autorità di certificazione legislazione italiana

Autorità di Certificazione

legislazione italiana

Indice

- Introduzione

- Autorità di Certificazione

* Ruolo delle Autorità di Certificazione

* Definizione di Certificato

* Catena di certificazione

- Il D.P.C.M. 8 febbraio 1999: Allegato Tecnico

Parte generale

* Articolo 1: Definizioni

* Articolo 4: Caratteristiche generali delle chiavi

IndiceParte relativa ai certificati

* Articolo 11: Informazioni contenute nei certificati

* Articolo 12: Formato dei certificati

* Articolo 28: Generazione dei certificati

* Articolo 42: Caratteristiche del sistema di generazione dei certificati

Parte relativa ai certificatori

* Articolo 22: Registrazione dei titolari

* Articolo 24: Obbligo di informazione

* Articolo 25: Comunicazione tra certificatore e titolare

* Articolo 27: Richiesta di certificazione

* Articolo 20: Cessazione dell’attività

Indice* Articolo 45: Manuale operativo

* Articolo 46: Piano per la sicurezza

* Articolo 47: Giornale di controllo

* Articolo 48: Sistema di qualità del certificatore

Parte relativa alla gestione dei certificati

* Articolo 43: Registro dei certificati

* Articolo 29: Revoca dei certificati relativi a chiavi di

sottoscrizione

* Articolo 30: Revoca su iniziativa del certificatore

* Articolo 31: Revoca su richiesta del titolare

* Articolo 33: Sospensione dei certificati

* Articolo 34: Sospensione su iniziativa del certificatore

Indice* Articolo 35: Sospensione su richiesta del titolare

* Articolo 37: Sostituzione delle chiavi di certificazione

* Articolo 38: Revoca dei certificati relativi a chiavi di certificazione

- Elenco pubblico dei certificatori

* Articolo 15: Elenco pubblico dei certificatori

* Articolo 16: Richiesta di iscrizione all’elenco pubblico dei certificatori

* Elenco

Introduzione

Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 introduce nel nostro ordinamento la firma digitale.

Come noto, il processo di firma prevede l’uso di crittografia a chiave pubblica.

PROBLEMA: per la verifica di una firma digitale una entità deve avere accesso alla chiave pubblica del firmatario e avere la certezza che questa corrisponda alla chiave privata del firmatario.

Indice

Autorità di Certificazione

SOLUZIONE RAGIONEVOLE: uso di “terze parti” sicure che permettano di mettere in relazione un firmatario (identificato secondo un certo canone) con una specifica chiave pubblica.

Tali terze parti sono indicate come

Autorità Certificanti/di certificazione:

possono essere una qualsiasi amministrazione centrale sicura che voglia

garantire per l’identità degli utenti che vogliano avere una relazione con una

chiave pubblica

Indice Elenco Autorità

Ruolo delle Autorità di Certificazione

Ogni Autorità di certificazione stabilisce e impone la propria procedura per ottenere la propria certificazione.

Quindi ogni Autorità definisce:

• il proprio ambito di competenza

• quali tipi di certificazione elettronica può fornire

• quali informazioni vanno fornite in modo preciso

Indice

Definizione di certificato

Le CA emettono certificati.

Essi sono file (documenti elettronici) contenenti:

• dati identificativi di un individuo/entità

• chiave pubblica dell’individuo/entità (che necessariamente deve possedere la chiave privata corrispondente)

• il tutto firmato da una o più CA

Funzione del certificato: legare una coppia di chiavi al particolare sottoscrittore

Indice Info nei certificati

Formato e generazione certificati

Catena di certificazione

La certificazione avviene usando il meccanismo a chiave pubblica

la firma apposta sui certificati deve essere verificabile

è necessario disporre della chiave pubblica di queste autorità, diffusa attraverso un certificato

Indice


Una CA può:

• funzionare in modo autonomo (pubblicizzando la sua chiave pubblica)

• appartenere a una struttura più o meno articolata (in tal caso deve fornire un certificato di una CA di più alto livello)

Indice


Abbiamo quindi una gerarchia nelle CA:

• multilivello: CA di livello superiore certifica le CA dei livelli immediatamente sottostanti (gerarchia ad albero, catena di certificati)

• due livelli: una sola CA certifica tutte le altre

• “ordine sparso”: qualsiasi CA può certificare le altre

Indice

Il D.P.C.M. 8 febbraio 1999

Stabilisce le regole tecniche per• formazione• trasmissione• conservazione• duplicazione• riproduzione• validazione (anche temporale)dei documenti informatici

Indice

Il D.P.C.M. 8 febbraio 1999

Focalizzeremo l’attenzione sulle regole tecniche.

