certification practice statement (cps) registration e

Documento pubblico 1

TITO

LO P

RO

CED

UR

A T

ITO

LO

PR

PO

CED

UR

A T

ITO

LO P

RO

CED

UR

A

Questo documento è di proprietà eni spa che se ne riserva tutti i diritti

Rev. Descrizione Emissione

1.0 18/12/2014

Manuale Operativo

Certification Practice Statement (CPS)

Registration e Certification Authority eni



VA R

EPO

RT

TITOLO:

Certification Practice Statement (CPS). Registration e Certification Authority eni

NOTE:

Documento pubblico di diffusione delle policy della CA eni.

REV.: REDATTO DA: VERIFICATO DA: APPROVATO DA:

1.0 Ufficio Servizi di terza Parte Fidata eni

G.Roselli A.Cozza



VA R

EPO

RT

STORIA DELLE REVISIONI

Rev. Descrizione: Data emissione

1.0 Primo rilascio 18/12/2014

Indice



VA R

EPO

RT

Indice 1. Introduzione .............................................................................................................. 8

1.1. Contesto ........................................................................................................... 8

1.2. Identificazione del documento .............................................................................. 8

1.3. Modifiche introdotte rispetto alle versioni precedenti ................................................ 9

1.4. Tabella di Acronimi e Abbreviazioni ....................................................................... 9

1.5. Comunità ed Applicabilità .................................................................................. 10

1.5.1. Certification Authority ................................................................................. 10

1.5.2. Registration Authority ................................................................................ 10

1.5.3. Responsabile dell’identificazione ................................................................... 10

1.5.4. Utente ...................................................................................................... 10

1.6. Tipologia dei certificati ...................................................................................... 11

1.7. Responsabile del Manuale .................................................................................. 11

1.7.1. Assistenza sui servizi di CA .......................................................................... 12

1.7.2. Servizio Internet ........................................................................................ 12

1.8. Riferimenti ...................................................................................................... 12

2. Condizioni Generali di Erogazione ............................................................................... 14

2.1. Obblighi .......................................................................................................... 14

2.1.1. Obblighi della CA ........................................................................................ 14

2.1.2. Obblighi del Titolare .................................................................................... 14

2.2. Responsabilità della CA ..................................................................................... 14

2.2.1. Verso il Titolare .......................................................................................... 14

2.3. Pubblicazione e directory ................................................................................... 15

2.3.1. Informazioni sulla CA .................................................................................. 15

2.3.2. Certificati e CRL.......................................................................................... 16

2.4. Legge Applicabile e Foro Competente .................................................................. 16

3. Processi Operativi ..................................................................................................... 17

Indice



VA R

EPO

RT

3.1. Generazione della richiesta di Certificato .............................................................. 17

3.1.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE ............................... 17

3.1.2. Firme Digitali su Dispositivi HSM ................................................................... 17

3.1.3. Certificati SSL Client ................................................................................... 17

3.1.4. Certificati SSL Server CA Pubblica ................................................................. 18

3.1.5. Certificati SSL Server CA eni ........................................................................ 18

3.2. Registrazione del Titolare .................................................................................. 18




3.2.4. Certificati SSL Server CA Pubblica ................................................................. 19


3.3. Verifica dei Dati ................................................................................................ 20




3.3.4. CERTIFICATI SSL SERVER CA PUBBLICA ........................................................ 21

3.3.5. CERTIFICATI SSL SERVER CA eni .................................................................. 21

3.4. Generazione del Certificato ................................................................................ 21

3.5. Pubblicazione del Certificato ............................................................................... 21

3.6. Accettazione del Certificato ................................................................................ 22

3.7. Installazione del Certificato ................................................................................ 22

3.8. Variazione dei dati di Registrazione ..................................................................... 22

3.9. Revoca del Certificato ....................................................................................... 22

3.9.1. Circostanza per la revoca ............................................................................. 22

3.9.2. Richiesta di Revoca da parte del Titolare ........................................................ 23

3.9.3. Richiesta di Revoca da parte della CA ............................................................ 23

3.10. Gestione degli Archivi ........................................................................................ 23

3.11. Livelli di Servizio .............................................................................................. 24

Indice



VA R

EPO

RT

3.12. Compromissione e Disaster Recovery .................................................................. 24

4. Aspetti Di Sicurezza .................................................................................................. 26

4.1. Protezione Fisica dei Locali ................................................................................. 26

4.2. Sicurezza del Sistema di Certificazione ................................................................ 26

4.3. Sicurezza del Modulo Crittografico ....................................................................... 27

4.4. Sicurezza degli Elaboratori ................................................................................. 27

4.5. Sicurezza delle Rete .......................................................................................... 27

5. Profilo dei Certificati e delle CRL ................................................................................. 29

5.1. Profilo dei Certificati .......................................................................................... 29

5.1.1. Root CA .................................................................................................... 29

5.1.2. SUBCA ...................................................................................................... 31

5.1.3. Certificati Firme Digitali Qualificate e Certificati CNS-LIKE ................................. 32

5.1.4. Certificati Firme Digitali su HSM .................................................................... 33


5.1.6. Certificati CodeSigning ................................................................................ 34

5.1.7. Certificati Crittografia Utente ........................................................................ 35

5.1.8. Certificati SSL SERVER CA Pubblica ............................................................... 36


5.2. Profilo della CRL ............................................................................................... 38

Indice delle figure



VA R

EPO

RT

Indice delle figure Non è stata trovata alcuna voce dell'indice delle figure.

