LineeGuidaCNS11032005_0

CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Le Linee Guida per lemissione e lutilizzo della Carta Nazionale

dei Servizi (CNS)

Giovanni MancaUfficio Standard architetture e metodologie


AGENDA

Scenario generale sulle carte daccesso

Il quadro normativo di riferimento

Interoperabilit tra le smart card

Lidentificazione e lautenticazione in rete

I certificati digitali

Le applicazioni sanitarie della carta

Le architetture di sicurezza sui client e sui server


Scenario generale sulle carte daccesso (1)

La Direttiva 2005 recante Linee guida in materia di digitalizzazione dellAmministrazione del Ministro Stanca.

Sono ormai definite con decreto dei Ministri dellInterno, per linnovazione e le tecnologie, delleconomia e delle finanze, datato 9 dicembre 2004, le regole sulla CNS; le amministrazioni dovranno, pertanto, programmare lemissione della CNS in sostituzione di altri strumenti di accesso ai servizi si ad ora realizzati, tenendo comunque presente che,ai sensi della normativa vigente, ogni Amministrazione deve, comunque garantire laccesso ai propri servizi da parte dei titolari di CNS.


Scenario generale sulle carte daccesso (2)

La smart card un contenitore di informazioni con altissimi livelli di sicurezza.

Essa viene utilizzata, tra laltro, per il controllo di accesso in rete e per la firma digitale.

E opportuno che tutti i servizi erogati in rete dalla PA siano acceduti tramite uno strumento ad alta sicurezza garantito dalla PA stessa.

Carta Nazionale dei Servizi (CNS).


Il quadro normativo di riferimento (1)

DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dellarticolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n.3.

Decreto interministeriale 9 dicembre 2004 (GURI del 18 dicembre 2004).Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta Nazionale dei Servizi



il documento rilasciato su supporto informatico per consentire laccesso per via telematica ai servizi erogati dalle pubbliche amministrazioni.

la carta nazionale dei servizi, in attesa della carta didentit elettronica, emessa dalle pubbliche amministrazioni interessate al fine di anticiparne le funzioni di accesso ai servizi in rete delle pubbliche amministrazioni.

lonere economico di produzione e rilascio delle carte nazionali dei servizi a carico delle singole amministrazioni che le emettono.



La CNS non identifica a vista.

La CNS deve contenere un certificato di autenticazione, le cui caratteristiche sono stabilite dalle regole tecniche, rilasciato da un certificatore accreditato.

I dati identificativi della CNS sono verificati tramite il sistema informativo del Centro Nazionale per i Servizi Demografici del Ministero dellInterno.



La carta pu contenere eventuali informazioni di carattere individuale generate, gestite e distribuite dalle pubbliche amministrazioni per attivit amministrative e per lerogazione di servizi al cittadino, cui si pu accedere tramite la carta

La CNS ha una validit temporale non superiore ai sei anni.

Tutte le pubbliche amministrazioni che erogano servizi in rete devono consentire laccesso ai servizi medesimi da parte dei titolari della carta nazionale dei servizi indipendentemente dallente di emissione, che responsabile del suo rilascio.

Attraverso opportuni protocolli dintesa tra le PA, le banche e le poste, possibile utilizzare la CNS per funzioni di pagamento tra privati e PA.



Il ruolo della CNS come carta sanitaria diverso da quello di tessera sanitaria per il monitoraggio della spesa sanitaria.

E possibile aggregare una serie di funzioni operative sulla CNS.

Aggregare numerosi servizi sulla carta portano a complessit di gestione della stessa che possono diventare critiche.


Smart Card

Gli elementi che compongono la Smart Card:

Microcircuito

Sistema operativo (maschera)

Microcircuito+Sistema operativo=SmartCard


Interoperabilit tra le smart card


Il Microcircuito

INTERFACE

CPU

RAM ROM EEPROM

DATA

ADDRESSES

I/On.c.