Esse sono suddivise in 5 titoli:

• regole tecniche di base

• regole tecniche per la certificazione delle chiavi

• regole tecniche sulla validazione temporale e per la protezione dei documenti informatici

• regole tecniche per le pubbliche amministrazioni

• disposizioni finali

Vedremo in breve alcuni articoli dei primi due titoli

Indice

D.P.C.M. 08/02/1999 – parte generale

Articolo 1: Definizioni

Tra esse ricordo:“Titolare di una coppia di chiavi asimmetriche: il soggetto a cui è attribuita la firma digitale generata con la chiave privata della coppia, ovvero il responsabile del servizio o della funzione che utilizza la firma mediante dispositivi automatici”

“Dispositivo di firma è un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali”

“Marca temporale è un’evidenza informatica (= sequenza di simboli binari elaborabile da una procedura informatica) che consente la validazione temporale”

Indice

D.P.C.M. 08/02/99 – parte generale

Articolo 4: Caratteristiche generali delle chiavi

Una coppia di chiavi può essere attribuita a un solo titolare.

Lunghezza delle chiavi: almeno 1024 bit

Tipologie di chiavi:“chiavi di sottoscrizione destinate alla generazione e verifica delle firme apposte o associate ai documenti”

“chiavi di certificazione destinate alla generazione e verifica delle firme apposte ai certificati e alle loro liste di revoca (CRL) o sospensione (CSL)”

Il certificatore determina scadenza del certificato e validità delle chiavi

Indice

Torna a Art.29

Torna a Art.38

D.P.C.M. 08/02/99 – parte sui certificati

Articolo 11: Informazioni contenute nei certificatiAlmeno:

a) numero di serie del certificato

b) ragione o denominazione sociale del certificatore

c) codice identificatvo del titolare presso il certificatore

d) nome cognome e data di nascita ovvero ragione o denominazione sociale del titolare

e) valore della chiave pubblica

f) algoritmi di generazione e verifica utilizzabili

g) inizio e fine del periodo di validità delle chiavi

h) algoritmo di sottoscrizione del certificato

Altri elementi a seconda del tipo di chiavi

Indice

Torna a Certificati


Articolo 12: Formato dei certificatiConformi a norma ISO/IEC 95948:1995

oppure a specifica pubblica PKCS#6 e PKCS#9

Articolo 28: Generazione dei certificati* Prima di emettere il certificato il certificatore deve:

a. accertarsi dell’autenticità della richiesta

b. verificare che la chiave pubblica di cui si richiede la certificazione non sia già stata certificata da uno dei certificatori iscritti nell’elenco

c. richiedere la prova del possesso della chiave privata e verificare il corretto funzionamento della coppia di chiavi, eventualmente richiedendo la sottoscrizione di uno o più documenti di prova

Indice

Torna a CertificatiTorna a Art.35


Articolo 28* Il certificato deve essere poi pubblicato mediante inserimento nel registro dei certificati gestito dal certificatore. Il momento della pubblicazione deve essere attestato mediante generazione di una marca temporale.

* Il certificato emesso e la marca temporale devono essere inviati al titolare.

* Per ciascun certificato emesso il certificatore deve fornire al titolare un codice riservato.

* La generazione dei certificati è registrata nel giornale di controllo.

Indice


Articolo 42: Caratteristiche del sistema di generazione dei certificati

La generazione deve avvenire in un sistema usato esclusivamente per tale funzione, situato in locali protetti.

I vari accessi, effettuati da personale autorizzato, devono essere registrati sul giornale di controllo.

Indice

D.P.C.M. 08/02/99 – parte sui certificatori

Articolo 22: Registrazione dei titolariLa richiesta di registrazione deve essere redatta per iscritto e deve essere conservata a cura del certificatore per almeno 10 anni.

Al momento della registrazione il certificatore deve verificare l’identità del richiedente.

Il certificatore deve attribuire a ciascun titolare registrato un codice identificativo di cui garantisce l’univocità nell’ambito dei propri utenti.