1.Introduzione



VA R

EPO

RT

1. Introduzione

1.1. Contesto

Il presente documento ha lo scopo di definire la Certificate Practice Statement (CPS) di eni, l’insieme delle regole e procedure operative adottate dalla Registration Authority (RA) eni per l’emissione dei certificati digitali.

La descrizione di questi fattori è contenuta nel Manuale Operativo, documento che comprende l'insieme delle norme operative utilizzate da una Certification Authority (CA) nell'emissione dei certificati. Il Manuale Operativo rappresenta la “dichiarazione delle procedure utilizzate da un Certificatore nel rilascio dei certificati”. Le informazioni presenti all’interno dei certificati sono definite dalle policy, un’insieme di regole che indicano l’applicabilità del certificato a ben determinate comunità di utenti e/o classi di applicazioni con requisiti di sicurezza comuni.

Ogni nuova versione del Manuale Operativo annulla e sostituisce le precedenti versioni, che rimangono tuttavia applicabili ai certificati emessi durante la loro vigenza e fino alla scadenza degli stessi.

La struttura e di questo CPS si basa sulla specifica pubblica [RFC 3647] governata dall’IETF (Internet Engineering Task Force).

IMPORTANTE: le CPS eni, adottate dalla RA eni, sono emesse in coerenza con le CPS di Actalis, Certificatore accreditato presso l’AgID di riferimento per eni. Le CPS Actalis per l’emissione dei certificati qualificati e dei certificati di SSL Server sono disponibili al sito web del Certificatore.

1.2. Identificazione del documento

Il presente documento costituisce il Manuale Operativo di eni per l’emissione dei certificati delle linee di servizio di certificazione dei Servizi di terza Parte Fidata eni e prende il nome di:

Manuale Operativo. Certification Practice Statement (CPS). Registratione e Certification Authority eni

Il Manuale Operativo specifico è identificato attraverso il numero di versione. Il corrispondente file elettronico che lo contiente è identificabile dal nome “CPS_CA_ENI_01” ed è consultabile per via telematica a partire dall’indirizzo Internet http://ca.eni.com/Info/CPS della RA e CA eni.

1.Introduzione



VA R

EPO

RT

1.3. Modifiche introdotte rispetto alle versioni precedenti

Il presente Manuale Operativo sostituisce le attuali policy della CA eni

1.4. Tabella di Acronimi e Abbreviazioni

CA CertificationAuthority

CN Common Name

MO Manuale Operativo

CRL Certificate Revocation List

CSR Certificate SigningRequest

DN DistinguishedName

ITSEC Information Technology Security Evaluation Criteria

PKI Public KeyInfrastructure

RA Registration Authority

RSA Rivest-Shamir-Adleman

SSL Secure Sockets Layer

TCSEC Trusted Computer System Evaluation Criteria

1.Introduzione



VA R

EPO

RT

1.5. Comunità ed Applicabilità

1.5.1. Certification Authority

Per l’erogazione di certificati di chiave pubblica rivolti a soddisfare esigenze di sicurezza in Internet / Intranet, eni prevede l’utilizzo di una CA che consente il riconoscimento dei certificati emessi.

Eni, attraverso la funzione ICT preposta, eroga alle controparti di riferimento (corporate, società controllate) i servizi di certificazione classificati nei servizi di Terza Parte Fidata.

1.5.2. Registration Authority

La funzione di identificazione e registrazione del Richiedente, la verifica della documentazione fornita da tale soggetto, è svolta dall’ICT attraverso la funzione aziendale dei Servizi di Terza Parte Fidata di eni.

1.5.3. Responsabile dell’identificazione

Il Responsabile dell’identificazione, o in scenari specifici il Client Manager dell’applicazione/servizio, dovrà provvedere ad espletare le fasi di identificazione e registrazione del futuro Titolare del certificato al servizio, come descritto nel paragrafo Registrazione del Richiedente.

1.5.4. Utente

Gli utenti, ovvero i Titolari dei certificati, sono i soggetti delle organizzazioni che richiedono un certificato e che detengono nel tempo la corrispondente chiave privata

Con “Titolare del Certificato” si intende l’entità chiamata “Subscriber” o “Subject” in [POLREQ] ed [EVCG].

Il rapporto con la CA viene normalmente attivato dal soggetto richiedente che diverrà Titolare del certificato, il quale dunque coincide col cliente (“Customer”); è comunque ammesso che il cliente agisca come richiedente in nome e per conto del Titolare del certificato (ad es. nel caso di richiesta di certificati server il cui richiedente è una figura distinta dal Titolare, il quale a sua volta garantisce

1.Introduzione



VA R

EPO

RT

per il sistema server da certificare), circostanza che deve essere dimostrata dagli interessati in sede di richiesta.