5V

0V

Clock

Reset

or

CPU+

Co Pro


Il Sistema Operativo

Il Sistema operativo mascherato nella memoria ROM e sovrintende alle seguenti funzioni:

Gestione del protocollo di comunicazione; Gestione del protocollo logico (APDU);Gestione dello SmartCard File System;Sicurezza:

Sicurezza fisica (protezione degli oggetti di sicurezza contenuti nella SmartCard); Sicurezza logica (criteri di accesso ai file ed agli oggetti di sicurezza).


La norma ISO 7816

Parte prima e seconda per le caratteristiche fisiche e la posizione dei contatti elettriciparte terza per le caratteristiche elettriche ed il protocollo di trasmissioneParte quarta per la definizione dei comandi applicativi,la struttura dei file,le modalit di accesso ed i diritti di accesso Parte quinta per le procedure di registrazione degli Application Identifiers (AID)Parte ottava per la formalizzazione degli aspetti inerenti la sicurezzaParte nona per la gestione del ciclo di vita i criteri di accesso ecc.


Il protocollo di comunicazione (1)

Il protocollo di comunicazione definito dalla norma ISO 7816 parte terza:

Le implementazioni del protocollo prevedono: modalit T=0 (asincrono a carattere) modalit T=1 (asincrono a blocchi)

Il protocollo di comunicazione gestito dallinsieme driver e smart card reader.

Il livello di sofisticazione del driver dipende dal livello di sofisticazione del firmware del lettore.


Il protocollo di comunicazione (2)(Lo standard PC/SC)

ICC-Aware Application

ICC Service Provider

ICC Resources Manager

IFDHandler

IFDHandler

IFDHandler

InterfaceDevice

ICC

InterfaceDevice

ICC

InterfaceDevice

ICC

IFD Handler Interface : Scope of this Part 3

Interface between IFD and ICC : Scope of Part 2

I/O Channel

I/O DeviceDriver

I/O DeviceDriver

I/O DeviceDriver IFD

SubsystemPS/2 RS 232 USB

IFD:= Interface Device (SmartCard reader)ICC:= Integrated Circuit Card

Spex di riferimento

Spex di riferimento conformi allanorma ISO 7816-3

Fornito con lo IFD

garantita linteroperabilittra lettori PC/SC e

SmartCard conformi aISO 7816-3


Il protocollo logico (1)Application Protocol Data Unit (APDU)

Costituisce la modalit con cui, tramite il protocollo di comunicazione, sono inviati alla Smart Card i comandi applicativi disciplinato dalla parte quarta della norma ISO 7816

strutturato nel seguente modo:

Field Description Length (by)

Command header

Class byte (CLA) 1

Instruction byte (INS) 1

Parameter bytes (P1-P2) 2

Le field Command data field length (Nc) 0,1 or 3

Command data field Absent for Nc=0 else a Nc byte string Nc

Le field Data response length if present (Ne) 0,1,2 or 3

Response field May be absent, if present Nr bytes (0


Il protocollo logico (2)Tipologie di comandi APDU

Comandi di tipo amministrativo Create File, Invalidate File, Delete File .. Put Data (per settare gli attributi dei file e degli oggetti di

sicurezza) Change Reference Data (amministrazione del PIN)

Comandi di utilizzo del File System Select File Read, Update,Append

Comandi di identificazione ed autenticazione Verify PIN, Get Challenge, External Auth., Internal Auth. ..

Comandi crittografici MSE (Manage Security Environment) PSO (Perform Security Operation)

PSO_CDS (Compute Digital Signature)PSO_Encrypt/Decrypt


Il protocollo logico (2)Alcuni esempi

CLA 00

INS A4 = SELECT FILE

P1 02 (Select by File Identifier (FID))

P2 00

Lc 02 = Length of subsequent data field

Data field FID of (Elementary File)

Le Empty

CLA 00

INS B0 = READ BINARY

P1,P2 0000

Lc Empty

Datafield Empty

Le xx length of data to be read

Data field Empty

SW1-SW2 9000 or specific status bytes

Select Elementary File (EF)

Data field Selected EF Data

SW1-SW2 9000 or specific status bytes

Read Binary


Il File System nella Smart Card

Organizzazione (Norma ISO 7816 - 4)I dati sono organizzati in un file system

gerarchico.

