LineeGuidaCNS11032005_0
description
Transcript of LineeGuidaCNS11032005_0
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le Linee Guida per lemissione e lutilizzo della Carta Nazionale
dei Servizi (CNS)
Giovanni MancaUfficio Standard architetture e metodologie
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
AGENDA
Scenario generale sulle carte daccesso
Il quadro normativo di riferimento
Interoperabilit tra le smart card
Lidentificazione e lautenticazione in rete
I certificati digitali
Le applicazioni sanitarie della carta
Le architetture di sicurezza sui client e sui server
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Scenario generale sulle carte daccesso (1)
La Direttiva 2005 recante Linee guida in materia di digitalizzazione dellAmministrazione del Ministro Stanca.
Sono ormai definite con decreto dei Ministri dellInterno, per linnovazione e le tecnologie, delleconomia e delle finanze, datato 9 dicembre 2004, le regole sulla CNS; le amministrazioni dovranno, pertanto, programmare lemissione della CNS in sostituzione di altri strumenti di accesso ai servizi si ad ora realizzati, tenendo comunque presente che,ai sensi della normativa vigente, ogni Amministrazione deve, comunque garantire laccesso ai propri servizi da parte dei titolari di CNS.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Scenario generale sulle carte daccesso (2)
La smart card un contenitore di informazioni con altissimi livelli di sicurezza.
Essa viene utilizzata, tra laltro, per il controllo di accesso in rete e per la firma digitale.
E opportuno che tutti i servizi erogati in rete dalla PA siano acceduti tramite uno strumento ad alta sicurezza garantito dalla PA stessa.
Carta Nazionale dei Servizi (CNS).
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il quadro normativo di riferimento (1)
DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dellarticolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n.3.
Decreto interministeriale 9 dicembre 2004 (GURI del 18 dicembre 2004).Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta Nazionale dei Servizi
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il quadro normativo di riferimento (2)
il documento rilasciato su supporto informatico per consentire laccesso per via telematica ai servizi erogati dalle pubbliche amministrazioni.
la carta nazionale dei servizi, in attesa della carta didentit elettronica, emessa dalle pubbliche amministrazioni interessate al fine di anticiparne le funzioni di accesso ai servizi in rete delle pubbliche amministrazioni.
lonere economico di produzione e rilascio delle carte nazionali dei servizi a carico delle singole amministrazioni che le emettono.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il quadro normativo di riferimento (3)
La CNS non identifica a vista.
La CNS deve contenere un certificato di autenticazione, le cui caratteristiche sono stabilite dalle regole tecniche, rilasciato da un certificatore accreditato.
I dati identificativi della CNS sono verificati tramite il sistema informativo del Centro Nazionale per i Servizi Demografici del Ministero dellInterno.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il quadro normativo di riferimento (4)
La carta pu contenere eventuali informazioni di carattere individuale generate, gestite e distribuite dalle pubbliche amministrazioni per attivit amministrative e per lerogazione di servizi al cittadino, cui si pu accedere tramite la carta
La CNS ha una validit temporale non superiore ai sei anni.
Tutte le pubbliche amministrazioni che erogano servizi in rete devono consentire laccesso ai servizi medesimi da parte dei titolari della carta nazionale dei servizi indipendentemente dallente di emissione, che responsabile del suo rilascio.
Attraverso opportuni protocolli dintesa tra le PA, le banche e le poste, possibile utilizzare la CNS per funzioni di pagamento tra privati e PA.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il quadro normativo di riferimento (5)
Il ruolo della CNS come carta sanitaria diverso da quello di tessera sanitaria per il monitoraggio della spesa sanitaria.
E possibile aggregare una serie di funzioni operative sulla CNS.
Aggregare numerosi servizi sulla carta portano a complessit di gestione della stessa che possono diventare critiche.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Smart Card
Gli elementi che compongono la Smart Card:
Microcircuito
Sistema operativo (maschera)
Microcircuito+Sistema operativo=SmartCard
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Interoperabilit tra le smart card
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il Microcircuito
INTERFACE
CPU
RAM ROM EEPROM
DATA
ADDRESSES
I/On.c.