1.6. Tipologia dei certificati

Il presente Manuale Operativo si riferisce unicamente alla emissione e gestione di certificati per:

Certificati SSL: Client

CA eni CA esterna (o pubblica/trusted del Certificatore di riferimento)

Server CA eni

singolo server multisan

CA esterna (o pubblica/trusted del Certificatore di riferimento) singolo server multisan

Certificati Firma Qualificata / CNS-like Certificati di Sub-CA

CA eni Cerificati di Code Signing

CA esterna (o pubblica/trusted del Certificatore di riferimento) Cerificati di Crittografia

CA esterna (o pubblica/trusted del Certificatore di riferimento)

1.7. Responsabile del Manuale

Eni è responsabile della definizione, pubblicazione ed aggiornamento del presente documento.

La persona da contattare per questioni riguardanti il presente documento è:

Giuseppe Roselli, Responsabile dei Servizi di Terza parte Fidata eni

Via Paolo di Dono 223, 00142 – Roma –

[email protected]

1.Introduzione



VA R

EPO

RT

1.7.1. Assistenza sui servizi di CA

L'assistenza è disponibile attraverso la casella di servizio [email protected], dal lunedì al venerdì (orario ufficio).

1.7.2. Servizio Internet

Per avere avere maggiori informazioni sul servizio è possibile inviare una e-mail all'indirizzo:

[email protected]

1.8. Riferimenti

[DLGS196] Decreto Legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, pubblicato nel Supplemento Ordinario n.123 della Gazzetta Ufficiale n. 174, 29 luglio 2003.

[RFC2251] Wahl, M., Howes, T., and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997. (http://www.ietf.org/rfc/rfc2251.txt)

[RFC2314] Kaliski, B., "PKCS #10: Certification Request Syntax Version 1.5", RFC 2314, March 1998. (http://www.ietf.org/rfc/rfc2314.txt)

[RFC2560] Myers, M., R. Ankney, A. Malpani, S. Galperin and C. Adams, "Online Certificate Status Protocal - OCSP", June 1999. (http://www.ietf.org/rfc/rfc2560.txt)

[RFC2616] [RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P. and T. Berners-Lee, "Hypertext Transfer Protocol, HTTP/1.1", RFC 2616, June 1999. (http://www.ietf.org/rfc/rfc2616.txt)

[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000. (http://www.ietf.org/rfc/rfc2818.txt)

[RFC3647] Chokhani, S., Ford, W., Sabett, R., Merrill, C., and S. Wu, "Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", RFC 3647, November 2003. (http://www.ietf.org/rfc/rfc3647.txt)

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008. (http://www.ietf.org/rfc/rfc5280.txt)

1.Introduzione



VA R

EPO

RT

[X.509] ITU-T Recommendation X.509 (2005) | ISO/IEC 9594-8:2005, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. (http://www.iso.ch)

[POLREQ] ETSI TS 101 042: Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates, v2.2.1 (2011-12)

[BR] CA/Browser Forum, “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates”, Version 1.1.

[EVCG] CA/Browser Forum, “Guidelines For The Issuance And Management Of Extended Validation Certificates”, Version 1.5.2

2.Condizioni Generali di Erogazione



VA R

EPO

RT

2. Condizioni Generali di Erogazione

2.1. Obblighi

2.1.1. Obblighi della CA

eni si impegna a:

Verificare, secondo quanto descritto all’interno del presente Manuale Operativo, la correttezza della documentazione fornita con la richiesta di certificazione;

Rilasciare e rendere pubblico il certificato in accordo ai requisiti descritti nel presente Manuale Operativo;

Dare tempestiva comunicazione, mediante pubblicazione nelle Liste di Revoca (CRL), della revoca dei certificati.

2.1.2. Obblighi del Titolare

Il Titolare è obbligato a:

Fornire informazioni e documentazione veritieri in fase di registrazione; Generare e conservare la propria chiave privata in sicurezza, adottando le necessarie precauzioni

per evitare danni, alterazioni o usi non autorizzati della stessa; Inviare la richiesta di certificazione con le modalità indicate nel presente Manuale Operativo; Installare e utilizzare il certificato digitale rilasciato da eni in base al presente Manuale Operativo

unicamente in base all’uso per il quale è stato emesso (per i certificati SSL server deve essere utilizzato a protezione del sistema definito nel campo CommonName);

Informare tempestivamente eni nel caso in cui le informazioni presenti sul certificato rilasciato non siano più valide, richiedendo la revoca del certificato;

Informare tempestivamente eni nel caso in cui ritenga che la sicurezza del web server, sistema, applicazione su cui è stato installato il certificato possa essere compromessa, richiedendo la revoca del certificato stesso;

Provvedere immediatamente a rimuovere dal web server, sistema, applicazione il certificato per il quale è stata richiesta la revoca;

Custodire con la massima cura il "codice di revoca".

2.2. Responsabilità della CA

2.2.1. Verso il Titolare

Eni non è responsabile nei confronti del Titolare o di utenti terzi, per eventuali danni, di qualsiasi tipo, derivanti dalla mancata emissione del certificato o da un uso improprio del certificato.




VA R

EPO

RT

2.3. Pubblicazione e directory

La CA pubblica almeno la seguente documentazione sul proprio sito web:

CertificationPractice Statement (CPS) Certificati di CA (Root CA e Sub CA)

La CA, inoltre, pubblica le CRL sul proprio directory server.

