Upload
aruba-spa
View
1.968
Download
1
Embed Size (px)
Citation preview
Le diverse tipologie di Firme Elettronichegli aggiornamenti normativi, casi d’uso e nuove opportunità
Ing. Andrea SassettiDirettore Servizi di CertificazioneGruppo Aruba
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
Il Gruppo ArubaUna storia d’innovazione e d’investimenti
Aruba PEC S.p.A ed Actalis S.p.A., società del Gruppo Aruba S.p.A., sono Autorità di Certificazione iscritte all'Elenco Pubblico dei Certificatori accreditati dall’Agenzia per l’Italia Digitale (ex DigitPA), nonché Gestori accreditati di Posta Elettronica Certificata (PEC)
Offerta di Servizi di Certificazione per tutte le Società, Enti e Pubbliche Amministrazioni:
Posta Elettronica Certificata Firma digitale (Smart Card, Token USB) Firma Remota, Automatica/Massiva Firma Elettronica Avanzata (Biometrica, Grafometrica, …) Carta Nazionale dei Servizi (CNS) Strong Authentication (CNS, OTP,:..) Marche Temporali Conservazione sostitutiva Infrastrutture PKI …
ArubaPEC ed ActalisServizi di Certificazione erogati dal Gruppo Aruba
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
Firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
non viene specificata tecnologia da adottare (non ci sono standard tecnologici di riferimento)
non deve essere necessariamente un Ente Certificatore ad offrire tali soluzioni non interoperabile
Firma Digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
Certificato qualificato -> Enti Certificatori accreditati standard tecnologico ben definito non è specificato se utilizzare un dispositivo sicuro di firma -> nelle regole tecniche è
invece previsto
interoperabilità
Le Firme ElettronicheCome vengono definite e loro efficacia probatoria
Firma Elettronica Qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
Certificato qualificato -> Enti Certificatori accreditati standard tecnologico ben definito richiesto l'utilizzo di un dispositivo sicuro di firma (smart card, token usb, HSM) Interoperabilità
Le Firme ElettronicheCome vengono definite e loro efficacia probatoria
Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.
Firma Qualifi
cata
Firma Elettronica Firma Elettronica Avanzata
Firma Grafometrica Firma Digitale
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
ArubaPEC CA Internet
Prov
isio
ning
Sys
tem
HA System & Monitor
HSM
HSM SignatureMiddleware Sito remoto
(es. Filiale/Cliente)
HSM
HSM SignatureMiddleware
ArubaRemoteSigningServer
Utente
App/WebApp
La Firma RemotaSoluzioni di Firma Elettronica Qualificata
Utente
ARSS: componente software che semplifica l'integrazione della Firma Remota con le Applicazioni
Servizi offerti:
Firma Remota
Firma Automatica/Massiva
Strong Authentication
Marcatura Temporale
Verifica Firma/Marca
Firma Elettronica Avanzata (coerentemente con quanto
previsto dalle regole tecniche)
ArubaRemoteSigningServer
La Firma Remota – Integrazione ApplicativaSoluzioni di Firma Elettronica Qualificata
Aruba ID Server
Aruba ID Server: interamente sviluppato da Aruba
Consente l'integrazione di vari sistemi di Strong Authentication, quali:
sistemi OTP forniti da Aruba (basati sui protocolli del consorzio OATH) quali, ad esempio
Token OTP con Display Token OTP USB Mobile OTP (sw) per dispositive mobile quali
iPhone, Blackberry, Android, Java phone OTP SMS
Token OTP brand VASCOintegrazione di altre soluzioni di autenticazione forte che il Cliente volesse adottare in futuro
integrazione di soluzioni di riconoscimento biometrico del Titolare quali la firma biometrica (grafometrica)
La Firma Remota – Sistemi di strong Auth.Soluzioni di Firma Elettronica Qualificata
La Firma RemotaSoluzioni di Firma Elettronica Qualificata
Multidevice: PC, Tablet, Smartphone, …
Integrazione semplice e veloce: qualsiasi applicazione può integrare facilmente le funzionalità di firma remota (ed altre offerte dall’infrastruttura)
Architettura flessibile: personalizzazioni in funzione di specifiche esigenze del Cliente
Servizio offerto in outsourcing o installato presso l’infrastruttura IT del Cliente (in house)
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
Regole Tecniche
Art. 55 (Disposizioni generali), comma 1: La realizzazione di soluzioni di firma elettronica
avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva
Art. 56 (Caratteristiche delle soluzioni di firma elettronica avanzata), comma 1: Le
soluzioni di firma elettronica avanzata garantiscono:
a) l’identificazione del firmatario del documento
b) la connessione univoca della firma al firmatario
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati
biometrici eventualmente utilizzati per la generazione della firma medesima