5V
0V
Clock
Reset
or
CPU+
Co Pro
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il Sistema Operativo
Il Sistema operativo mascherato nella memoria ROM e sovrintende alle seguenti funzioni:
Gestione del protocollo di comunicazione; Gestione del protocollo logico (APDU);Gestione dello SmartCard File System;Sicurezza:
Sicurezza fisica (protezione degli oggetti di sicurezza contenuti nella SmartCard); Sicurezza logica (criteri di accesso ai file ed agli oggetti di sicurezza).
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
La norma ISO 7816
Parte prima e seconda per le caratteristiche fisiche e la posizione dei contatti elettriciparte terza per le caratteristiche elettriche ed il protocollo di trasmissioneParte quarta per la definizione dei comandi applicativi,la struttura dei file,le modalit di accesso ed i diritti di accesso Parte quinta per le procedure di registrazione degli Application Identifiers (AID)Parte ottava per la formalizzazione degli aspetti inerenti la sicurezzaParte nona per la gestione del ciclo di vita i criteri di accesso ecc.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il protocollo di comunicazione (1)
Il protocollo di comunicazione definito dalla norma ISO 7816 parte terza:
Le implementazioni del protocollo prevedono: modalit T=0 (asincrono a carattere) modalit T=1 (asincrono a blocchi)
Il protocollo di comunicazione gestito dallinsieme driver e smart card reader.
Il livello di sofisticazione del driver dipende dal livello di sofisticazione del firmware del lettore.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il protocollo di comunicazione (2)(Lo standard PC/SC)
ICC-Aware Application
ICC Service Provider
ICC Resources Manager
IFDHandler
IFDHandler
IFDHandler
InterfaceDevice
ICC
InterfaceDevice
ICC
InterfaceDevice
ICC
IFD Handler Interface : Scope of this Part 3
Interface between IFD and ICC : Scope of Part 2
I/O Channel
I/O DeviceDriver
I/O DeviceDriver
I/O DeviceDriver IFD
SubsystemPS/2 RS 232 USB
IFD:= Interface Device (SmartCard reader)ICC:= Integrated Circuit Card
Spex di riferimento
Spex di riferimento conformi allanorma ISO 7816-3
Fornito con lo IFD
garantita linteroperabilittra lettori PC/SC e
SmartCard conformi aISO 7816-3
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il protocollo logico (1)Application Protocol Data Unit (APDU)
Costituisce la modalit con cui, tramite il protocollo di comunicazione, sono inviati alla Smart Card i comandi applicativi disciplinato dalla parte quarta della norma ISO 7816
strutturato nel seguente modo:
Field Description Length (by)
Command header
Class byte (CLA) 1
Instruction byte (INS) 1
Parameter bytes (P1-P2) 2
Le field Command data field length (Nc) 0,1 or 3
Command data field Absent for Nc=0 else a Nc byte string Nc
Le field Data response length if present (Ne) 0,1,2 or 3
Response field May be absent, if present Nr bytes (0
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il protocollo logico (2)Tipologie di comandi APDU
Comandi di tipo amministrativo Create File, Invalidate File, Delete File .. Put Data (per settare gli attributi dei file e degli oggetti di
sicurezza) Change Reference Data (amministrazione del PIN)
Comandi di utilizzo del File System Select File Read, Update,Append
Comandi di identificazione ed autenticazione Verify PIN, Get Challenge, External Auth., Internal Auth. ..
Comandi crittografici MSE (Manage Security Environment) PSO (Perform Security Operation)
PSO_CDS (Compute Digital Signature)PSO_Encrypt/Decrypt
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il protocollo logico (2)Alcuni esempi
CLA 00
INS A4 = SELECT FILE
P1 02 (Select by File Identifier (FID))
P2 00
Lc 02 = Length of subsequent data field
Data field FID of (Elementary File)
Le Empty
CLA 00
INS B0 = READ BINARY
P1,P2 0000
Lc Empty
Datafield Empty
Le xx length of data to be read
Data field Empty
SW1-SW2 9000 or specific status bytes
Select Elementary File (EF)
Data field Selected EF Data
SW1-SW2 9000 or specific status bytes
Read Binary
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Il File System nella Smart Card
Organizzazione (Norma ISO 7816 - 4)I dati sono organizzati in un file system
gerarchico.
