LineeGuidaCNS11032005 0

Le Linee Guida per lemissione e
lutilizzo della Carta Nazionale

dei Servizi (CNS)
Giovanni Manca
Ufficio Standard architetture e metodologie
CNIPA 11 marzo 2005
Le Linee guida per lemissione e lutilizzo della CNS, G. Manca
AGENDA
z
Scenario generale sulle carte daccesso
Il quadro normativo di riferimento
Interoperabilit tra le smart card
Lidentificazione e lautenticazione in rete
I certificati digitali
Le applicazioni sanitarie della carta
Le architetture di sicurezza sui client e sui server
CNIPA 11 marzo 2005
Scenario generale sulle carte daccesso (1)
La Direttiva 2005 recante Linee guida in materia di

digitalizzazione dellAmministrazione del Ministro
Stanca.
Sono ormai definite con decreto dei Ministri dellInterno,

per linnovazione e le tecnologie, delleconomia e delle
finanze, datato 9 dicembre 2004, le regole sulla CNS; le
amministrazioni dovranno, pertanto, programmare
lemissione della CNS in sostituzione di altri strumenti di
accesso ai servizi si ad ora realizzati, tenendo comunque
presente che,ai sensi della normativa vigente, ogni
Amministrazione deve, comunque garantire laccesso ai
propri servizi da parte dei titolari di CNS.
CNIPA 11 marzo 2005
Scenario generale sulle carte daccesso (2)
La smart card un contenitore di informazioni con

altissimi livelli di sicurezza.
Essa viene utilizzata, tra laltro, per il controllo di

accesso in rete e per la firma digitale.
E opportuno che tutti i servizi erogati in rete dalla

PA siano acceduti tramite uno strumento ad alta
sicurezza garantito dalla PA stessa.
Carta Nazionale dei Servizi (CNS).
CNIPA 11 marzo 2005
Il quadro normativo di riferimento (1)
DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).

Regolamento concernente la diffusione della carta nazionale
dei servizi, a norma dellarticolo 27, comma 8, lettera b), della
legge 16 gennaio 2003, n.3.
Decreto interministeriale 9 dicembre 2004 (GURI del 18

dicembre 2004).
Regole tecniche e di sicurezza relative alle tecnologie e ai
materiali utilizzati per la produzione della Carta Nazionale dei
Servizi
CNIPA 11 marzo 2005

z
il documento rilasciato su supporto informatico per

consentire laccesso per via telematica ai servizi
erogati dalle pubbliche amministrazioni.
la carta nazionale dei servizi, in attesa della carta

didentit elettronica, emessa dalle pubbliche
amministrazioni interessate al fine di anticiparne le
funzioni di accesso ai servizi in rete delle pubbliche
amministrazioni.
lonere economico di produzione e rilascio delle

carte nazionali dei servizi a carico delle singole
amministrazioni che le emettono.
CNIPA 11 marzo 2005
La CNS non identifica a vista.
La CNS deve contenere un certificato di

autenticazione, le cui caratteristiche sono stabilite
dalle regole tecniche, rilasciato da un certificatore
accreditato.
I dati identificativi della CNS sono verificati tramite

il sistema informativo del Centro Nazionale per i
Servizi Demografici del Ministero dellInterno.
CNIPA 11 marzo 2005

z
La carta pu contenere eventuali informazioni di

carattere individuale generate, gestite e distribuite dalle
pubbliche amministrazioni per attivit amministrative e
per lerogazione di servizi al cittadino, cui si pu accedere
tramite la carta
La CNS ha una validit temporale non superiore ai sei

anni.
Tutte le pubbliche amministrazioni che erogano servizi in

rete devono consentire laccesso ai servizi medesimi da
parte dei titolari della carta nazionale dei servizi
indipendentemente dallente di emissione, che
responsabile del suo rilascio.
Attraverso opportuni protocolli dintesa tra le PA, le

banche e le poste, possibile utilizzare la CNS per
funzioni di pagamento tra privati e PA.
CNIPA 11 marzo 2005
Il ruolo della CNS come carta sanitaria diverso da

quello di tessera sanitaria per il monitoraggio della
spesa sanitaria.
E possibile aggregare una serie di funzioni