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche
dopo l’apposizione della firma
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a)
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti,
fatti o dati nello stesso rappresentati
h) la connessione univoca della firma al documento sottoscritto
Firma Elettronica Avanzataun processo di firma…
Regole Tecniche (segue)
Art. 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata),
comma 1: I soggetti di cui all’articolo 55, comma 2, lettera a) devono:
a) identificare in modo certo l’utente tramite un valido documento di riconoscimento,
informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa
ogni eventuale limitazione dell'uso, subordinare l’attivazione del servizio alla
sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte
dell’utente;
b) conservare per almeno venti anni copia del documento di riconoscimento e la
dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare
l’ottemperanza a quanto previsto all’articolo 56, comma 1, garantendone la disponibilità,
integrità, leggibilità e autenticità;
Art. 58 (Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi)
I soggetti che offrono una soluzione di firma elettronica avanzata alle pubbliche
amministrazioni devono essere in possesso della certificazione di conformità del proprio
sistema di gestione per la sicurezza delle informazioni ad essi relative alla norma ISO/IEC
27001 ed avere la certificazione di conformità del proprio sistema di qualità alla norma ISO
9001.
Firma Elettronica Avanzataun processo di firma…
Regole Tecniche (segue)
Art. 60 (Limiti d’uso della firma elettronica avanzata), comma 1: La firma elettronica
avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è
utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il
soggetto di cui all’articolo 55, comma 2, lettera a)
Art. 61 (Soluzioni di firma elettronica avanzata)
comma 1. L’invio tramite posta elettronica certificata ..... sostituisce, nei confronti della
pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole
tecniche.
comma 2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi,
del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e
degli altri strumenti ad essi conformi sostituisce ..... la firma elettronica avanzata ai sensi
delle presenti regole tecniche per i servizi e le attività
comma 6. ... al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata,
DigitPa elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica
avanzata conformi alle presenti regole tecniche
Firma Elettronica Avanzataun processo di firma…
Firma Elettronica Avanzataun processo di firma…
FEA
infrastrutture a chiave pubblica(certificati digitali) Firma grafometrica
….
Firma Elettronica Avanzatabasata su infrastrutture a chiave pubblica
Firma Elettronica Avanzatabasata su tecnologie grafometriche
La Firma Grafometrica (biometrica) è una tecnologia che consente di apporre, nei documenti informatici, una Firma Elettronica Avanzata
La Firma Grafometrica rispetta pienamente quanto previsto dalle regole tecniche per la
Firma Elettronica Avanzata, garantendo:
l’identificazione del firmatario del documento
la connessione univoca dei dati di firma al firmatario
il controllo esclusivo del firmatario del sistema di generazione della firma
la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito
modifiche dopo l’apposizione della firma (integrità della firma)
la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
La ”identificazione biometrica della firma” avviene
riconoscendo parametri grafometrici quali velocità,
pressione, ritmo, accelerazione, movimento
09380923847483..4823 +
*
Firma Elettronica Avanzatabasata su tecnologie grafometriche
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
Aruba fornisce Servizi di Autenticazione forte sia “as a service” (outsourcing) che
installate presso l’infrastruttura IT del Cliente
Il sistema consente l'utilizzo di un qualsiasi sistema di strong authentication tra quelli da
noi proposti :
Aruba Call
Aruba Call plus
Aruba SMS
Aruba SMS Plus
Token OTP (display) , basato sui protocolli del consorzio OATH
Token OTP USB, basato sui protocolli del consorzio OATH
Client OTP Mobile
Carta Nazionale dei Servizi (CNS)
Browser sicuro su TokenUSB
Per la fruizione di tali servizi di autenticazione Aruba mette a disposizione semplici
interfacce (tipicamente webservice) che rendono estremamente facile l’integrazione con
gli applicativi cliente.
Strong Authentication
Aruba OTP - Differenti Soluzioni OTP in grado di soddisfare le varie esigenze dei Clienti:
OTP di tipo hardware (display OTP, USB OTP, Display Card,..)