Master File (MF) la root del file system, ed selezionato automaticamente al reset.
Elementary File (EF) sono I repository dei dati.
Dedicated File (DF) sono le directory del file system e possono contenere sia DF che EF. Esse consentono di installare pi di unapplicazione allinterno della Smart Card.
MF
DF 0 EF 00
EF 0n
EF 0
EF n
DF n
EF n0
EF nn
DF n0 EF n00
EF n0n
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
I file elementari (EF)
Transparent Elementary File:l File non formattato;l laccesso ai dati per offset e lunghezza.
Linear Fixed Elementary File:l File organizzato a record di lunghezza fissa;l laccesso ai dati per numero di record.
Linear Variable Elementary File:l File organizzato a record di lunghezza
variabile;l laccesso ai dati per numero di record.
Cyclic Elementary File:l File organizzato a record di lunghezza fissa;l laccesso in lettura per numero di recordl la scrittura sul record successivo allultimo
record aggiornato
TransparentEF
Linear FixedEF
Linear VariableEF Cyclic EF
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Modalit di navigazione del File SystemConsentito
Non consentitodirettamente
MF
DF 0 EF 00
EF 0n
EF 0
EF n
DF n
EF n0
EF nn
DF n0 EF n00
EF n0n
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Modalit di selezione
Selezione tramite File Identifier (FID) il campo dati del comando di selezione il File Identifier possibile selezionare EF o DF sotto la directory corrente (pe:EFn da
MF, DFn da MF, DFn0 da DFn)Selezione tramite Path
il campo dati del comando di selezione costituito dai FID del percorso di selezione
per selezionare EFn0n da MF il campo dati del comando di selezione contiene :
DFn FID, DF0n FID, EFn0n FIDNOTA:il FID costituito da 2 byte che possono essere scelti a piacere con i seguenti limiti:
3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF corrente ignota, 2F00 riservato a EF_Dir (vedere Direct Application Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO (vedere applicazione Netlink)
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Selezione diretta dei DF(Norma ISO 7816 - 4 e 5)
Consentito
Non consentito
MF
DF 0
EF 0
EF N
EF 00
EF 0N
DF N
EF N0
EF NN
DF N0
EF N00
EF N0N
DF N00 EF N000
EF N00N
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Selezione diretta dei DF
Questo comando consente di selezionare direttamente una Directory senza conoscere il File Identifier e lintero percorso di selezioneIl comando di selezione ha come campo dati lApplication Identifier (AID)Gli AID delle Directory selezionabili direttamente ed i percorsi di selezione sono memorizzati nel File 2F00 (EF-DIR)Gli AID devono essere richiesti allISO in conformit alla norma 7816-5Questo comando utilizzato da terminali che gestiscono pi tipologie di smart card (p.e. terminali ATM e POS)Il terminale legge EF-DIR, verifica se contiene AID noti e seleziona le applicazioni
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza delle smart card
Lobiettivo della sicurezza la custodia dei dati contenuti nelle smart card.
Questo obiettivo perseguito tramite:
sicurezza fisica
sicurezza logica
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza fisica (1)
La sicurezza fisica linsieme delle contromisure messe in atto per proteggere le informazioni da attacchi condotti tramite:
lutilizzo improprio dellinterfaccia elettrica;azioni fisiche volte a guadagnare il controllo diretto del microprocessore;analisi dellassorbimento elettrico .
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza fisica (2)
Le principali contromisure
Sensori che rilevano la marginatura della tensione di alimentazioneSensori che rilevano la marginatura del clockSensori di temperatura di esercizioSensori ottici
Questi accorgimenti proteggono dallutilizzo impropriodellinterfaccia elettrica e da azioni fisiche volte a guadagnare il controllo diretto del microprocessore
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza fisicaLa gestione dei sensori
Sensors Register
Hang Routine NOPHALTJMP-1
Intrusion EventsOS Code
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza fisica
Analisi dellassorbimento elettrico
Questo tipo di attacco tende a mettere in relazione le variazioni di assorbimento elettrico, dovute alla
commutazione dei transistor, con i processi svolti dal microprocessore.