2.3.1. Informazioni sulla CA

Per l’intero periodo di validità dei certificati emessi in conformità al presente Manuale Operativo, eni si impegna a pubblicare sul proprio sito web, https://ca.eni.com/Info/CPS , almeno le seguenti informazioni:

I certificati delle chiavi di certificazione per firmare digitalmente i certificati intermedi e di entità finale;

Il presente Manuale Operativo.

Si riportano di seguito i dati salienti dei certificati di CA al servizio descritto nel presente Manuale Operativo:




VA R

EPO

RT

2.3.2. Certificati e CRL

Il servizio di pubblicazione delle CRL utilizza i protocolli http e LDAP. Il sistema LDAP è in outsourcing presso il Certificatore di riferimento Actalis.

Gli url per i certificati dalla CA eni sono i seguenti:

X509v3 CRL Distribution Points:

Full Name:

URI:ldap://ca.eni.com/cn%3deni%20Certification%20Authority%20for%20Legacy%20Applications,ou%3dTTP%20Services,o%3deni%20S.p.A.,c%3dIT?certificateRevocationList;binary

Full Name:

URI:http://ca.eni.com/Repository/eni-LA/getCRL

2.4. Legge Applicabile e Foro Competente

Le presenti Condizioni Generali sono soggette alla legge italiana. Per le controversie che dovessero insorgere tra le parti in relazione alle disposizioni del presente Manuale Operativo, competente a giudicare sarà esclusivamente il Foro di Roma.

3.Processi Operativi



VA R

EPO

RT

3. Processi Operativi

3.1. Generazione della richiesta di Certificato

3.1.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE

Il Titolare compila il Modulo di Registrazione specifico per la tipologia inserendo tutti i dati richiesti, lo sottoscrive, allega la fotocopia di un documento di identità valido e consegna il tutto al Responsabile dell’Identificazione.

Il Responsabile dell’Identificazione verifica la corretta e completa compilazione del Modulo di Registrazione, completa la parte a lui riservata indicando la tipologia di certificato richiesta, firma il modulo e lo invia, unitamente alla copia del documento e al foglio excel riassuntivo dei dati, alla RA Eni (Mbx Enica, [email protected]).

L’invio alla casella di servizio [email protected] è effettuato dal Responsabile dell’Identificazione o di suoi collaboratori, oppure dal Titolare (purché il Responsabile sia tra i destinatari del messaggio).

3.1.2. Firme Digitali su Dispositivi HSM

La fase di generazione della richiesta si compone dei passi previsti nel 3.1.1.

La funzione sistemistica ICT:

opera in sicurezza per GENERARE LA COPPIA DI CHIAVI RSA presso il sito nel quale è ubicato l’HSM, oppure collegandosi da remoto. Contestualmente viene generato il PIN distinto per credenziale utente e la certificate request

Invia tramite e-mail il file contenente la certificate request all’utente e/o ai servizi di Terza Parte Fidata e eventualmente al supporto tecnico ICT che segue l’utente

3.1.3. Certificati SSL Client

Il Titolare compila la richiesta inserendo tutti i dati richiesti e lo consegna al Responsabile dell’Identificazione.

Il Responsabile dell’Identificazione ne verifica la corretta e completa compilazione e lo invia al Client Manager del Portale E-Finance (l’invio può essere eseguito da un suo collaboratore o dal Titolare,




VA R

EPO

RT

purchè il Responsabile sia tra i destinatari del messaggio), oppure, qualora il certificato sia necessario per altro tipo di applicativo, direttamente alla RA Eni (Mbx Enica, [email protected]).

3.1.4. Certificati SSL Server CA Pubblica

Il richiedente compila la richiesta inserendo tutti i dati richiesti e prepara la CSR (file di Certificate Signing Request). Il Responsabile dell’Identificazione ne verifica la corretta e completa compilazione. L’invio della richiesta e della CSR avviene a mezzo mail alla casella di servizio [email protected] da parte del Responsabile dell’Identificazione referente dei sistemi da certificare o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio).

3.1.5. Certificati SSL Server CA eni

Il richiedente compila la richiesta inserendo tutti i dati richiesti, la posizione anagrafica di CA a cui associare il certificato stesso e prepara la CSR (file di Certificate Signing Request). L’invio avviene a mezzo mail alla casella di servizio [email protected] da parte del Responsabile dell’Identificazione o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio).

3.2. Registrazione del Titolare


La registrazione dell’utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del Titolare.

La RA eni, alla ricezione della richiesta:

a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority del certificatore Accreditato c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente il kit contenente il token,il microchip e il relativo software la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente la ricevuta di ricezione del token, da firmare e restituire a cura del Richiedente




VA R

EPO

RT


La fase di registrazione si compone dei passi già previsti nel paragrafo 3.2.1 fatta eccezione per l’invio del token kit (non necessario per questa tipologia di certificato).