Master File (MF) la root del file system, ed selezionato automaticamente al reset.

Elementary File (EF) sono I repository dei dati.

Dedicated File (DF) sono le directory del file system e possono contenere sia DF che EF. Esse consentono di installare pi di unapplicazione allinterno della Smart Card.

MF

DF 0 EF 00

EF 0n

EF 0

EF n

DF n

EF n0

EF nn

DF n0 EF n00

EF n0n


I file elementari (EF)

Transparent Elementary File:l File non formattato;l laccesso ai dati per offset e lunghezza.

Linear Fixed Elementary File:l File organizzato a record di lunghezza fissa;l laccesso ai dati per numero di record.

Linear Variable Elementary File:l File organizzato a record di lunghezza

variabile;l laccesso ai dati per numero di record.

Cyclic Elementary File:l File organizzato a record di lunghezza fissa;l laccesso in lettura per numero di recordl la scrittura sul record successivo allultimo

record aggiornato

TransparentEF

Linear FixedEF

Linear VariableEF Cyclic EF


Modalit di navigazione del File SystemConsentito

Non consentitodirettamente

MF

DF 0 EF 00

EF 0n

EF 0

EF n

DF n

EF n0

EF nn

DF n0 EF n00

EF n0n


Modalit di selezione

Selezione tramite File Identifier (FID) il campo dati del comando di selezione il File Identifier possibile selezionare EF o DF sotto la directory corrente (pe:EFn da

MF, DFn da MF, DFn0 da DFn)Selezione tramite Path

il campo dati del comando di selezione costituito dai FID del percorso di selezione

per selezionare EFn0n da MF il campo dati del comando di selezione contiene :

DFn FID, DF0n FID, EFn0n FIDNOTA:il FID costituito da 2 byte che possono essere scelti a piacere con i seguenti limiti:

3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF corrente ignota, 2F00 riservato a EF_Dir (vedere Direct Application Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO (vedere applicazione Netlink)


Selezione diretta dei DF(Norma ISO 7816 - 4 e 5)

Consentito

Non consentito

MF

DF 0

EF 0

EF N

EF 00

EF 0N

DF N

EF N0

EF NN

DF N0

EF N00

EF N0N

DF N00 EF N000

EF N00N


Selezione diretta dei DF

Questo comando consente di selezionare direttamente una Directory senza conoscere il File Identifier e lintero percorso di selezioneIl comando di selezione ha come campo dati lApplication Identifier (AID)Gli AID delle Directory selezionabili direttamente ed i percorsi di selezione sono memorizzati nel File 2F00 (EF-DIR)Gli AID devono essere richiesti allISO in conformit alla norma 7816-5Questo comando utilizzato da terminali che gestiscono pi tipologie di smart card (p.e. terminali ATM e POS)Il terminale legge EF-DIR, verifica se contiene AID noti e seleziona le applicazioni


Sicurezza delle smart card

Lobiettivo della sicurezza la custodia dei dati contenuti nelle smart card.

Questo obiettivo perseguito tramite:

sicurezza fisica

sicurezza logica


Sicurezza fisica (1)

La sicurezza fisica linsieme delle contromisure messe in atto per proteggere le informazioni da attacchi condotti tramite:

lutilizzo improprio dellinterfaccia elettrica;azioni fisiche volte a guadagnare il controllo diretto del microprocessore;analisi dellassorbimento elettrico .


Sicurezza fisica (2)

Le principali contromisure

Sensori che rilevano la marginatura della tensione di alimentazioneSensori che rilevano la marginatura del clockSensori di temperatura di esercizioSensori ottici

Questi accorgimenti proteggono dallutilizzo impropriodellinterfaccia elettrica e da azioni fisiche volte a guadagnare il controllo diretto del microprocessore


Sicurezza fisicaLa gestione dei sensori

Sensors Register

Hang Routine NOPHALTJMP-1

Intrusion EventsOS Code


Sicurezza fisica

Analisi dellassorbimento elettrico

Questo tipo di attacco tende a mettere in relazione le variazioni di assorbimento elettrico, dovute alla

commutazione dei transistor, con i processi svolti dal microprocessore.