Una contromisura efficace adottata dai costruttori di Smart Card consiste nel disaccoppiare il clock
fornito allinterfaccia dal clock del microprocessore e variarne in modo casuale la frequenza durante
processi di calcolo interno
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza logica
La sicurezza logica controlla laccesso alle informazioni contenute nella smart card tramite:
codici personali di accesso alle informazioni (PIN); processi di autenticazione realizzati con tecniche
crittografiche simmetriche o asimmetriche; funzioni che consentono di rendere non modificabili
ed accessibili in sola lettura alcuni dati; funzioni che consentono di rendere non esportabili gli
oggetti di sicurezza (chiavi e codici di accesso).
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza Logica(Gli oggetti della sicurezza)
PINConsente di verificare il possesso della della Smart Card,ad esso possono essere associate condizioni di accesso ai file e condizioni di utilizzo degli oggetti di sicurezzaPossono essere definiti pi PIN
Chiavi crittografiche simmetriche ed asimmetriche
Consentono di realizzare processi di autenticazioneAi processi di autenticazione possono essere vincolate le condizioni di accesso ai fileLe chiavi possono essere usate anche per produrre crittografia da utilizzare allesterno della Smart Card (p.e. Firma Digitale)
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le condizioni di accesso
Sono attributi dei Files e degli oggetti di sicurezza;definiscono lecondizioni di accesso per tipologia di comando
BSO Tipo dioperazioni
Comandi protetti
PIN Update PutData_OCIPIN Admin PutData_FCIPIN Create CreateFile
BSO Tipo dioperazioni
Comandi protetti
ALW Read ReadBinary
AutKey&PIN
Update UpdateBin
NEV Admin PutData_FCI
BSO Tipo dioperazioni
Comandi protetti
PIN USE PSO_CDSNEV Change ChangeReference DataPIN GenKey GenerateKeyPair
AC_DF
AC_BSO Kpri
AC_EF
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza logica(Le condizioni di accesso)
PIN
Auth.
PIN o Auth
Pin e Auth.
MF
DF 0 EF 00
EF 0N
EF 0
EF N
DF N
EF N0
EF NN
DF N0 EF N00
EF N0N
PIN
Auth. Key
PIN
Auth. Key
BSO_Kpri
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza logica (Autenticazione)
G E T C H A L L E N G E
< R N D .H P C >
H P C S y s P D C
IN T A U T H < R N D .H P C >
< E ( IK .P D C .A U ,R N D .H P C ) >
E X T A U T H < S N .P D C ,E ( IK .P D C .A U ,
R N D .H P C ) >
O K
G E T C H A L L E N G E
< R N D .P D C >
IN T A U T H
< E ( IK .P D C .A U , R N D .P D C ) >
E X T A U T H< E ( IK .P D C .A U ,R N D .P D C ) >
O K
R N D .P D C ,S N .P D C ) >
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Sicurezza logicaLe Smart Card come motori crittografici
Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e algoritmi asimmetrici (RSA) che utilizzano gli oggetti di
sicurezza tramite comandi APDU
Gli oggetti di sicurezza sono utilizzabili se settato lambiente di sicurezza tramite il comando MSE (Manage Security Environment)La crittografia sviluppata per mezzo del comando PSO xxx (Perform Security Operation) dove xxx vale:
CDS per Digital Signature e MAC;ENC per cifratura simmetrica e asimmetrica;DEC per decifratura simmetrica ed asimmetrica.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Smart Card
Librerie crittografiche
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Librerie Crittografiche PKCS#11(Cryptoki)
Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici.
Forniscono una interfaccia standard che prescinde dal dispositivo crittografico per cui sono state sviluppate.
Rendono le applicazioni in cui la crittografia trattata con queste API largamente indipendenti dai dispositivi.