operative sulla CNS.
Aggregare numerosi servizi sulla carta portano a

complessit di gestione della stessa che possono
diventare critiche.
CNIPA 11 marzo 2005
Smart Card
Gli elementi che compongono la Smart Card:
Microcircuito
Sistema operativo (maschera)
Microcircuito+Sistema operativo=SmartCard
CNIPA 11 marzo 2005
Interoperabilit tra le smart card
CNIPA 11 marzo 2005
Il Microcircuito
Reset
Clock
0V
5V
n.c.
I/O
CNIPA 11 marzo 2005
I
N
T
E
R
F
A
C
E
ADDRESSES
CPU
or
CPU
+
Co Pro
RAM
ROM
EEPROM
DATA
Il Sistema Operativo
Il Sistema operativo mascherato nella memoria ROM e
sovrintende alle seguenti funzioni:
Gestione del protocollo di comunicazione;

Gestione del protocollo logico (APDU);
Gestione dello SmartCard File System;
Sicurezza:
Sicurezza fisica (protezione degli oggetti di sicurezza

contenuti nella SmartCard);
Sicurezza logica (criteri di accesso ai file ed agli oggetti di
sicurezza).
CNIPA 11 marzo 2005
La norma ISO 7816
Parte prima e seconda per le caratteristiche fisiche

e la posizione dei contatti elettrici
parte terza per le caratteristiche elettriche ed il
protocollo di trasmissione
Parte quarta per la definizione dei comandi
applicativi,la struttura dei
file,le modalit di
accesso ed i diritti di accesso
Parte quinta per le procedure di registrazione degli
Application Identifiers (AID)
Parte ottava per la formalizzazione degli aspetti
inerenti la sicurezza
Parte nona per la gestione del ciclo di vita i criteri
di accesso ecc.
CNIPA 11 marzo 2005
Il protocollo di comunicazione (1)

Il protocollo di comunicazione definito dalla norma
ISO 7816 parte terza:
Le implementazioni del protocollo prevedono:
modalit T=0 (asincrono a carattere)

modalit T=1 (asincrono a blocchi)
Il protocollo di comunicazione gestito dallinsieme driver e

smart card reader.
Il livello di sofisticazione del driver dipende dal livello di
sofisticazione del firmware del lettore.
CNIPA 11 marzo 2005
Il protocollo di comunicazione (2)

(Lo standard PC/SC)
ICC-Aware Application
IFD:= Interface Device (SmartCard reader)

ICC:= Integrated Circuit Card
ICC Service Provider
ICC Resources Manager

IFD Handler Interface : Scope of this Part 3
Spex di riferimento
IFD
Handler
IFD
Handler
IFD
Handler
I/O Device
Driver
I/O Device
Driver
I/O Device
Driver
Fornito con lo IFD
I/O Channel
Spex di riferimento conformi alla

norma ISO 7816-3
garantita linteroperabilit
tra lettori PC/SC e
SmartCard conformi a
ISO 7816-3
CNIPA 11 marzo 2005
PS/2
Interface
Device
RS 232
Interface
Device
IFD
Subsystem
USB
Interface
Device
Interface between IFD and ICC : Scope of Part 2

ICC
ICC
ICC
Il protocollo logico (1)

Application Protocol Data Unit (APDU)
z
z
Costituisce la modalit con cui, tramite il protocollo di comunicazione,

sono inviati alla Smart Card i comandi applicativi
disciplinato dalla parte quarta della norma ISO 7816
strutturato nel seguente modo:
Field
Description
Length (by)
Class byte (CLA)
Instruction byte (INS)
Parameter bytes (P1-P2)
Le field
Command data field length (Nc)
0,1 or 3
Command data field
Absent for Nc=0 else a Nc byte string
Nc
Le field
Data response length if present (Ne)
0,1,2 or 3
Response field
May be absent, if present Nr bytes (0<Nr<=Ne)
Nr
Response trailer
Status bytes (SW1-SW2)
Command header
CNIPA 11 marzo 2005