La RA eni, alla ricezione della richiesta:

a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente la ricevuta di integrità del CRP da firmare e restituire in alternativa ai precedenti, invia un messaggio elettronico PEC contenente il CRP

Qualora la Società del Gruppo abbia individuato come referente per i CRP il Responsabile dell’Identificazione, è cura di quest’ultimo garantire la consegna dei CRP agli utenti.

Modello Centro servizio: in alcuni casi, per ottimizzare il business specifico, i certificati vengono richiesti da un referente autorizzato linea di business eni, che si occupa anche del prelievo degli stessi per conto degli utenti. Ciò avviene, per esempio, nel caso dei gestori della “Refining & Marketing” e dei “SUPPLIER”.

3.2.4. Certificati SSL Server CA Pubblica

Gli utenti registrati con utenze di CA sono i soli Registration Auhtority Officer (RAO), riconosciuti dal Certificatore di riferimento.

La RA eni, alla ricezione della modulistica di richiesta esegue gli opportuni controlli e autorizza il certificato.


La registrazione dell’utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del web server o sistema per il quale si richiede il certificato.

La RA eni, alla ricezione della modulistica di richiesta:




VA R

EPO

RT

a) esegue gli opportuni controlli; b) registra il nuovo Titolare al quale verrà associato il certificato presso la Certification Authority

eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente

3.3. Verifica dei Dati


Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni:

autorizza il certificato richiesto invia notifica dell’avvenuta autorizzazione al Titolare e/o al Responsabile dell’Identificazione.


La fase di verifica dei dati si compone dei passi eseguiti al paragrafo 3.3.1

Il Titolare:

riceve la certificate request dalla funzione ICT e/o dalla RA eni; si collega al portale web della RA eni tramite il proprio account e inserisce la certificate

request preleva il certificato e lo invia tramite email alla funzione ICT e/o ai servizi di Terza Parte

Fidata

La funzione ICT:

riceve il certificato utente dal Titolare installa il certificato sull’HSM




VA R

EPO

RT


Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni:

autorizza il certificato richiesto invia notifica dell’avvenuta autorizzazione al Titolare e/o al Responsabile dell’Identificazione in alternativa ai precedenti, in caso di precedente invio di messaggio elettronico PEC

contenente il CRP, si autorizza il certificato.

3.3.4. CERTIFICATI SSL SERVER CA PUBBLICA

La RA eni, autorizza ed emette il certificato richiesto, invia una mail di notifica con il certificato emesso.

3.3.5. CERTIFICATI SSL SERVER CA eni

La RA eni, autorizza il certificato richiesto e invia una mail di notifica di autorizzazione al richiedente.

Il Titolare (possessore della posizione anagrafica di CA al quale è stato associato il certificato) riceve una notifica di autorizzazione anche da Actalis e provvede a prelevare e installare il certificato.

3.4. Generazione del Certificato

Una volta ricevuta l'approvazione della RA, la CA verificherà che il formato PKCS#10 della richiesta sia corretto. Se le verifiche previste hanno esito positivo, la CA genera il certificato in accordo al profilo descritto nel paragrafo “Profilo dei certificati”. Il DN apparirà come valore del campo subject del certificato.

Se le verifiche non hanno esito positivo, la CA, tramite la RA, notifica al richiedente l'evento, richiedendo la generazione di una nuova richiesta di certificazione.

3.5. Pubblicazione del Certificato

Il certificato viene pubblicato nel Directory Server X.500 ed inviato, a cura della CA, all'indirizzo di posta elettronica del Titolare autorizzato.




VA R

EPO

RT

3.6. Accettazione del Certificato

Il certificato si intende senz’altro accettato dal Titolare trascorsi 30 giorni dalla data di consegna, come attestata dalla data del messaggio di posta elettronica tramite il quale esso viene inviato al cliente, in assenza di comunicazioni in senso contrario da parte del Titolare stesso.

3.7. Installazione del Certificato

Al ricevimento del certificato, il Tichiedente potrà installarlo, seguendo le istruzioni dello specifico prodotto utilizzato.

3.8. Variazione dei dati di Registrazione

Il Titolare, il Responsabile dell’Identificazione (o un suo collaboratore), il richiedente nel caso dei certificati server (informando il o i precedenti utenti) deve informare tempestivamente la RA eni nel caso in cui ci siano delle variazioni dei dati contemplati nel paragrafo Registrazione del Titolare. Se le variazioni riguardano dati presenti sul certificato, il Titolare deve altresì richiedere la revoca del certificato.

La RA eni si riserva la facoltà di revocare il certificato del Titolare nel caso in cui la variazione dei dati di registrazione lo richieda.

3.9. Revoca del Certificato

3.9.1. Circostanza per la revoca

La revoca di un certificato è l’operazione con cui la CA annulla la validità del certificato prima della naturale scadenza. Quando un certificato viene revocato, il suo numero seriale viene aggiunto ad una lista chiamata Certificate Revocation List (o CRL).

I soggetti che possono richiedere questa operazione, comunemente chiamata revoca, sono i Titolari, la RA e le CA, mentre l’attuazione della revoca è effettuata soltanto dalla CA.

Il Titolare può richiedere l’emissione di un nuovo certificato prima della scadenza di quello in suo possesso. L’entità che richiede la revoca (RA) genera una richiesta di revoca verso la CA.