Articolo 24: Obbligo di informazioneIl certificatore deve informare espressamente il richiedente riguardo agli obblighi assunti in merito alla segretezza della chiave privata e alla conservazione e uso dei dispositivi di firma.

Indice


Articolo 25: Comunicazione tra certificatore e titolareIl certificatore può fornire al titolare gli strumenti necessari per realizzare un sistema di comunicazione sicuro che consenta di effettuare per via telematica le seguenti operazioni:

a. personalizzazione dei dispositivi di firma

b. richiesta di certificazione di chiavi generate fuori dall’ambiente del certificatore

c. richiesta di revoca immediata di un certificato

In assenza di tale sistema le operazioni vanno effettuate presso il certificatore

Indice

Torna a Art.27 Torna a Art.31 Torna a Art.35


Articolo 27: Richiesta di certificazioneViene inoltrata tramite il sistema di comunicazione di cui all’art.25 o con altro meccanismo previsto dal manuale operativo.

Vanno indicate le informazioni che il soggetto non vuole siano inserite

Articolo 20: Cessazione dell’attivitàSi è tenuti a comunicare all’A.I.P.A. la data di cessazione con un anticipo di almeno 6 mesi, indicando il certificatore sostitutivo o il depositario del registro dei certificati e la relativa documentazione.

Tali informazioni verranno rese note dall’A.I.P.A. nell’elenco pubblico.

Il certificatore deve avvisare i possessori dei certifcati da esso emessi, specificando che tutti i certificati non scaduti al momento della cessazione devono essere revocati.

Indice


Articolo 45: Manuale operativoDefinisce le procedure applicate dal certificatore nello svolgimento della propria attività.

Tra gli elementi che il manuale deve contenere, ricordiamo:

a. dati identificativi del certificatoreb. responsabile del manuale operativo

c. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme

d. tariffee. modalità di identificazione e registrazione degli utentif. modalità di generazione delle chiavig. modalità di emissione dei certificatih. modalità di sospensione e revoca dei certificatii. modalità di sostituzione delle chiavij. modalità di gestione e accesso al registro dei certificati

Indice

Torna a Art.16


Articolo 46: Piano per la sicurezzaDeve essere fornito dal responsabile della sicurezza

Tra gli elementi che il piano deve contenere, ricordiamo:

a. attribuzione delle responsabilità

b. algoritmi crittografici utilizzati

c. descrizione delle procedure utilizzate nell’attività di certificazione

d. descrizione dei dispositivi installati

e. descrizione dei flussi di dati

f. procedura di gestione delle copie di sicurezza dei dati

g. specificazione dei controlli

h. modalità di sospensione e revoca dei certificati

Indice

Torna a Art.16


Articolo 47: Giornale di controlloE’ costituto dall’insieme delle registrazioni effettuate automaticamente dai dispositivi installati presso il certificatore

A ciascuna registrazione deve essere associata la data e l’ora in cui è stata effettuata.

L’integrità del giornale di controllo deve essere verificata con frequenza almeno mensile.

Articolo 48: Sistema di qualità del certificatoreEntro un anno dall’inizio dell’attività, il sistema di qualità deve essere certificato secondo le norme ISO 9002.

Indice

Torna a Art.28

D.P.C.M. 08/02/99 – parte su gestione certificati

Articolo 43: Registro dei certificatiDevono essere presenti i seguenti elementi:

a. i certificati emessi dal certificatore

b. la lista dei certificati revocati

c. la lista dei certificati sospesi

Esso è accessibile a qualsiasi soggetto.

Le liste di certificati sospesi e revocati possono essere suddivise in liste diverse.

Il registro può essere replicato su più siti purchè sia garantita la consistenza e l’integrità delle copie.

Di esso va mantenuta una copia di riferimento (cfr. Articolo 44)

Indice


Articolo 29: Revoca dei certificati relativi a chiavi di sottoscrizioneLa revoca di un certificato determina la cessazione anticipata della sua validità.

Effettuata dal certificatore mediante l’inserimento del certificato in una delle CRL da lui gestite.

La revoca è efficace a partire dal momento della pubblicazione della lista che la contiene ed è definitiva.

Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere immediatamente alla pubblicazione dell’aggiornamento della lista di revoca.