Tipologie di comandi APDU
z
z
z
Comandi di tipo amministrativo

Create File, Invalidate File, Delete File ..
Put Data (per settare gli attributi dei file e degli oggetti di
sicurezza)
Change Reference Data (amministrazione del PIN)
Comandi di utilizzo del File System
Select File
Read, Update,Append
Comandi di identificazione ed autenticazione
Verify PIN, Get Challenge, External Auth., Internal Auth. ..
Comandi crittografici
MSE (Manage Security Environment)
PSO (Perform Security Operation)
PSO_CDS (Compute Digital Signature)

PSO_Encrypt/Decrypt
CNIPA 11 marzo 2005

Alcuni esempi
Select Elementary File (EF)
Read Binary
CLA
00
CLA
00
INS
A4 = SELECT FILE
INS
B0 = READ BINARY
P1
02 (Select by File Identifier (FID))
P1,P2
0000
P2
00
Lc
02 = Length of subsequent data field
Lc
Empty
Data field
FID of (Elementary File)
Datafield
Empty
Le
Empty
Le
xx length of data to be read
Data field
Empty
SW1-SW2
9000 or specific status bytes
CNIPA 11 marzo 2005
Data field
Selected EF Data
SW1-SW2
9000 or specific status bytes
Il File System nella Smart Card

MF
Organizzazione (Norma ISO 7816 - 4)

I dati sono organizzati in un file system
gerarchico.
EF 0
EF n
Master File (MF) la root del file

system, ed selezionato
automaticamente al reset.
DF 0
EF 00
Elementary File (EF) sono I repository

dei dati.
EF 0n
DF n
Dedicated File (DF) sono le directory

del file system e possono contenere sia
DF che EF. Esse consentono di
installare pi di unapplicazione
allinterno della Smart Card.
CNIPA 11 marzo 2005
DF n0
EF n0
EF n00
EF n0n
EF nn
I file elementari (EF)
Transparent Elementary File:

l
File non formattato;
l
laccesso ai dati per offset e lunghezza.
Transparent
EF
Linear Fixed
EF
Linear Fixed Elementary File:

l
File organizzato a record di lunghezza fissa;
l
laccesso ai dati per numero di record.
Linear Variable Elementary File:
l
File organizzato a record di lunghezza
variabile;
l
laccesso ai dati per numero di record.
Linear Variable
EF
Cyclic EF
Cyclic Elementary File:

l
File organizzato a record di lunghezza fissa;
l
laccesso in lettura per numero di record
l
la scrittura sul record successivo allultimo
record aggiornato
CNIPA 11 marzo 2005
Modalit di navigazione del File System

Consentito
MF
Non consentito
direttamente
EF 0
EF n
DF 0
EF 00
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
CNIPA 11 marzo 2005
Modalit di selezione
z
Selezione tramite File Identifier (FID)

il campo dati del comando di selezione il File Identifier
possibile selezionare EF o DF sotto la directory corrente (pe:EFn da
MF, DFn da MF, DFn0 da DFn)
Selezione tramite Path
il campo dati del comando di selezione costituito dai FID del percorso
di selezione
per selezionare EFn0n da MF il campo dati del comando di selezione
contiene :
DFn FID, DF0n FID, EFn0n FID
NOTA:il FID costituito da 2 byte che possono essere scelti a

piacere con i seguenti limiti:
3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF

corrente ignota, 2F00 riservato a EF_Dir (vedere Direct Application
Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO
(vedere applicazione Netlink)
CNIPA 11 marzo 2005
Selezione diretta dei DF

(Norma ISO 7816 - 4 e 5)
MF
Consentito
EF 0
Non consentito
EF N
DF 0
EF 00
EF 0N
DF N
CNIPA 11 marzo 2005
DF N0
DF N00
EF N0
EF N00
EF NN
EF N0N
EF N000
EF N00N
Selezione diretta dei DF

z
z
z
z
z
z
Questo comando consente di selezionare direttamente una

Directory senza conoscere il File Identifier e lintero percorso di
selezione
Il comando di selezione ha come campo dati lApplication
Identifier (AID)
Gli AID delle Directory selezionabili direttamente ed i percorsi
di selezione sono memorizzati nel File 2F00 (EF-DIR)
Gli AID devono essere richiesti allISO in conformit alla norma
7816-5
Questo comando utilizzato da terminali che gestiscono pi
tipologie di smart card (p.e. terminali ATM e POS)
Il terminale legge EF-DIR, verifica se contiene AID noti e
seleziona le applicazioni
CNIPA 11 marzo 2005
Sicurezza delle smart card
Lobiettivo della sicurezza la custodia

dei dati contenuti nelle smart card.
Questo obiettivo perseguito tramite:
CNIPA 11 marzo 2005
sicurezza
fisica
sicurezza
logica
Sicurezza fisica (1)

