Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AGENDA
z
I certificati digitali
Smart Card
Gli elementi che compongono la Smart Card:
Microcircuito
Microcircuito+Sistema operativo=SmartCard
Il Microcircuito
Reset
Clock
0V
5V
n.c.
I/O
I
N
T
E
R
F
A
C
E
ADDRESSES
CPU
or
CPU
+
Co Pro
RAM
ROM
EEPROM
DATA
Il Sistema Operativo
Il Sistema operativo mascherato nella memoria ROM e
sovrintende alle seguenti funzioni:
Spex di riferimento
IFD
Handler
IFD
Handler
IFD
Handler
I/O Device
Driver
I/O Device
Driver
I/O Device
Driver
I/O Channel
garantita linteroperabilit
tra lettori PC/SC e
SmartCard conformi a
ISO 7816-3
CNIPA 11 marzo 2005
PS/2
Interface
Device
RS 232
Interface
Device
IFD
Subsystem
USB
Interface
Device
ICC
ICC
Description
Length (by)
Le field
0,1 or 3
Nc
Le field
0,1,2 or 3
Response field
Nr
Response trailer
Command header
z
z
Read Binary
CLA
00
CLA
00
INS
A4 = SELECT FILE
INS
B0 = READ BINARY
P1
P1,P2
0000
P2
00
Lc
Lc
Empty
Data field
Datafield
Empty
Le
Empty
Le
Data field
Empty
SW1-SW2
Data field
Selected EF Data
SW1-SW2
EF 0
EF n
DF 0
EF 00
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
Transparent
EF
Linear Fixed
EF
Linear Variable
EF
Cyclic EF
Non consentito
direttamente
EF 0
EF n
DF 0
EF 00
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
Modalit di selezione
z
MF
Consentito
EF 0
Non consentito
EF N
DF 0
EF 00
EF 0N
DF N
DF N0
DF N00
EF N0
EF N00
EF NN
EF N0N
EF N000
EF N00N
z
z
z
z
z
sicurezza
fisica
sicurezza
logica
Sicurezza fisica
Sensors Register
Intrusion Events
OS Code
Sicurezza fisica
Analisi dellassorbimento elettrico
Questo tipo di attacco tende a mettere in relazione le
variazioni di assorbimento elettrico, dovute alla
commutazione dei transistor, con i processi svolti dal
microprocessore.
Una contromisura efficace adottata dai costruttori di
Smart Card consiste nel disaccoppiare il clock
fornito allinterfaccia dal clock del microprocessore
e variarne in modo casuale la frequenza durante
processi di calcolo interno
CNIPA 11 marzo 2005
Sicurezza logica
Sicurezza Logica
(Gli oggetti della sicurezza)
PIN
Le condizioni di accesso
Sono attributi dei Files e degli oggetti di sicurezza;definiscono le
condizioni di accesso per tipologia di comando
AC_EF
Tipo di
BSO
Comandi
AC_DF
operazioni
protetti
BSO
Tipo di
operazioni
Comandi protetti
ALW
Read
ReadBinary
PIN
Update
PutData_OCI
Update
UpdateBin
PIN
Admin
PutData_FCI
AutKey
&PIN
PIN
Create
CreateFile
NEV
Admin
PutData_FCI
BSO
Tipo di
operazioni
Comandi protetti
PIN
USE
PSO_CDS
NEV
Change
ChangeReference Data
PIN
GenKey
GenerateKeyPair
AC_BSO Kpri
Sicurezza logica
(Le condizioni di accesso)
MF
EF 0
PIN
PIN
EF N
Auth.
Auth. Key
DF 0
EF 00
PIN o Auth
Pin e Auth.
EF 0N
DF N
PIN
DF N0
EF N0
EF N00
EF N0N
Auth. Key
EF NN
BSO_Kpri
CNIPA 11 marzo 2005
Sicurezza logica
(Autenticazione)
HPC
S ys
PDC
GET CHALLENGE
< R N D .H P C >
IN T A U T H < R N D .H P C >
< E ( IK . P D C . A U ,
R N D .H P C )>
E X T A U T H < S N .P D C ,
E ( IK . P D C . A U ,
R N D .H P C )>
OK
GET CHALLENGE
< R N D .P D C >
IN T A U T H R N D .P D C ,
S N .P D C )>
< E ( IK . P D C . A U , R N D . P D C ) >
EXT AU TH
< E ( IK . P D C . A U ,
R N D .P D C )>
OK
Sicurezza logica
Le Smart Card come motori crittografici
Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e
algoritmi asimmetrici (RSA) che utilizzano gli oggetti di
sicurezza tramite comandi APDU
Smart Card
Librerie crittografiche
Cryptoki
Gli scopi delle Cryptoki in base allo standard:
The primary goal of Cryptoki was a lower-level programming
interface that abstracts the details of the devices and presents to
the application, a common model of the cryptographic device,
called a cryptographic token.
A secondary goal was resource-sharing. As desktop multitasking operating systems become more popular, a single device
should be shared between more than one application. In addition,
an application should be able to interface to more than one device
at a given time.