Una contromisura efficace adottata dai costruttori di Smart Card consiste nel disaccoppiare il clock

fornito allinterfaccia dal clock del microprocessore e variarne in modo casuale la frequenza durante

processi di calcolo interno


Sicurezza logica

La sicurezza logica controlla laccesso alle informazioni contenute nella smart card tramite:

codici personali di accesso alle informazioni (PIN); processi di autenticazione realizzati con tecniche

crittografiche simmetriche o asimmetriche; funzioni che consentono di rendere non modificabili

ed accessibili in sola lettura alcuni dati; funzioni che consentono di rendere non esportabili gli

oggetti di sicurezza (chiavi e codici di accesso).


Sicurezza Logica(Gli oggetti della sicurezza)

PINConsente di verificare il possesso della della Smart Card,ad esso possono essere associate condizioni di accesso ai file e condizioni di utilizzo degli oggetti di sicurezzaPossono essere definiti pi PIN

Chiavi crittografiche simmetriche ed asimmetriche

Consentono di realizzare processi di autenticazioneAi processi di autenticazione possono essere vincolate le condizioni di accesso ai fileLe chiavi possono essere usate anche per produrre crittografia da utilizzare allesterno della Smart Card (p.e. Firma Digitale)


Le condizioni di accesso

Sono attributi dei Files e degli oggetti di sicurezza;definiscono lecondizioni di accesso per tipologia di comando

BSO Tipo dioperazioni

Comandi protetti

PIN Update PutData_OCIPIN Admin PutData_FCIPIN Create CreateFile


Comandi protetti

ALW Read ReadBinary

AutKey&PIN

Update UpdateBin

NEV Admin PutData_FCI


Comandi protetti

PIN USE PSO_CDSNEV Change ChangeReference DataPIN GenKey GenerateKeyPair

AC_DF

AC_BSO Kpri

AC_EF


Sicurezza logica(Le condizioni di accesso)

PIN

Auth.

PIN o Auth

Pin e Auth.

MF

DF 0 EF 00

EF 0N

EF 0

EF N

DF N

EF N0

EF NN

DF N0 EF N00

EF N0N

PIN

Auth. Key

PIN

Auth. Key

BSO_Kpri


Sicurezza logica (Autenticazione)

G E T C H A L L E N G E

< R N D .H P C >

H P C S y s P D C

IN T A U T H < R N D .H P C >

< E ( IK .P D C .A U ,R N D .H P C ) >

E X T A U T H < S N .P D C ,E ( IK .P D C .A U ,

R N D .H P C ) >

O K

G E T C H A L L E N G E

< R N D .P D C >

IN T A U T H

< E ( IK .P D C .A U , R N D .P D C ) >

E X T A U T H< E ( IK .P D C .A U ,R N D .P D C ) >

O K

R N D .P D C ,S N .P D C ) >


Sicurezza logicaLe Smart Card come motori crittografici

Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e algoritmi asimmetrici (RSA) che utilizzano gli oggetti di

sicurezza tramite comandi APDU

Gli oggetti di sicurezza sono utilizzabili se settato lambiente di sicurezza tramite il comando MSE (Manage Security Environment)La crittografia sviluppata per mezzo del comando PSO xxx (Perform Security Operation) dove xxx vale:

CDS per Digital Signature e MAC;ENC per cifratura simmetrica e asimmetrica;DEC per decifratura simmetrica ed asimmetrica.


Smart Card

Librerie crittografiche


Librerie Crittografiche PKCS#11(Cryptoki)

Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici.

Forniscono una interfaccia standard che prescinde dal dispositivo crittografico per cui sono state sviluppate.

Rendono le applicazioni in cui la crittografia trattata con queste API largamente indipendenti dai dispositivi.

Vincolano allutilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a Smart Card di differenti fornitori di poter operare sulla stessa piattaforma applicativa


Cryptoki

Gli scopi delle Cryptoki in base allo standard:

The primary goal of Cryptoki was a lower-level programming interface that abstracts the details of the devices and presents to the application, a common model of the cryptographic device, called a cryptographic token.