La sicurezza fisica linsieme delle
contromisure messe in atto per
proteggere le informazioni da attacchi
condotti tramite:
9
9
9
lutilizzo improprio dellinterfaccia

elettrica;
azioni fisiche volte a guadagnare il
controllo diretto del microprocessore;
analisi dellassorbimento elettrico .
CNIPA 11 marzo 2005
Sicurezza fisica (2)

Le principali contromisure
9
9
9
9
Sensori che rilevano la marginatura della tensione di

alimentazione
Sensori che rilevano la marginatura del clock
Sensori di temperatura di esercizio
Sensori ottici
Questi accorgimenti proteggono dallutilizzo improprio

dellinterfaccia elettrica e da azioni fisiche volte a
guadagnare il controllo diretto del microprocessore
CNIPA 11 marzo 2005
Sicurezza fisica
La gestione dei sensori
Hang Routine NOP

HALT
JMP-1
Sensors Register
Intrusion Events
CNIPA 11 marzo 2005
OS Code
Sicurezza fisica
Analisi dellassorbimento elettrico
Questo tipo di attacco tende a mettere in relazione le
variazioni di assorbimento elettrico, dovute alla
commutazione dei transistor, con i processi svolti dal
microprocessore.
Una contromisura efficace adottata dai costruttori di
Smart Card consiste nel disaccoppiare il clock
fornito allinterfaccia dal clock del microprocessore
e variarne in modo casuale la frequenza durante
processi di calcolo interno
CNIPA 11 marzo 2005
Sicurezza logica
La sicurezza logica controlla laccesso alle

informazioni contenute nella smart card tramite:
codici personali di accesso alle informazioni (PIN);

processi di autenticazione realizzati con tecniche
crittografiche simmetriche o asimmetriche;
funzioni che consentono di rendere non modificabili
ed accessibili in sola lettura alcuni dati;
funzioni che consentono di rendere non esportabili gli
oggetti di sicurezza (chiavi e codici di accesso).
CNIPA 11 marzo 2005
Sicurezza Logica
(Gli oggetti della sicurezza)
PIN
Consente di verificare il possesso della della Smart Card,

ad esso possono essere associate condizioni di accesso
ai file e condizioni di utilizzo degli oggetti di sicurezza
Possono essere definiti pi PIN
Chiavi crittografiche simmetriche ed asimmetriche
Consentono di realizzare processi di autenticazione

Ai processi di autenticazione possono essere vincolate le
condizioni di accesso ai file
Le chiavi possono essere usate anche per produrre
crittografia da utilizzare allesterno della Smart Card (p.e.
Firma Digitale)
CNIPA 11 marzo 2005
Le condizioni di accesso
Sono attributi dei Files e degli oggetti di sicurezza;definiscono le
condizioni di accesso per tipologia di comando
AC_EF
Tipo di
BSO
Comandi
AC_DF
operazioni
protetti
BSO
Tipo di
operazioni
Comandi protetti
ALW
Read
ReadBinary
PIN
Update
PutData_OCI
Update
UpdateBin
PIN
Admin
PutData_FCI
AutKey
&PIN
PIN
Create
CreateFile
NEV
Admin
PutData_FCI
BSO
Tipo di
operazioni
Comandi protetti
PIN
USE
PSO_CDS
NEV
Change
ChangeReference Data
PIN
GenKey
GenerateKeyPair
CNIPA 11 marzo 2005
AC_BSO Kpri
Sicurezza logica
(Le condizioni di accesso)
MF
EF 0
PIN
PIN
EF N
Auth.
Auth. Key
DF 0
EF 00
PIN o Auth
Pin e Auth.
EF 0N
DF N
PIN
DF N0
EF N0
EF N00
EF N0N
Auth. Key
EF NN
BSO_Kpri
CNIPA 11 marzo 2005
Sicurezza logica
(Autenticazione)
HPC
S ys
PDC
GET CHALLENGE
< R N D .H P C >
IN T A U T H < R N D .H P C >
< E ( IK . P D C . A U ,
R N D .H P C )>
E X T A U T H < S N .P D C ,
E ( IK . P D C . A U ,
R N D .H P C )>
OK
GET CHALLENGE
< R N D .P D C >
IN T A U T H R N D .P D C ,
S N .P D C )>
< E ( IK . P D C . A U , R N D . P D C ) >
EXT AU TH
< E ( IK . P D C . A U ,
R N D .P D C )>
OK
CNIPA 11 marzo 2005
Sicurezza logica
Le Smart Card come motori crittografici
Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e
algoritmi asimmetrici (RSA) che utilizzano gli oggetti di
sicurezza tramite comandi APDU
Gli oggetti di sicurezza sono utilizzabili se settato lambiente