La revoca è effettiva dal momento della registrazione, che segue immediatamente alla verifica. Il certificato revocato viene aggiunto alla CRL e distribuito in occasione della




VA R

EPO

RT

prima emissione periodica utile della CRL. La entry nella CRL del certificato revocato deve contenere nell’apposita estensione la data di richiesta della revoca.

Non è prevista la sospensione a tempo determinato del certificato. Ogni evento che limiti il livello di affidabilità della certificazione dà luogo alla richiesta di revoca.

La CRL viene emessa e aggiornata con scadenza giornaliera e resa disponibile alla URL indicata. La sua acquisizione e consultazione è a cura dell’utenza.

I motivi che portano alla revoca di un certificato possono essere classificati nei seguenti:

3.9.2. Richiesta di Revoca da parte del Titolare

Avviene in caso di:

Sospetto - o certezza - di compromissione della propria chiave privata; Cambio di almeno uno dei dati inclusi nel certificato: in questo caso la richiesta

deve pervenire alla CA dall’entità autorizzata alla validazione dei dati degli utenti; Fine dell'adesione al servizio: anche in questo caso la richiesta deve pervenire alla

CA dall’entità autorizzata alla validazione dei dati degli utenti;

3.9.3. Richiesta di Revoca da parte della CA

Può avvenire:

Su espressa richiesta del Titolare; Se viene riscontrata una sostanziale condizione di non rispetto delle relative

regole che normano il servizio (CPS); Per cessazione dell’attività della CA;

3.10. Gestione degli Archivi

La CA deve mantenere traccia in appositi archivi di logging degli eventi riguardanti:

Emissione di certificati; Revoca di certificati; Emissione di CRL; Emissione o variazione dei documenti di Policy e CPS; Backup e recovery della base dati;




VA R

EPO

RT

Backup e recovery degli archivi di logging.

Le registrazioni degli eventi in archivio vanno mantenute accessibili in linea agli operatori per un tempo non minore di un (1) anno dalla cessazione degli effetti dovuti all’evento stesso (es. la registrazione di un evento di emissione certificato va mantenuta per almeno un anno dopo la scadenza del certificato stesso). Trascorso questo periodo sono archiviate su supporto magnetico rimovibile (tape, CD o altro supporto ritenuto opportuno) e mantenute off-line per un periodo non inferiore a due (2) anni.

Eventuali richieste di consultazione vanno inviate a eni, Servizi di Terza Parte Fidata e devono specificare la motivazione della richiesta. Eni si riserva di valutare la richiesta e di fornire, se ritenuto opportuno i dati richiesti.

3.11. Livelli di Servizio

L’autorizzazione del certificato avviene entro 3 (tre) giorni lavorativi dalla registrazione e delle informazioni previste nel paragrafo "Registrazione del Titolare".

La revoca del certificato avviene entro 4 (quattro) ore dal ricevimento della richiesta, entro il periodo di disponibilità dei Servizi di Terza parte Fidata (dal Lunedì al Venerdì, dalle 8:30 alle 18:00).

L'accesso al Directory Server ed alle CRL è disponibile 7 giorni su 7, 24 ore su 24, salvo i fermi per manutenzione programmata.

3.12. Compromissione e Disaster Recovery

Si intende una chiave come compromessa quando:

Sia venuta meno la sua segretezza; Sia stato smarrito il supporto di archiviazione; Sia divenuta impossibile la sua lettura dal supporto di archiviazione e non sia

disponibile un recupero mediante copia di backup; Si sia verificato un qualunque evento che abbia compromesso il livello di

affidabilità della chiave.

Se la chiave privata viene smarrita o si suppone sia stata compromessa e’ necessario richiedere alla Registration Authority:

L’emissione di un nuovo certificato; La revoca di quello usato in precedenza;




VA R

EPO

RT

Ogni compromissione delle chiavi non recuperabile con procedure standard di restore di copie archiviate in maniera sicura (vedere par. ) non dà luogo ad ulteriori procedure di recovery ma all’attivazione di una procedura di revoca certificato.

4.Aspetti Di Sicurezza



VA R

EPO

RT

4. Aspetti Di Sicurezza

4.1. Protezione Fisica dei Locali

I sistemi tecnologici coinvolti sono situati in un’area protetta il cui accesso è consentito esclusivamente al personale del Certificatore di riferimento che gestisce in Outsourcing le la CA eni, ed è controllato mediante dispositivi di autenticazione (smart card). L'area è situata all'interno del datacenter del Certificatore di riferimento. Gli edifici del datacenter sono sorvegliati e protetti 24 ore su 24, 7 giorni su 7.

4.2. Sicurezza del Sistema di Certificazione

La piattaforma di gestione delle attività di certificazione, composta da vari moduli appartenenti alle suite software di PKI aderenti agli standard di riferimento, offre le seguenti funzioni di sicurezza:

Identificazione e autenticazione

L’accesso ai moduli applicativi della piattaforma avviene mediante identificazione dell'utente. Il meccanismo di autenticazione è previsto anche per l’avvio e/o fermo del servizio legato al modulo applicativo.