A secondary goal was resource-sharing. As desktop multi-tasking operating systems become more popular, a single device should be shared between more than one application. In addition, an application should be able to interface to more than one device at a given time.


CRIPTOKY

Il Token

la rappresentazione a oggetti dei dati e delle quantit di sicurezza contenute nel dispositivo crittografico Gli oggetti sono definiti dagli attributi (template)

Contiene la definizione dei meccanismi crittografici supportati dal dispositivo


CRIPTOKYRappresentazione a oggetti del Token

OBJECT

CommonObj

attributes

Certificate Key-Cert attributes-Cert. Value

Common Key attributes

ValueData

Obj type

Public Key-Pub Key attributes

-Pub Key Value

Private Key-Priv Key attributes

-Priv Key Value

Secret Key-Secret Key Attribut.-Secret Key Value

Key Obj


Implementazione del Tokennelle SmarCard

MF

User Signature PIN(S.O. PWD)

DFSignature

EF_Index

EF_Kpub_Attribute

BSOPIN

EF_Kpri_Attribute

EF_Kpub

EF_CERT/Attribute

EF-Data_OBJ

BSOKpri

EF-GDOEF-DIR

DFApplicazione n

DFApplicazione 1

DatiApplic.

n

DatiApplic.

1


Descrizione del File System

EF_Index:

Elementary File di tipo Linear TLV che contiene gli identificativi PKCS#11 (CKA_ID) degli oggetti Chiave Pubblica, Chiave Privata , Certificati ed oggetti Dati presenti nella Directory di Firma Digitale. Questo file utilizzato dalle Funzioni di Gestione degli Oggetti per la navigazione del File System della Carta.


Descrizione del File System di Firma Digitale (esempio)

EF_Kpri_AttributeElementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i Template PKCS#11 degli Oggetti Chiavi Private e sono:

Common attributes:CKA_CLASS (CKO_PRIVATE_KEY = 03);CKA_TOKEN (CK_BBOOL, posto a vero);CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica lautenticazione tramite la funzione: C_Login.;CKA_LABEL (CK_CHAR);CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma);

Common key attributes:CKA_ID (byte array TBD).;CKA_KEY_TYPE(CKK_RSA= 00);CKA_DERIVE (CK_BOOL , posto a falso per le chiavi di firma);CKA_START_DATE (CK_DATE);CKA_END_DATE (CK_DATE);CKA_LOCAL (CK_BOOL , posto a vero per le coppie di chiavi di firma);

Private key attributes:CKA_SUBJECT (codifica DER del DN del certificato);CKA_SENSITIVE (CK_BBOOL, posto a vero);CKA_EXTRACTABLE (CK_BBOOL, posto a falso);CKA_SIGN (CK_BBOOL, posto a vero);CKA_SIGN-_RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE;CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma )CKA_VERIFY_RECOVER(CK_BBOOL, , posto a vero per le coppie di chiavi di firma);CKA_DECRYPT(CK_BBOOL, , posto a falso per le coppie di chiavi di firma);CKA_ALWAIS_SENSITIVE (CK_BBOOL, , posto a vero)


Descrizione del File System di Firma Digitale (esempio)

BSO-KPRI il contenitore della chiave privata (Base Security Objects) ed gestito dal sistema operativo della Smatcard. Il sistema operativo della CIE memorizza la chiave in formato modulo (N) ed esponente (d) e ad essa applicabile il TemplatePKCS#11 (Table 4-0 Private Key OBJ Attributes) solo per i seguenti attributi:

CKA_MODULUS (Big integer); CKA_ PRIVATE_EXPONENT (Big integer);


I meccanismi crittografici

Meccanismi PKCS#11 Meccanismi Interni Meccamismi di Lib.