di sicurezza tramite il comando MSE (Manage Security
Environment)
La crittografia sviluppata per mezzo del comando PSO xxx
(Perform Security Operation) dove xxx vale:
CDS per Digital Signature e MAC;

ENC per cifratura simmetrica e asimmetrica;
DEC per decifratura simmetrica ed asimmetrica.
CNIPA 11 marzo 2005
Smart Card
Librerie crittografiche
CNIPA 11 marzo 2005
Librerie Crittografiche PKCS#11

(Cryptoki)
Le PKCS#11 sono delle Application Programming Interface
(API) che interfacciano dispositivi crittografici ovvero
dispositivi che memorizzano chiavi e sviluppano calcoli
crittografici.
Forniscono una interfaccia standard che prescinde dal
dispositivo crittografico per cui sono state sviluppate.
Rendono le applicazioni in cui la crittografia trattata con
queste API largamente indipendenti dai dispositivi.
Vincolano allutilizzo del dispositivo crittografico per cui
sono state sviluppate ovvero non consentono a Smart
Card di differenti fornitori di poter operare sulla stessa
piattaforma applicativa
CNIPA 11 marzo 2005
Cryptoki
Gli scopi delle Cryptoki in base allo standard:
The primary goal of Cryptoki was a lower-level programming
interface that abstracts the details of the devices and presents to
the application, a common model of the cryptographic device,
called a cryptographic token.
A secondary goal was resource-sharing. As desktop multitasking operating systems become more popular, a single device
should be shared between more than one application. In addition,
an application should be able to interface to more than one device
at a given time.
CNIPA 11 marzo 2005
CRIPTOKY
Il Token
z
la rappresentazione a oggetti dei dati e delle

quantit di sicurezza contenute nel dispositivo
crittografico
Gli oggetti sono definiti dagli attributi (template)
Contiene la definizione dei meccanismi crittografici

supportati dal dispositivo
CNIPA 11 marzo 2005
CRIPTOKY
Rappresentazione a oggetti del Token
OBJECT
Common
Obj
attributes
Obj type
Certificate
-Cert attributes
-Cert. Value
Key
Common Key
attributes
Data
Value
Key Obj
Public Key
-Pub Key attributes
Private Key
-Priv Key attributes
-Pub Key Value
-Priv Key Value
CNIPA 11 marzo 2005
Secret Key
-Secret
Key Attribut.
-Secret Key Value
Implementazione del Token

nelle SmarCard
MF
EF-DIR
EF-GDO
BSO
PIN
DF
Signature
User Signature PIN

(S.O. PWD)
EF_Index
EF_Kpub_Attribute
DF
Applicazione n
DF
Applicazione 1
EF_Kpub
EF_Kpri_Attribute
Dati
Applic.
n
Dati
Applic.
1
BSO
Kpri
EF_CERT/Attribute
EF-Data_OBJ
CNIPA 11 marzo 2005
Descrizione del File System
EF_Index:
z
Elementary File di tipo Linear TLV che contiene gli

identificativi PKCS#11 (CKA_ID) degli oggetti Chiave
Pubblica, Chiave Privata , Certificati ed oggetti Dati
presenti nella Directory di Firma Digitale. Questo file
utilizzato dalle Funzioni di Gestione degli Oggetti
per la navigazione del File System della Carta.
CNIPA 11 marzo 2005