OTP Mobile (iOS, Android, BlackBerry, JavaPhone)
OTP sw (librerie per integrazione con le applicazioni del Cliente)
OTP brand di mercato (Vasco, RSA, Verisign VIP, …)
Strong Authentication - Soluzioni OTP
ArubaCall
Massima semplicità d’uso
Zero costi telefonici
Impatti per l’integrazione: minimi
ArubaCall: vantaggi della soluzione
Non richiede la distribuzione di dispositivi (es. token OTP) agli utenti
Non esposta ad attacchi di mobile impersonation (caller ID spoofing)
Nessun costo telefonico a carico dell'utente finale
Semplicità e velocità
Strong Authentication – Aruba Call
Aruba SMS
Codice OTP OATH
Costi telefonici per invio SMS all’utente
Impatti per l’integrazione: bassi
Aruba SMS Plus
Autenticazione della transazione
Costi telefonici per invio SMS all’utente
Impatti per l’integrazione: modesti
Strong Authentication – Aruba SMS - SMS Plus
Il Cliente può scegliere una qualsiasi delle soluzioni offerte, selezionando
per ciascun utente quale sistema di autenticazione forte adottare
Singola Interfaccia (Web Service) per l’integrazione di tutte le soluzioni di
Strong Authentication offerte, così da avere il minor impatto sugli
applicativi attualmente in uso
Possiamo offrire il servizio di Strong Authentication sia in modalità
Outsourcing che “in casa” del Cliente
Strong Authentication
Flessibilità delle nostre soluzioni
Il Gruppo Aruba
Le Firme Elettroniche
La Firma Qualificata e la Firma Remota
La Firma Elettronica Avanzata
Strong Authentication
Il Contrassegno Elettronico
Contenuti della Presentazione
Contrassegno ElettronicoContesto normativo e definizione
Il “Contrassegno elettronico” è regolamentato da quanto disposto nell’articolo 23-ter, comma 5 del vigente Codice dell’Amministrazione Digitale, Decreto Legislativo 7 marzo 2005, n. 82, che recita:
“Sulle copie analogiche di documenti amministrativi informatici può essere
apposto a stampa un contrassegno, sulla base dei criteri definiti con linee guida
dell'Agenzia per l'Italia Digitale, tramite il quale è possibile ottenere il documento
informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il
contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la
sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con
sottoscrizione autografa del medesimo documento informatico. I programmi software
eventualmente necessari alla verifica sono di libera e gratuita disponibilità.”
Nell’ambito delle "Linee guida per il contrassegno generato elettronicamente ai sensi
dell’articolo 23-ter, comma 5 del CAD" per contrassegno generato elettronicamente si
intende:
“una sequenza di bit, codificata mediante una tecnica grafica e idonea a
rappresentare un documento amministrativo informatico o un suo estratto o una sua
copia o un suo duplicato o i suoi dati identificativi. A tutti gli effetti di legge sostituisce
la sottoscrizione autografa della copia analogica.”
Contrassegno ElettronicoScenari d’uso
Contrassegno generato elettronicamente contenente i dati identificativi del documento amministrativo informatico originale
Contrassegno generato elettronicamente contenente estratto/copia/duplicato del documento amministrativo informatico originale conservato presso l’amministrazione
Contrassegno generato elettronicamente contenente il documento amministrativo informatico originale non conservato presso l’amministrazione
Un documento originale firmato digitalmente
La trasposizione dello stesso originale in forma grafica
La creazione di un documento a stampa
31
Contrassegno ElettronicoScenari d’uso
Due macro tipologie di contrassegno digitale
“Copia Controllata” - Questo Timbro è verificabile solo in presenza di collegamento internet ed è possibile utilizzarla per qualsiasi documento di qualsiasi dimensione con firma PAdES o CAdES.
In questo caso il contrassegno contiene gli elementi che rendono possibile la verifica accedendo on line al documento amministrativo informatico originale;
“Autocontenuta” - Questo Timbro è verificabile anche senza collegamento internet ma è legato alla dimensione del documento originale.
Le informazioni contenute nel contrassegno generato elettronicamente consentono la verifica rispetto al documento amministrativo informatico o al duplicato o all’estratto da cui ha origine senza accesso telematico
32
PC
SCANNER
Posta Cartaceo
PEC o Mail
HTTP o FTP
Contrassegno Elettronicocome verificarlo
E’ disponibile uno strumento di verifica gratuito denominato Viewer
33
Contrassegno Elettronicocome verificarlo
…ma la verifica è complicata?
Grazie !