Indice

Tipologie di chiavi


Articolo 30: Revoca su iniziativa del certificatoreDeve darne comunicazione al titolare, specificando i motivi, la data e l’ora a partire dalla quale il certificato non è più valido.

Articolo 31: Revoca su richiesta del titolare Deve essere redatta per iscritto e recare la motivazione e la decorrenza.

E’ inoltrata tramite il sistema di comunicazione sicuro di cui all’articolo 25

Il certificatore deve verificare l’autenticità della richiesta e procedere alla revoca entro il termine richiesto. Se non riesce a verificare in tempo utile, procede alla sospensione del certificato.

Indice


Articolo 33: Sospensione dei certificatiLa validità di un certidficato può essere sospesa dal titolare, dal certificatore o dal terzo interessato.

La sospensione è effettuata dal certificatore attraverso l'inserimento del certificato in una delle liste dei certificati sospesi e diviene efficace dal momento della pubblicazione della lista che lo contiene.

Articolo 34: Sospensione su iniziativa del certificatore Il certificatore deve darne preventiva comunicazione al titolare, specificandone i motivi e la durata.

L'avvenuta sospensione deve essere notificata al titolare specificando data e ora a partire dalla quale il certificato risulterà essere sospeso.

Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione

Indice


Articolo 35: Sospensione su richiesta del titolareLa richiesta deve essere redatta per iscritto specificando la motivazione e il periodo di sospensione, e inoltrata mediante il sistema di comunicazione sicuro di cui all'Art. 25.

Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto.

In caso di emergenza è possibile richiedere la sospensione immediata di un certificato usando il codice previsto dall'Art. 28. La richiesta deve essere successivamente confermata usando una delle modalità previste dal certificatore.

Indice


Articolo 37: Sostituzione delle chiavi di certificazioneLa procedura di sostituzione deve avvenire almeno 90 gg. prima della scadenza del certificato relativo a una chiave di certificazione, generando una nuova coppia di chiavi.

Il certificatore deve quindi generare un certificato relativo alla nuova chiave pubblica sottoscritto con la chiave privata della vecchia coppia e uno relativo alla vecchia chiave pubblica sottoscritto con la nuova chiave privata.

Indice


Articolo 38: Revoca dei certificati relativi a chiavi di certificazioneE' consentita solo nei seguenti casi:

a) compromissione della chiave segreta

b) guasto del dispositivo di firma

c) cessazione dell'attività

Deve essere notificata entro 24 ore all'AIPA e a tutti i possessori di certificati sottoscritti con la chiave segreta appartenente alla coppia revocata.

Il certificato revocato deve essere inserito in una lista di revoca aggiornata immediatamente.

Indice

Tipologie di chiavi

Elenco pubblico dei certificatori

Articolo 15: Elenco pubblico dei certificatoriContiene, per ogni certificatore, le seguenti informazioni:

a) Ragione o denominazione sociale

b) Sede legale

c) Rappresentante legale

d) Nome X.500

e) Indirizzo Internet

f) Elenco numeri telefonici di accesso

g) Lista dei certificati delle chiavi di certificazione

h) Manuale operativo

i) Data di cessazione e certificatore sostitutivo

Tale elenco è sottoscritto dall'AIPA

Indice


Articolo 16: Richiesta di iscrizione all'elenco pubblico dei certificatori

Alla domanda di iscrizione devono essere allegati:

a) Copia del manuale operativo

b) Copia del piano per la sicurezza

c) profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi

d) copia della polizza assicurativa a copertura dei rischi dell'attività e dei danni causati a terzi

L'Autorità può chiedere integrazioni alla documentazione presentata.

Entro 60 giorni dalla presentazione la domanda viene accettata ovvero respinta con provvedimento motivato.

Indice


Elenco qui di seguito le società individuate dall'AIPA, alla data del 6 luglio 2000, ai fini dell'attività di certificazione:

Società Interbancaria per l'Automazione – Cedborsa S.p.A.

Società per i Servizi Bancari – SSB S.p.A

BNL Multiservizi S.p.A.

Infocamere – Società Consortile di Informatica delle Camere di Commercio Italiane S.p.A.

Finanziaria Italiana S.p.A.

Saritel S.p.A.

Postecom S.p.A.

Servizi Centralizzati S.p.A.

Indice

Torna a Autorità

autorità di certificazione legislazione italiana

Documents