CNIPA 11 marzo 2005
CRIPTOKY
Il Token
z
CRIPTOKY
Rappresentazione a oggetti del Token
OBJECT
Common
Obj
attributes
Obj type
Certificate
-Cert attributes
-Cert. Value
Key
Common Key
attributes
Data
Value
Key Obj
Public Key
-Pub Key attributes
Private Key
-Priv Key attributes
Secret Key
-Secret
Key Attribut.
-Secret Key Value
EF-DIR
EF-GDO
BSO
PIN
DF
Signature
EF_Index
EF_Kpub_Attribute
DF
Applicazione n
DF
Applicazione 1
EF_Kpub
EF_Kpri_Attribute
Dati
Applic.
n
Dati
Applic.
1
BSO
Kpri
EF_CERT/Attribute
EF-Data_OBJ
EF_Index:
z
BSO-KPRI
z il contenitore della chiave privata (Base Security Objects) ed
gestito dal sistema operativo della Smatcard. Il sistema operativo
della CIE memorizza la chiave in formato modulo (N) ed esponente
(d) e ad essa applicabile il TemplatePKCS#11 (Table 4-0
Private Key OBJ Attributes) solo per i seguenti attributi:
I meccanismi crittografici
Meccanismi PKCS#11
Meccanismi Interni
CKM_RSA_PKCS_KEY_PAIR_GEN
CKM_RSA_PKCS
Meccamismi di Lib.
CKM_DES_KEY_GEN
CKM_DES_ECB
CKM_DES_CBC
CKM_DES_CBC_PAD
CKM_DES_MAC
X
X
CKM_DES2_KEY_GEN
CKCM_DES3_CBC
X
X
CKM_DES3_ECB
X
X
CKM_DES3_MAC
CKM_SHA_1
Le funzioni PKCS#11
z
C_GetSlotList
C_GetSlotInfo
C_GetTokenInfo
C_GetMechanismList
C_GetMechanismInfo
C_InitToken
C_InitPIN
C_SetPIN
Key Management:
z
z
z
z
C_OpenSession
C_CloseSession
C_CloseAllSession
C_GetSessionInfo
C_Login
C_Logout
z
z
z
z
z
z
z
z
C_SignInit
C_Sign
C_SignUpdate
C_SignFinal
C_VerifyInit
C_Verify
C_VerifyUpdate
C_VerifyFinal
C_GenerateKey
C_GenerateKeyPair
C_WrapKey
C_UnwrapKey
C_DigestInit
C_Digest
C_DigestUpdate
C_DigestFinal
Un esempio
Generazione della Coppia di chiavi di firma
Funzioni di libreria
z
z
z
z
z
z
z
z
z
z
Un esempio
Generazione della Coppia di chiavi di firma
SmartCard e lambiente MS
APPLICATION
COM
C - API
Crypto Service
Provider
Ser.Provider
Resource Manager
IFD Driver
Fornito dal produttore
del Sistema Operativo
Lettore
IFD
Smart Card
DF0
ID_Carta
PIN
DF1
K
pri
C_Carta
Dati_Personli
Memoria residua
EF.GDO
Servizi_installati
DF2
INST key
Area
NetLink
CNIPA 11 marzo 2005
KIa
KIc
DF_Servizio #1
Dati_servizio #1
DF_Servizio #2
Dati_servizio #2
DF_Servizio #n
Dati_servizio #n
CNS
MF
EF-DIR
PIN
Kpri
DF-Netlink
Applicazione Sanitaria
(Netlink)
DF-F Digitale
EF-GDO
PUK
EF-KPub
DF-Anagrafica
Dati
Anagrafici
DF-Altri Servizi
Quantit Sic.
Ente Emettitore
PIN-FD
Dati
Firma Digitale
Altri
Servizi
Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
PC/SC e Interoperabilit
Autenticazione SSL
<Microsoft C-API>
PKI Middleware
Microsoft CSP
PKCS#11
PKCS#11
CARTA 1
CARTA 2
PKCS#11
<ATR>
CARTA N
RESOURCE MANAGER
Drivers PCSC dei lettori
SO carta
1
SO carta
2
SO carta
N
I certificati digitali
z
Directory
Shadow
CAO
Certificati
X509v3
CRL
Directory
CA
DB
Legenda
DB
RA
RA:Registration Authority
CAO:Crt. Authority Operator
RA Frontend
CA Toolkit
RAO:Registration Autority
Operator
CRL:Certificate Revocation List
User
Application
CNIPA 11 marzo 2005
(L D A P)
H-API
CA Toolkit
Directory
PKCS#11 API
Cryptoki
Resource Manager
Driver
IFD
SC
dati sanitari;
componenti di sicurezza per la protezione dei dati sanitari;
EF.GDO
DF.NETLINK
EF.DIR
DF.NKAF
DF.NKAP
DF.NKPP
EF.NKAF
EF.NKAP
EF.NKPP
DF.NKEF
DF.NKEP
EF.NKEF
EF.NKEP
EF.NETLINK
Interoperabilit
delle Carte sanitarie
Carta
Netlink
Carta
Operatore
SISS/Netlink
Posto
di
Lavoro
delloperatore
sanitario
Carta
Regionale
dei
Servizi
Carta
di
Identit
Elettronica