Controllo accessi

L’accesso ai moduli applicativi della piattaforma avviene mediante meccanismi di strong authentication. L’accesso ai moduli è consentito solo previa verifica del corretto inserimento della passphrase.

Tracciamento

Tutte le applicazioni in esecuzione all’interno del sistema di certificazione del Certificatore di riferimento mantengono traccia su appositi database delle operazioni effettuate.

Sono prodotti dei log in formato testo ove vengono riportate informazioni relative all’avvio, fermo o allarmi relativi ai servizi legati ai moduli applicativi, nonché contenenti traccia di eventuali modifiche di configurazione apportate ai servizi. Ciascuna registrazione all’interno dei log è firmata digitalmente.

Archiviazione dei dati: tutti i dati e gli audit log sono registrati nel database relativo a ciascun modulo. Tali registrazioni sono firmate in modo digitale dai moduli proprietari del DB. Ogni registrazione ha un numero d’identificazione univoco.




VA R

EPO

RT

4.3. Sicurezza del Modulo Crittografico

Per la generazione delle chiavi di certificazione e dei certificati digitali di eni viene utilizzato l’algoritmo a chiavi asimmetriche RSA (Rivest-Shamir- Adleman).

Tutti i certificati emessi da eni – a partire dai certificati relativi alle chiavi di certificazione, fino ai certificati relativi alle chiavi pubbliche dei web server dei sistemi e delle applicazioni– vengono firmati utilizzando l’algoritmo RSA. Lo stesso algoritmo RSA deve essere utilizzato dall'utente per generare la propria coppia di chiavi. Le chiavi pubbliche dei web server, sistemi e applicazioni vengono adeguate alle crescenti esigenze di robustezza (lunghezza pari a 2048 bit), le chiavi di certificazione sono lunghe 2048 bit. Ad oggi non esistono ancora sistemi di cripto-analisi in grado di compromettere chiavi della suddetta lunghezza. Poiché in futuro le probabilità di compromettere chiavi a 2048 bit potrebbero aumentare, eni si riserva il diritto di adeguare la lunghezza delle chiavi alle tecnologie future.

Per quel che concerne le funzioni di hash, viene utilizzata la funzione definita nella norma ISO/IEC 10118-3:2004 per la generazione dell’impronta digitale: DedicatedHash-Function 4, corrispondente alla funzione SHA-2.

4.4. Sicurezza degli Elaboratori

I sistemi sono configurati in modo tale da ridurre al minimo il rischio di alterazione delle configurazioni. Sono quindi previsti, nel normale uso dei sistemi stessi, profili con diritti di accesso non assimilabili a quelli amministrativi.

Gli operatori di CA accedono alla funzione di log on per la certificazione delle chiavi mediante meccanismi di strong authentication.

4.5. Sicurezza delle Rete

L’infrastruttura di rete prevede una prima linea costituita da un sistema firewall, configurato in alta affidabilità, che filtra il traffico da Internet verso la rete DMZ, dove risiedono i server che devono essere accessibili da Internet (come il Directory Server ed il web server che pubblica le CRL), ed una seconda linea che filtra il traffico tra rete DMZ e Secure LAN, dove sono invece installati i sistemi per la certificazione.




VA R

EPO

RT

L'utilizzo di questa tecnologia offre la possibilità di utilizzare il NAT Network AddressTranslation per "mascherare" gli ip interni verso la rete Internet, permette di intercettare i tentativi di creare interruzioni al servizio con attacchi di tipo DoS SYN flood, impostare regole Anti-spoofing, limitare gli accessi in un arco temporale definibile in maniera granulare. Al fine di analizzare in tempo reale i pacchetti che viaggiano in rete e di attivare, laddove viene riscontrata una attività sospetta, le dovute protezioni (blocco di indirizzi IP, interruzione di connessioni, invio di trap) ed allarmi, è in utilizzo un sistema di IntrusionDetection che si basa su un database di vulnerabilità costantemente aggiornato.

I servizi in DMZ vengono erogati con copertura 24x7x365 con un presidio dal lunedì al venerdì dalle ore 8.00 alle ore 20.00 ed una copertura nelle ore non presidiate e festivi tramite una struttura di reperibilità a 2 livelli h24. Le segnalazioni di allarme vengono inviate tramite SMS e tramite chiamata telefonica da un sistema di monitoraggio centralizzato.

5.Profilo dei Certificati e delle CRL



VA R

EPO

RT

5. Profilo dei Certificati e delle CRL

5.1. Profilo dei Certificati

I certificati sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509] e alla specifica pubblica [RFC 5280].

L’elenco completo dei profili dei certificati e la guida tecnica utente utile alla richiesta di certificazione è contenuta un documento riservato a distribuzione limitata denominato Allegato tecnico CPS Registration e Certification Authority eni. Esso è da ritenersi esterno al Manuale Operativo che risulta completo nel suo contenuto pubblico.

5.1.1. Root CA

La PKI aziendale eni consiste di due CA:

RootCA eni Certification Authority RootCA eni Certification Authority for Legacy Applications

Entrambi i certificati delle Root CA hanno una durata di 12 anni con chiave RSA a 2048 e sono generati e conservati all’interno di un network HSM (hardware-basedKey Certificate).