Vincolano allutilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a Smart Card di differenti fornitori di poter operare sulla stessa piattaforma applicativa
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Cryptoki
Gli scopi delle Cryptoki in base allo standard:
The primary goal of Cryptoki was a lower-level programming interface that abstracts the details of the devices and presents to the application, a common model of the cryptographic device, called a cryptographic token.
A secondary goal was resource-sharing. As desktop multi-tasking operating systems become more popular, a single device should be shared between more than one application. In addition, an application should be able to interface to more than one device at a given time.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
CRIPTOKY
Il Token
la rappresentazione a oggetti dei dati e delle quantit di sicurezza contenute nel dispositivo crittografico Gli oggetti sono definiti dagli attributi (template)
Contiene la definizione dei meccanismi crittografici supportati dal dispositivo
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
CRIPTOKYRappresentazione a oggetti del Token
OBJECT
CommonObj
attributes
Certificate Key-Cert attributes-Cert. Value
Common Key attributes
ValueData
Obj type
Public Key-Pub Key attributes
-Pub Key Value
Private Key-Priv Key attributes
-Priv Key Value
Secret Key-Secret Key Attribut.-Secret Key Value
Key Obj
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Implementazione del Tokennelle SmarCard
MF
User Signature PIN(S.O. PWD)
DFSignature
EF_Index
EF_Kpub_Attribute
BSOPIN
EF_Kpri_Attribute
EF_Kpub
EF_CERT/Attribute
EF-Data_OBJ
BSOKpri
EF-GDOEF-DIR
DFApplicazione n
DFApplicazione 1
DatiApplic.
n
DatiApplic.
1
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Descrizione del File System
EF_Index:
Elementary File di tipo Linear TLV che contiene gli identificativi PKCS#11 (CKA_ID) degli oggetti Chiave Pubblica, Chiave Privata , Certificati ed oggetti Dati presenti nella Directory di Firma Digitale. Questo file utilizzato dalle Funzioni di Gestione degli Oggetti per la navigazione del File System della Carta.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Descrizione del File System di Firma Digitale (esempio)
EF_Kpri_AttributeElementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i Template PKCS#11 degli Oggetti Chiavi Private e sono:
Common attributes:CKA_CLASS (CKO_PRIVATE_KEY = 03);CKA_TOKEN (CK_BBOOL, posto a vero);CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica lautenticazione tramite la funzione: C_Login.;CKA_LABEL (CK_CHAR);CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma);
Common key attributes:CKA_ID (byte array TBD).;CKA_KEY_TYPE(CKK_RSA= 00);CKA_DERIVE (CK_BOOL , posto a falso per le chiavi di firma);CKA_START_DATE (CK_DATE);CKA_END_DATE (CK_DATE);CKA_LOCAL (CK_BOOL , posto a vero per le coppie di chiavi di firma);
Private key attributes:CKA_SUBJECT (codifica DER del DN del certificato);CKA_SENSITIVE (CK_BBOOL, posto a vero);CKA_EXTRACTABLE (CK_BBOOL, posto a falso);CKA_SIGN (CK_BBOOL, posto a vero);CKA_SIGN-_RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE;CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma )CKA_VERIFY_RECOVER(CK_BBOOL, , posto a vero per le coppie di chiavi di firma);CKA_DECRYPT(CK_BBOOL, , posto a falso per le coppie di chiavi di firma);CKA_ALWAIS_SENSITIVE (CK_BBOOL, , posto a vero)
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Descrizione del File System di Firma Digitale (esempio)
BSO-KPRI il contenitore della chiave privata (Base Security Objects) ed gestito dal sistema operativo della Smatcard. Il sistema operativo della CIE memorizza la chiave in formato modulo (N) ed esponente (d) e ad essa applicabile il TemplatePKCS#11 (Table 4-0 Private Key OBJ Attributes) solo per i seguenti attributi:
CKA_MODULUS (Big integer); CKA_ PRIVATE_EXPONENT (Big integer);
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
I meccanismi crittografici
Meccanismi PKCS#11 Meccanismi Interni Meccamismi di Lib.
