentazioni numeriche (BigInt) di lunghezza arbitraria, operazioni sui BigInt, ovvero

o operazioni aritmeticheo operazioni logicheo operazioni di shifto elevamento a potenza in moduloo calcolo del Massimo Comun Divisore con algoritmo di Euclide esteso

• primitive di crittografia• DES e 3DES• RSA• SHA• Diffie-Hellman• MD2, MD4 ed MD5• generazione di numeri primi e di sequenze pseudocasuali L'algoritmo SHA è uno standard americano pubblicato nel documento FIPS PUB (Federal

Information Processing StandardsPublication) 180-1. Per un messaggio di lunghezza inferiore a 264 bit, l'SHA-1 produce una

rappresentazione condensatalunga 160 bit che prende il nome di digest.

F. Toschi

Il ruolo del directory Cos'è il servizio di directory di una CA?

Il servizio di directory consente ad una CA di rendere disponibili pubblicamente i certificati emessi per i clienti del proprio servizio. In tal modo chiunque necessiti del certificato di una persona, ad esempio per inviarle una e-mail confidenziale, può ottenerlo accedendo liberamente al servizio di directory.

Solitamente una CA utilizza il proprio servizio di directory anche per la pubblicazione della lista di revoca relativa ai certificati non più validi da essa emessi.

Informazioni contenute nel registro dei certificati (art. 43, comma 1, DPCM 8/02/99)– Elenco di tutti i certificati emessi– Lista dei certificati revocati (CRL)– Lista dei certificati sospesi (CSL)

Modalità di accesso al registro dei certificati– Internet Directory Server X.500 LDAP v.3

F. Toschi

Il ruolo del directory: esempio

Mittente prepara una busta PKCS7: prima del giorno X

Vi sono due possibilità affinchè il messaggio risulti attendibile

CAtempo

Compromissione della chiave privata (smarrimento smartcard + PIN ?)Inserimento della chiave pubblica nella Certificate Revocation List della CA

Giorno X

CRLChiave pubblica appare nella CRL

Il mittente INOLTRAil documento (firmato con la chiaveattualmente compromessa) ma CONTime Stamp antecedente alla compromissione della chiave privata

Il mittente INOLTRA il documento firmato PRIMA della compromissione della chiave privata

F. Toschi

IMPORTANTISSIMA risulta quindi la certezza della DATA.

Come si può ottenere?

1) ricezione in data antecedente ad X

2) messaggio ha un TIME STAMP apposto da terzi fidati (TSA),

NB: non ci si può certo fidare dell’orologio del computer del mittente. Questo infatti è facilmente modificabile!!

Certezza della data

F. Toschi

Applicativi per la generazione e la gestione dei documenti elettronici con firma digitale

Alcuni esempi di applicativi per gestire documenti elettronici

Verifica_CT http://www.ct.rupa.it/

Digital Sign http://www.comped.it/

Firma OK http://www.poste.it

Signncrypt http://www.signncrypt.it/

F. Toschi

La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

Decreto del Presidente della Repubblica 7 aprile 2003, n.137 -Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del

decreto

legislativo 23 gennaio 2002, n. 10

Ministero delle attività produttive - Decreto 20 marzo 2003 – Sperimentazione dell'invio telematico dei bilanci di esercizio delle società

Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata – CT RUPA 03.02.03

Allegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata –

CT RUPA 03.02.03

Direttiva sulla trasparenza dell'azione amministrativa e gestione elettronica dei flussi documentali – Ministro per l'innovazione e le tecnologie - 9 dicembre 2002

Conversione in legge, con modificazioni, del decreto-legge 25 ottobre 2002, n. 236 , recante disposizioni urgenti in materia di termini legislativi in scadenza (Proroga dei termini per la presentazione dei

documenti societari con firma digitale)

Circolare del Ministero delle attività produttive 29 novembre 2002, n. 3553/C – Prime indicazioni attuative dell'art. 31,comma 2,della legge 24 novembre 2000, n. 340 così come modificato dall’art. 3,

comma 13, della legge 28 dicembre 2001, n. 448

Decreto legislativo 23 gennaio 2002, n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche

Dal sito: http://www.interlex.it/

F. Toschi

Ministero delle attività produttive - Decreto 12 novembre 2001 – Modalità per la presentazione per via telematica o su supporto informatico degli atti di conversione in euro del

capitaledelle società al fine del deposito per l'iscrizione nel registro delle imprese

Ministero delle attività produttive -  Circolare n. 3529/C del 30.10.2001 – Attuazione dell’articolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitalepresso le Camere di commercio)

Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - articolo 6, commi 1 e 2, del Testo unico delle disposizioni legislativee regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente dellaRepubblica 29 dicembre 2000, n. 445 –

Autorità per l'informatica nella pubblica amministrazione –Deliberazione n. 42/2001

Circolare del 21 giugno 2001, n. AIPA/CR/31 – Art. 7, comma 6, del decreto del Presidente del Consiglio dei ministri del 31 ottobre 2000, recante "Regole tecnicheper il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428" - requisiti

minimidi sicurezza dei sistemi operativi disponibili commercialmente

Circolare 18 maggio 2001, n. AIPA/CR/29 – Art. 14, comma 2, del decreto del Presidente del Consiglio dei ministri dell'8 febbraio 1999: codici identificativi idoneiper la verifica del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità per l'informatica nellapubblica amministrazione

Circolare 7 maggio 2001, n. AIPA/CR/28 – Articolo 18, comma 2, del decreto del Presidente del Consiglio dei ministri 31 ottobre 2000 - Standard, modalità ditrasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra lepubbliche amministrazioni e associate ai documenti protocollati.

La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

F. Toschi

Decreto del Presidente del Consiglio dei ministri 20 aprile 2001 – Differimento del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regoletecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999

Circolare del 16 febbraio 2001, n. AIPA/CR/27 – Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nellePubbliche Amministrazioni

Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processoamministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione

Decreto del Presidente della Repubblica 13 febbraio 2001, n. 123 – Regolamento recante disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processoamministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei conti – Relazione

Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa

Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 – Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecnichedi cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999

Deliberazione AIPA n. 51/2000 del 23 novembre 2000 – Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni aisensi dell’art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513

Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000 – Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428

Circolare 19 giugno 2000 n. AIPA/CR/24 - Linee guida per l'interoperabilità dei certificatori

La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

F. Toschi

Ministero della giustizia - Decreto 27 marzo 2000 n. 264 – Regolamento recante norme per la tenuta dei registri presso gli uffici giudiziari

Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 – Gestione informatica dei flussi documentali nelle pubbliche amministrazioni

Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 – Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento diidentità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato

dall'articolo2, comma 4, della legge 16 giugno 1998, n. 191

Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22 – Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori

Decreto del Presidente della Repubblica 8 marzo 1999, n. 70 – Regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell'articolo 4, comma 3, dellelegge 16 giugno 1998, n. 191

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione,anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente dellaRepubblica, 10 novembre 1997, n. 513

Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 – Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche

Deliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per l'uso di supporti ottici

Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161 – Regolamento recante norme per l'individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendalidelle banche e delle cause di sospensione

La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

F. Toschi

Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 – Regolamento recante norme per l'organizzazione ed il funzionamento del Centro tecnico per l'assistenza ai soggetti cheutilizzano la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17, comma 19, della Legge 15 maggio1997, n. 127

Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 – Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici

Legge 15 marzo 1997 n. 59, art. 15, comma 2

Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione – Regole tecniche per il mandato informatico

Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 – Rete unitaria della pubblica amministrazione

La legislazione Italiana ed Europea in materia di documenti elettronici e firma digitale

F. Toschi

Applicazioni pratiche della firma digitale

• Diviene possibile per le Pubbliche amministrazioni, le imprese ed i privati scambiare documenti elettronici con la stessa validità dei corrispondenti documenti cartacei.

• La firma digitale costituisce una componente importante per la Rete unitaria della Pubblica Amministrazione.

F. Toschi

Attenzione

La normativa è ancora in fase di sviluppo

In futuro anche gli aspetti tecnici saranno con tutta probabilità modificati e aggiornati....

F. Toschi

Glossario termini PKCS

Public Key Cryptography Standards. Standard realizzati per assicurare l'interoperabilità delle tecniche crittografiche. Le componenti di questo standard sono numerate. Maggiori dettagli sugli standard PKCS implementati sono disponibili presso il sito http://www.rsa.com

LDAP

Lightweight Directory Access Protocol. Protocollo per utilizzato per accedere online a servizi di directory (in particolare servizi directory X.500) che possono contenere informazioni riguardo ad utenti e ad i loro certificati digitali.