La PKI Eni gestisce le Root CA in dismissione:

Root CAeniadfin Certification Authority RootCAeniadfinCertification Authority for Legacy Applications

NOTA: esse sono tenute in vita per la produzione delle CER e la gestione delle revoke dei certificati End Entityeniadfin ancora in vita

Root CA eni

Questo certificato è un “self-signed certificate” generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati.

Il certificato della CA root eni ha il seguente profilo:

Soggetto richiedente:

Attributo Valore




VA R

EPO

RT

Country (C) IT

Organization (O) eni S.p.A.

Organizational Unit (OU) TTP Services

Common Name (CN) eni Certification Authority Emesso da:

Attributo Valore Country (C) IT



Common Name (CN) eni Certification Authority Template certificato

CA

Criticality TRUE

0 digitalSignature Clear

1 nonRepudiation Clear

2 keyEncipherment Clear

3 dataEncipherment Clear

4 keyAgreement Clear

5 keyCertSign Set

6 CRLSign Set

7 encipherOnly Clear

8 decipherOnly Clear

Root CA eni Legacy

Questo certificato è un “self-signed certificate” generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati.

La Root CA di eni for Legacy Applications ha il certificato come sotto riportato:





VA R

EPO

RT




Common Name (CN) eni Certification Authority Legacy Applications Emesso da:




Common Name (CN) eni Certification Authority Legacy Applications

Template certificato

CA

Criticality TRUE

0 digitalSignature Clear

1 nonRepudiation Clear

2 keyEncipherment Clear

3 dataEncipherment Clear

4 keyAgreement Clear

5 keyCertSign Set

6 CRLSign Set

7 encipherOnly Clear

8 decipherOnly Clear

5.1.2. SUBCA

La Root CA di eni ha il compito di Emettere Certificati per le SUBCA.




VA R

EPO

RT




Organizational Unit (OU) Unit Name

Domain Controller (DC) SubCA Name

Emesso da:




Common Name (CN) eni Certification Authority Legacy Applications

5.1.3. Certificati Firme Digitali Qualificate e Certificati CNS-LIKE

Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.

Il certificato per Firme Digitali Qualificate / CNS-LIKE viene emesso col seguente profilo:



Organization (O) Eni S S.p.A.

Organizational Unit (OU) eni ICT/serialNumber=

Common Name (CN) Nome Utente




VA R

EPO

RT

Emesso da:


Organization (O) Actalis S.p.A./03358520967

Organizational Unit (OU)

Common Name (CN) Actalis

5.1.4. Certificati Firme Digitali su HSM


Il certificato per Firme Digitali su HSM viene emesso col seguente profilo:



Organization (O) eni S.p.A./ 00484960588,

Organizational Unit (OU) Servizio di Conservazione Sostitutiva

Common Name (CN) Nome Utente

Emesso da:


Organization (O) Actalis S.p.A.

Organizational Unit (OU) Qualified Certification Service Provider

Common Name (CN) Actalis Qualified Certificates CA G1




VA R

EPO

RT



Il certificato per Client SSL viene emesso col seguente profilo:



Organization (O) eni S.p.A

Organizational Unit (OU) Unit Name

Common Name (CN) Client SSL Nome

Emesso da:


Organization (O) Eni S.p.A.


Common Name (CN) eni Certification Authority / eni Certification Authority Legacy Applications

5.1.6. Certificati CodeSigning


Il certificato per CodeSigning viene emesso col seguente profilo:






VA R

EPO

RT


Organizational Unit (OU) eni ICT/serialNumber=

Common Name (CN) Conservazione Sostitutiva eni/

Emesso da:




Common Name (CN) Actalis Authentication CA G2

5.1.7. Certificati Crittografia Utente


Il certificato per Crittografia Utente viene emesso col seguente profilo:




Organizational Unit (OU) Servizio di Crittografia

Common Name (CN) Crittografia Dati

Emesso da:





VA R

EPO

RT




5.1.8. Certificati SSL SERVER CA Pubblica


Il certificato per SSL Server CA Pubblica Single Host viene emesso col seguente profilo:




Organizational Unit (OU) eni ICT

Common Name (CN) Server Name

Emesso da:





Il certificato per SSL Server CA Pubblica MultiSAN viene emesso col seguente profilo:





VA R

EPO

RT




Common Name (CN) Nomi dei Server Name

Emesso da:







Il certificato per SSL Server CA eni viene emesso col seguente profilo:





Common Name (CN) Server Name

Emesso da:

Attributo Valore




VA R

EPO

RT

Country (C) IT



Common Name (CN) eni Certification Authority / eni Certification Authority for Legacy Application

5.2. Profilo della CRL

Le CRL sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509] e alla specifica pubblica [RFC 5280].

Oltre ai dati obbligatori, le CRL contengono:

il campo nextUpdate (data prevista per la prossima emissione della CRL) l’estensione cRLNumber (numero progressivo della CRL)

La CRL è firmata con algoritmo sha256WithRSAEncryption (1.2.840.113549.1.1.11).

Inoltre, in corrispondenza di ogni voce della CRL è presente l’estensione reasonCode a indicare la motivazione della sospensione o revoca.

certification practice statement (cps) registration e

Documents