CKM_RSA_PKCS_KEY_PAIR_GEN X

CKM_RSA_PKCS X

CKM_DES_KEY_GEN X

CKM_DES_ECB X

CKM_DES_CBC X X

CKM_DES_CBC_PAD X

CKM_DES_MAC X X

CKM_DES2_KEY_GEN X

CKCM_DES3_CBC X X

CKM_DES3_ECB X

CKM_DES3_MAC X X

CKM_SHA_1 X X


Le funzioni PKCS#11

Funzioni per la gestione dei lettori e delle SmarCard

C_GetSlotListC_GetSlotInfoC_GetTokenInfoC_GetMechanismListC_GetMechanismInfoC_InitTokenC_InitPINC_SetPIN

Funzioni per la gestione della sessione

C_OpenSessionC_CloseSessionC_CloseAllSessionC_GetSessionInfoC_LoginC_Logout

Key Management:C_GenerateKeyC_GenerateKeyPairC_WrapKeyC_UnwrapKey

Funzioni di firma e verifica firma:

C_SignInitC_SignC_SignUpdate C_SignFinalC_VerifyInitC_VerifyC_VerifyUpdateC_VerifyFinal

Funzioni di Message Digesting:C_DigestInitC_DigestC_DigestUpdateC_DigestFinal


Un esempioGenerazione della Coppia di chiavi di firma

Funzioni di libreria

Funzione: C_GenerateKeyPair (prerequisito: C_Login)Parametri:CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le funzioni C_OpenSession e C_GetSessionInfo;CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici supportati dalla libreria;CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave pubblica;CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template;CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave privata;CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template;CK_OBJECT_HANDLE_PTR phPublicKey : puntatore allarea in cui la libreria restituir lo handle delloggetto chiave pubblica;CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore allarea in cui la libreria restituir lo handle delloggetto chiave privata.


Un esempioGenerazione della Coppia di chiavi di firma

Gestione della SmartCardLa funzione C_GenerateKeyPayr effettua le seguenti

operazioni sulla SmartCard:Inserisce nel file EF_Index lidentificativo degli oggetti chiave ottenuto dai template;Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le informazioni ottenute dai template;Costruisce il file EF_Kpub tramite il comando APDU: CREATE FILE;Costruisce loggetto BSOKPRI-SIGN tramite il comando APDU: PUT DATA OCI forzando algoritmo e condizioni di accesso compatibili con il template della chiave privata;Genera la coppia di chiavi tramite il comando APDU: GENERATE KEY PAIR.


SmartCard e lambiente MS

APPLICATION

Ser.Provider Crypto ServiceProvider

C - API

Resource Manager

IFD

COM

Fornito dal produttore del Sistema Operativo

Smart Card

Lettore

IFD Driver


Lidentificazione e lautenticazione in rete (1)

Le definizioni del Codice dellAmministrazione digitale:

Identificazione informatica: linsieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto che ne distinguono lidentit nei sistemi informativi.

Autenticazione informatica: la validazione dellidentificazione informatica effettuata attraverso opportune tecnologie al fine di garantire la sicurezza dellaccesso.

Autorizzazione informatica: la verifica, attraverso opportune tecnologie, della corrispondenza tra le abilitazioni esistenti in capo al soggetto richiedente, identificato nei sistemi informativi, ed il tipo di operazione che il soggetto intende eseguire.



Identificazione : lo Username sostituito da un certificato digitale. LUtente caratterizzato dal suo Codice Fiscale.

Autenticazione : la password sostituita da un un crittogramma prodotto per mezzo della chiave privata di autenticazione contenuta nella smart card



Il colloquio tra client e server caratterizzato da scambi di dati caratterizzati da procedure riferite al cosiddetto Challenge/Response.

Quando il colloquio in modalit web browsing viene utilizzato il protocollo TLS/SSL (Transport Layer Security/Secure Socket Layer)

Questi meccanismi garantiscono oltre che lautenticazione del titolare anche lautenticazione del server.


La Carta di Identit Elettronica

La Carta di Identit Elettronica (CIE) lo strumento diidentificazione dei cittadini. Essa consente:

lidentificazione a vista ;lidentificazione forte in rete per lerogazione telematica di servizi da parte delle Pubbliche Amministrazioni.