X.500

Insieme di standards ITU-T relativi a servizi di directory elettroniche.

X.509

Standards ITU-T T relativi a certificati digitali. X.509 v3 si riferisce a certificati contenenti o in grado di contenere estensioni.

Secure Sockets Layer (SSL)

Protocollo originariamente sviluppato da Netscape, poi divenuto standard universale per l'autenticazione dei siti Web e per cifrare le comunicazioni tra i client (browsers) e i Web server.

IPSec

Insieme di standard aperti per assicurare comunicazioni private sicure nelle reti IP al livello network, che forniscono la crittazione a livello network.

SHA-1

Secure Hash Algorithm (SHA), algoritmo specificato nel Secure Hash Standard (SHS, FIPS 180), sviluppato dal NIST [NIS93a]. SHA-1 [NIS94c] è una revisione del algoritmo SHA pubblicata nel 1994.

F. Toschi

AIPA - Autorità per l’Informatica nella Pubblica Amministrazione

CA - certification authority – autorità di certificazione

CSL - certificate suspension list – lista dei certificati sospesi

CSR - certificate signing request

CRL - certificate revocation list – lista dei certificati revocati

FIPS - Federal Information Processing Standard

FTP - File Transfer Protocol GMT - Greenwich Mean Time

HTTP - Hypertext Transfer Protocol HTTPS - Hypertext Transfer Protocol con SSL

ISO - International Standard Organization

ITSEC - Information Technology Security Evaluation Criteria

LDAP - Lightweight Directory Access Protocol

LRA - local registration authority – autorità di registrazione locale

LRAA - local registration authority administrator – amministratore LRA

POP - Point of Presence

PIN - personal identification number

PKCS - Public Key Cryptography Standards

PKI - public key infrastructure – infrastruttura a chiave pubblica

RDS - Relative Distinguished Name

RPA - Relying Party Agreement

RSA - sistema crittografico Rivest-Shamir-Adleman

SET - Secure Electronic Transaction

S/MIME - Secure Multipurpose Internet Mail Extensions

SSL - Secure Sockets Layer

TSA - Time Stamping Authority

URL - uniform resource locator

WWW - World Wide Web

X.509 - specifica ITU-T in materia di certificazione e relativo framework di autenticazione

Glossario termini

F. Toschi

Bibliografia-SitografiaSolo alcuni punti di partenza. In rete si trova ovviamente molto di più...Directory server LDAP Per esempio: ldap://certificati.postecert.it

La firma elettronica in Italia:

• Autorità per l’informatica nella pubblica amministrazione AIPA– http://www.aipa.it– Elenco pubblico certificatori attivi– http://www.aipa.it/attivita%5B2/certifica%5B17/

• Centro tecnico della Presidenza del Consiglio dei Ministri– http://www.ct.rupa.it/

• Esempi di manualistica– http://www.poste.it/online/postecert/– http://www.poste.it/online/postecert/manualeoperativo.zip

• Firma elettronica: tecnologie e standard– http://www.aipa.it/attivita%5B2/standard%5B5/archiviazioneottica%5B1/firmaweb.asp

• Dal sito di interlex, molti articoli su leggi e diritto relativo alla firma digitale– http://www.interlex.it/docdigit/indice.htm

F. Toschi

Bibliografia-Sitografia•Alcuni certificatori attivi in Italia

•Enel http://www.enel.it/enelit/index.asp•CA Actalis http://www.actalis.it/

http://www.card.infocamere.it/•Buffetti http://www.buffettifin.it/http://www.comped.it/

http://www.signncrypt.it/http://www.regione.emilia-romagna.it/firma.digitale/

Sugli standard etc.•http://www.rsasecurity.com/rsalabs/pkcs RSA

•Sugli hash•http://www.cs.columbia.edu/~hgs/teaching/security/slides/hashes1.pdf

•Software per varie piattaforme•http://opensignature.sourceforge.net/ linux•http://www.macitynet.it/macity/aA11467/index.shtml apple

•Guida all’uso della firma digitale http://www.poste.it/online/postecert/guida_pratica.zip