CKM_RSA_PKCS_KEY_PAIR_GEN X
CKM_RSA_PKCS X
CKM_DES_KEY_GEN X
CKM_DES_ECB X
CKM_DES_CBC X X
CKM_DES_CBC_PAD X
CKM_DES_MAC X X
CKM_DES2_KEY_GEN X
CKCM_DES3_CBC X X
CKM_DES3_ECB X
CKM_DES3_MAC X X
CKM_SHA_1 X X
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le funzioni PKCS#11
Funzioni per la gestione dei lettori e delle SmarCard
C_GetSlotListC_GetSlotInfoC_GetTokenInfoC_GetMechanismListC_GetMechanismInfoC_InitTokenC_InitPINC_SetPIN
Funzioni per la gestione della sessione
C_OpenSessionC_CloseSessionC_CloseAllSessionC_GetSessionInfoC_LoginC_Logout
Key Management:C_GenerateKeyC_GenerateKeyPairC_WrapKeyC_UnwrapKey
Funzioni di firma e verifica firma:
C_SignInitC_SignC_SignUpdate C_SignFinalC_VerifyInitC_VerifyC_VerifyUpdateC_VerifyFinal
Funzioni di Message Digesting:C_DigestInitC_DigestC_DigestUpdateC_DigestFinal
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Un esempioGenerazione della Coppia di chiavi di firma
Funzioni di libreria
Funzione: C_GenerateKeyPair (prerequisito: C_Login)Parametri:CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le funzioni C_OpenSession e C_GetSessionInfo;CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici supportati dalla libreria;CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave pubblica;CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template;CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave privata;CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template;CK_OBJECT_HANDLE_PTR phPublicKey : puntatore allarea in cui la libreria restituir lo handle delloggetto chiave pubblica;CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore allarea in cui la libreria restituir lo handle delloggetto chiave privata.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Un esempioGenerazione della Coppia di chiavi di firma
Gestione della SmartCardLa funzione C_GenerateKeyPayr effettua le seguenti
operazioni sulla SmartCard:Inserisce nel file EF_Index lidentificativo degli oggetti chiave ottenuto dai template;Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le informazioni ottenute dai template;Costruisce il file EF_Kpub tramite il comando APDU: CREATE FILE;Costruisce loggetto BSOKPRI-SIGN tramite il comando APDU: PUT DATA OCI forzando algoritmo e condizioni di accesso compatibili con il template della chiave privata;Genera la coppia di chiavi tramite il comando APDU: GENERATE KEY PAIR.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
SmartCard e lambiente MS
APPLICATION
Ser.Provider Crypto ServiceProvider
C - API
Resource Manager
IFD
COM
Fornito dal produttore del Sistema Operativo
Smart Card
Lettore
IFD Driver
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Lidentificazione e lautenticazione in rete (1)
Le definizioni del Codice dellAmministrazione digitale:
Identificazione informatica: linsieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto che ne distinguono lidentit nei sistemi informativi.
Autenticazione informatica: la validazione dellidentificazione informatica effettuata attraverso opportune tecnologie al fine di garantire la sicurezza dellaccesso.
Autorizzazione informatica: la verifica, attraverso opportune tecnologie, della corrispondenza tra le abilitazioni esistenti in capo al soggetto richiedente, identificato nei sistemi informativi, ed il tipo di operazione che il soggetto intende eseguire.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Lidentificazione e lautenticazione in rete (2)
Identificazione : lo Username sostituito da un certificato digitale. LUtente caratterizzato dal suo Codice Fiscale.
Autenticazione : la password sostituita da un un crittogramma prodotto per mezzo della chiave privata di autenticazione contenuta nella smart card
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Lidentificazione e lautenticazione in rete (3)
Il colloquio tra client e server caratterizzato da scambi di dati caratterizzati da procedure riferite al cosiddetto Challenge/Response.
Quando il colloquio in modalit web browsing viene utilizzato il protocollo TLS/SSL (Transport Layer Security/Secure Socket Layer)
Questi meccanismi garantiscono oltre che lautenticazione del titolare anche lautenticazione del server.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
La Carta di Identit Elettronica
La Carta di Identit Elettronica (CIE) lo strumento diidentificazione dei cittadini. Essa consente:
lidentificazione a vista ;lidentificazione forte in rete per lerogazione telematica di servizi da parte delle Pubbliche Amministrazioni.