Lidentificazione forte in rete ottenuta per mezzo dellachiave privata e del certificato digitale in essa contenuti.La CIE contiene anche dati sanitari ed i componenti di sicurezza necessari alla loro protezione.

Come per la carta CNS sono presenti componenti di sicurezzaper costruire aree dati da dedicare a altri servizi.


La Carta di Identit Elettronica

Servizi_installati

DF_Servizio #2 Dati_servizio #2

MF

DF2

Kpri

DF1C_Carta

Dati_Personli

DF0 ID_Carta

INST key

DF_Servizio #1 Dati_servizio #1

KIa

DF_Servizio #n Dati_servizio #n

EF.GDO

KIc

AreaNetLink

Memoria residua

PIN


CNS

MF

DatiAnagrafici

DF-Anagrafica

Applicazione Sanitaria(Netlink)

DF-Netlink

Kpri

EF-GDO

EF-KPub

PUKPIN

AltriServizi

DF-Altri Servizi

PIN-FD

DF-F Digitale

DatiFirma Digitale

Quantit Sic.Ente Emettitore

EF-DIR


PC/SC e Interoperabilit

Linteroperabilit PC/SC consente di:gestire in modo unificato lo Smart Card File System tramite moduli SW (Service Provider) messi a disposizione dai fornitori di Smart Card

gestire in modo unificato le funzioni crittografiche simmetriche ed asimmetriche tramite moduli SW (Crypto Service Provider) messi a disposizione dai fornitori di Smart Card

Gestire in modo unificato i lettori di Smart Card tramite i driver messi a disposizione dai fornitori


Librerie Crittografiche e Interoperabilit

SO carta1

SO carta2

SO cartaN

Drivers PCSC dei lettori

RESOURCE MANAGER

PKCS#11

CARTA 1

PKCS#11

CARTA 2

PKCS#11

CARTA N

WRAPPER PKCS#11/ATR Interceptor

Microsoft CSP

Applicazioni di autenticazione e Firma Digitale

PKI Middleware

Autenticazione SSL

SGUSGU


Interoperabilit del sistema operativo

Affinch unapplicazione possa interagire con differenti tipologie di smart card senza la necessit di accorgimenti SW necessario che:i sistemi operativi abbiano gli stessi comandi APDU almeno per la fase di utilizzo del ciclo di vita delle smart card;le SmartCard abbiano la medesima struttura del File System e le stesse condizioni di accesso;I dati siano descritti con una sintassi comune (es: ASN1);I dati siano codificati con le medesime regole (es: BER);

Le smartcard del progetto Netlink, le CNS e la Carta di Identit Elettronica interoperano in base alle precedenti asserzioni


I certificati digitali

La carta nazionale dei servizi contiene un certificato di autenticazione, consistente nellattestato elettronico che assicura lautenticit delle informazioni necessarie per lidentificazione in rete del titolare della carta nazionale dei servizi, rilasciato da un certificatore accreditato

Art. 3, comma 1 del D.P.R. 2 marzo 2004, n.117

Il profilo del certificato di autenticazione pubblicato sul sito del CNIPA nella sezione dedicata alla CNS


Smart Card e PKI

Legenda

RA:Registration Authority

CAO:Crt. Authority Operator

RAO:Registration Autority Operator

CRL:Certificate Revocation List

C A

CAO

RA

DirectoryShadow

CertificatiX509v3

CRL

CA Toolkit

User Application

Directory

DB

DB

RA Frontend


Smart Card e PKI

S C

Applicazione di firma digitale e crittografia dei dati

CA Toolkit

(L D A P)

H-API

Cryptoki

Resource Manager Driver IFD

PKCS#11 API

Directory


Le applicazioni sanitarie della Carta

La Carta Sanitaria Netlink utilizza una Smart Card checontiene:

dati sanitari; componenti di sicurezza per la protezione dei dati sanitari;

La carta Netlink non prevede lutilizzo di oggetti crittografici quali:

Chiave privata Certificato digitale


EF.NKEF

EF.NKAP

EF.NKEP

EF.NKPP

MF

DF.NKAF

EF.DIR EF.GDO

DF.NKEF

DF.NKAP

DF.NKEP

DF.NKPP

EF.NKAF

DF.NETLINK

EF.NETLINK

EF.DIR

La carta Net Link


Interoperabilit delle Carte sanitarie

CartaOperatoreSISS/Netlink

Cartadi

IdentitElettronica

CartaRegionale

deiServizi

CartaNetlink

Postodi

Lavorodelloperatore

sanitario


Le architetture di sicurezza sui client e sui server (1)

Le modalit di utilizzo della CNS in ambiente Netscape/Mozilla e in ambiente Internet Explorer differiscono a causa dellarchitettura dei browser.

Anche i differenti application server trattano le informazioni di autenticazione in modi differenti.

E gi stato provato un controllo daccesso con CIE e CNS dallo stesso posto di lavoro ma ancora bisogna fare dei passi in avanti.


Le architetture di sicurezza sui client e sui server (2)

Non bisogna dimenticare il processo di autorizzazione.

Il processo di autorizzazione definisce le operazioni che il titolare ha diritto a effettuare sullapplicazione specifica.

Il titolare lo stesso, ma su alcuni siti questo titolare non pu effettuare alcuna operazione, mentre su altri pu accedere ai dati personali e addirittura su siti di tipo sanitario a dati sensibili.


Per maggiori informazioniwww.cnipa.gov.it

[email protected]

http://www.cnipa.gov.it/

Diapositiva numero 1AGENDAScenario generale sulle carte daccesso (1)Scenario generale sulle carte daccesso (2)Il quadro normativo di riferimento (1)Il quadro normativo di riferimento (2)Il quadro normativo di riferimento (3)Il quadro normativo di riferimento (4)Il quadro normativo di riferimento (5)Smart CardInteroperabilit tra le smart cardIl MicrocircuitoIl Sistema OperativoLa norma ISO 7816Il protocollo di comunicazione (1) Il protocollo di comunicazione (2)(Lo standard PC/SC)Il protocollo logico (1)Application Protocol Data Unit (APDU)Il protocollo logico (2)Tipologie di comandi APDUIl protocollo logico (2)Alcuni esempiIl File System nella Smart CardI file elementari (EF)Modalit di navigazione del File SystemModalit di selezioneSelezione diretta dei DF(Norma ISO 7816 - 4 e 5)Selezione diretta dei DFSicurezza delle smart cardSicurezza fisica (1)Sicurezza fisica (2)Sicurezza fisicaLa gestione dei sensoriSicurezza fisicaSicurezza logicaSicurezza Logica(Gli oggetti della sicurezza)Le condizioni di accesso Sicurezza logica(Le condizioni di accesso)Sicurezza logica (Autenticazione)Sicurezza logicaLe Smart Card come motori crittograficiSmart CardLibrerie Crittografiche PKCS#11 (Cryptoki)CryptokiCRIPTOKYCRIPTOKYRappresentazione a oggetti del TokenImplementazione del Tokennelle SmarCardDescrizione del File System Descrizione del File System di Firma Digitale (esempio)Descrizione del File System di Firma Digitale (esempio)I meccanismi crittograficiLe funzioni PKCS#11Un esempio Generazione della Coppia di chiavi di firmaUn esempio Generazione della Coppia di chiavi di firmaSmartCard e lambiente MSLidentificazione e lautenticazione in rete (1)Lidentificazione e lautenticazione in rete (2)Lidentificazione e lautenticazione in rete (3)La Carta di Identit ElettronicaDiapositiva numero 55CNSPC/SC e InteroperabilitLibrerie Crittografiche e InteroperabilitInteroperabilit del sistema operativoI certificati digitaliSmart Card e PKISmart Card e PKILe applicazioni sanitarie della CartaDiapositiva numero 64Interoperabilit delle Carte sanitarieLe architetture di sicurezza sui client e sui server (1)Le architetture di sicurezza sui client e sui server (2)Diapositiva numero 68

LineeGuidaCNS11032005_0

Documents

Transcript of LineeGuidaCNS11032005_0