Lidentificazione forte in rete ottenuta per mezzo dellachiave privata e del certificato digitale in essa contenuti.La CIE contiene anche dati sanitari ed i componenti di sicurezza necessari alla loro protezione.
Come per la carta CNS sono presenti componenti di sicurezzaper costruire aree dati da dedicare a altri servizi.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
La Carta di Identit Elettronica
Servizi_installati
DF_Servizio #2 Dati_servizio #2
MF
DF2
Kpri
DF1C_Carta
Dati_Personli
DF0 ID_Carta
INST key
DF_Servizio #1 Dati_servizio #1
KIa
DF_Servizio #n Dati_servizio #n
EF.GDO
KIc
AreaNetLink
Memoria residua
PIN
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
CNS
MF
DatiAnagrafici
DF-Anagrafica
Applicazione Sanitaria(Netlink)
DF-Netlink
Kpri
EF-GDO
EF-KPub
PUKPIN
AltriServizi
DF-Altri Servizi
PIN-FD
DF-F Digitale
DatiFirma Digitale
Quantit Sic.Ente Emettitore
EF-DIR
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
PC/SC e Interoperabilit
Linteroperabilit PC/SC consente di:gestire in modo unificato lo Smart Card File System tramite moduli SW (Service Provider) messi a disposizione dai fornitori di Smart Card
gestire in modo unificato le funzioni crittografiche simmetriche ed asimmetriche tramite moduli SW (Crypto Service Provider) messi a disposizione dai fornitori di Smart Card
Gestire in modo unificato i lettori di Smart Card tramite i driver messi a disposizione dai fornitori
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Librerie Crittografiche e Interoperabilit
SO carta1
SO carta2
SO cartaN
Drivers PCSC dei lettori
RESOURCE MANAGER
PKCS#11
CARTA 1
PKCS#11
CARTA 2
PKCS#11
CARTA N
WRAPPER PKCS#11/ATR Interceptor
Microsoft CSP
Applicazioni di autenticazione e Firma Digitale
PKI Middleware
Autenticazione SSL
SGUSGU
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Interoperabilit del sistema operativo
Affinch unapplicazione possa interagire con differenti tipologie di smart card senza la necessit di accorgimenti SW necessario che:i sistemi operativi abbiano gli stessi comandi APDU almeno per la fase di utilizzo del ciclo di vita delle smart card;le SmartCard abbiano la medesima struttura del File System e le stesse condizioni di accesso;I dati siano descritti con una sintassi comune (es: ASN1);I dati siano codificati con le medesime regole (es: BER);
Le smartcard del progetto Netlink, le CNS e la Carta di Identit Elettronica interoperano in base alle precedenti asserzioni
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
I certificati digitali
La carta nazionale dei servizi contiene un certificato di autenticazione, consistente nellattestato elettronico che assicura lautenticit delle informazioni necessarie per lidentificazione in rete del titolare della carta nazionale dei servizi, rilasciato da un certificatore accreditato
Art. 3, comma 1 del D.P.R. 2 marzo 2004, n.117
Il profilo del certificato di autenticazione pubblicato sul sito del CNIPA nella sezione dedicata alla CNS
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Smart Card e PKI
Legenda
RA:Registration Authority
CAO:Crt. Authority Operator
RAO:Registration Autority Operator
CRL:Certificate Revocation List
C A
CAO
RA
DirectoryShadow
CertificatiX509v3
CRL
CA Toolkit
User Application
Directory
DB
DB
RA Frontend
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Smart Card e PKI
S C
Applicazione di firma digitale e crittografia dei dati
CA Toolkit
(L D A P)
H-API
Cryptoki
Resource Manager Driver IFD
PKCS#11 API
Directory
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le applicazioni sanitarie della Carta
La Carta Sanitaria Netlink utilizza una Smart Card checontiene:
dati sanitari; componenti di sicurezza per la protezione dei dati sanitari;
La carta Netlink non prevede lutilizzo di oggetti crittografici quali:
Chiave privata Certificato digitale
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
EF.NKEF
EF.NKAP
EF.NKEP
EF.NKPP
MF
DF.NKAF
EF.DIR EF.GDO
DF.NKEF
DF.NKAP
DF.NKEP
DF.NKPP
EF.NKAF
DF.NETLINK
EF.NETLINK
EF.DIR
La carta Net Link
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Interoperabilit delle Carte sanitarie
CartaOperatoreSISS/Netlink
Cartadi
IdentitElettronica
CartaRegionale
deiServizi
CartaNetlink
Postodi
Lavorodelloperatore
sanitario
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le architetture di sicurezza sui client e sui server (1)
Le modalit di utilizzo della CNS in ambiente Netscape/Mozilla e in ambiente Internet Explorer differiscono a causa dellarchitettura dei browser.
Anche i differenti application server trattano le informazioni di autenticazione in modi differenti.
E gi stato provato un controllo daccesso con CIE e CNS dallo stesso posto di lavoro ma ancora bisogna fare dei passi in avanti.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Le architetture di sicurezza sui client e sui server (2)
Non bisogna dimenticare il processo di autorizzazione.
Il processo di autorizzazione definisce le operazioni che il titolare ha diritto a effettuare sullapplicazione specifica.
Il titolare lo stesso, ma su alcuni siti questo titolare non pu effettuare alcuna operazione, mentre su altri pu accedere ai dati personali e addirittura su siti di tipo sanitario a dati sensibili.
-
CNIPA 11 marzo 2005 Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
Per maggiori informazioniwww.cnipa.gov.it
http://www.cnipa.gov.it/
Diapositiva numero 1AGENDAScenario generale sulle carte daccesso (1)Scenario generale sulle carte daccesso (2)Il quadro normativo di riferimento (1)Il quadro normativo di riferimento (2)Il quadro normativo di riferimento (3)Il quadro normativo di riferimento (4)Il quadro normativo di riferimento (5)Smart CardInteroperabilit tra le smart cardIl MicrocircuitoIl Sistema OperativoLa norma ISO 7816Il protocollo di comunicazione (1) Il protocollo di comunicazione (2)(Lo standard PC/SC)Il protocollo logico (1)Application Protocol Data Unit (APDU)Il protocollo logico (2)Tipologie di comandi APDUIl protocollo logico (2)Alcuni esempiIl File System nella Smart CardI file elementari (EF)Modalit di navigazione del File SystemModalit di selezioneSelezione diretta dei DF(Norma ISO 7816 - 4 e 5)Selezione diretta dei DFSicurezza delle smart cardSicurezza fisica (1)Sicurezza fisica (2)Sicurezza fisicaLa gestione dei sensoriSicurezza fisicaSicurezza logicaSicurezza Logica(Gli oggetti della sicurezza)Le condizioni di accesso Sicurezza logica(Le condizioni di accesso)Sicurezza logica (Autenticazione)Sicurezza logicaLe Smart Card come motori crittograficiSmart CardLibrerie Crittografiche PKCS#11 (Cryptoki)CryptokiCRIPTOKYCRIPTOKYRappresentazione a oggetti del TokenImplementazione del Tokennelle SmarCardDescrizione del File System Descrizione del File System di Firma Digitale (esempio)Descrizione del File System di Firma Digitale (esempio)I meccanismi crittograficiLe funzioni PKCS#11Un esempio Generazione della Coppia di chiavi di firmaUn esempio Generazione della Coppia di chiavi di firmaSmartCard e lambiente MSLidentificazione e lautenticazione in rete (1)Lidentificazione e lautenticazione in rete (2)Lidentificazione e lautenticazione in rete (3)La Carta di Identit ElettronicaDiapositiva numero 55CNSPC/SC e InteroperabilitLibrerie Crittografiche e InteroperabilitInteroperabilit del sistema operativoI certificati digitaliSmart Card e PKISmart Card e PKILe applicazioni sanitarie della CartaDiapositiva numero 64Interoperabilit delle Carte sanitarieLe architetture di sicurezza sui client e sui server (1)Le architetture di sicurezza sui client e sui server (2)Diapositiva numero 68