di Firma Digitale (esempio)
EF_Kpri_Attribute
z
Elementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i Template
PKCS#11 degli Oggetti Chiavi Private e sono:
Common attributes:
z
CKA_CLASS (CKO_PRIVATE_KEY = 03);
z
CKA_TOKEN (CK_BBOOL, posto a vero);
z
CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica lautenticazione tramite la funzione:
C_Login.;
z
CKA_LABEL (CK_CHAR);
z
CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma);
Common key attributes:
z
CKA_ID (byte array TBD).;
z
CKA_KEY_TYPE(CKK_RSA= 00);
z
CKA_DERIVE (CK_BOOL , posto a falso per le chiavi di firma);
z
CKA_START_DATE (CK_DATE);
z
CKA_END_DATE (CK_DATE);
z
CKA_LOCAL (CK_BOOL , posto a vero per le coppie di chiavi di firma);
Private key attributes:
z
CKA_SUBJECT (codifica DER del DN del certificato);
z
CKA_SENSITIVE (CK_BBOOL, posto a vero);
z
CKA_EXTRACTABLE (CK_BBOOL, posto a falso);
z
CKA_SIGN (CK_BBOOL, posto a vero);
z
CKA_SIGN-_RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE;
z
CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma )
z
CKA_VERIFY_RECOVER(CK_BBOOL, , posto a vero per le coppie di chiavi di firma);
z
CKA_DECRYPT(CK_BBOOL, , posto a falso per le coppie di chiavi di firma);
z
CKA_ALWAIS_SENSITIVE (CK_BBOOL, , posto a vero)
CNIPA 11 marzo 2005

di Firma Digitale (esempio)
BSO-KPRI
z il contenitore della chiave privata (Base Security Objects) ed
gestito dal sistema operativo della Smatcard. Il sistema operativo
della CIE memorizza la chiave in formato modulo (N) ed esponente
(d) e ad essa applicabile il TemplatePKCS#11 (Table 4-0
Private Key OBJ Attributes) solo per i seguenti attributi:
CKA_MODULUS (Big integer);

CKA_ PRIVATE_EXPONENT (Big integer);
CNIPA 11 marzo 2005
I meccanismi crittografici
Meccanismi PKCS#11
Meccanismi Interni
CKM_RSA_PKCS_KEY_PAIR_GEN
CKM_RSA_PKCS
Meccamismi di Lib.
CKM_DES_KEY_GEN
CKM_DES_ECB
CKM_DES_CBC
CKM_DES_CBC_PAD
CKM_DES_MAC
X
X
CKM_DES2_KEY_GEN
CKCM_DES3_CBC
X
X
CKM_DES3_ECB
X
X
CKM_DES3_MAC
CKM_SHA_1
CNIPA 11 marzo 2005
Le funzioni PKCS#11
z
Funzioni per la gestione dei lettori e

delle SmarCard
z
z
z
z
z
z
z
z
C_GetSlotList
C_GetSlotInfo
C_GetTokenInfo
C_GetMechanismList
C_GetMechanismInfo
C_InitToken
C_InitPIN
C_SetPIN
Key Management:
z
z
z
z
Funzioni di firma e verifica

firma:
z
z
z
Funzioni per la gestione della

sessione
C_OpenSession
C_CloseSession
C_CloseAllSession
C_GetSessionInfo
C_Login
C_Logout
z
z
z
z
z
z
z
z
C_SignInit
C_Sign
C_SignUpdate
C_SignFinal
C_VerifyInit
C_Verify
C_VerifyUpdate
C_VerifyFinal
Funzioni di Message Digesting:

z
z
z
z
CNIPA 11 marzo 2005
C_GenerateKey
C_GenerateKeyPair
C_WrapKey
C_UnwrapKey
C_DigestInit
C_Digest
C_DigestUpdate
C_DigestFinal
Un esempio
Generazione della Coppia di chiavi di firma
Funzioni di libreria
z
z
z
z
z
z
z
z
z
z
Funzione: C_GenerateKeyPair (prerequisito: C_Login)

Parametri:
CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le
funzioni C_OpenSession e C_GetSessionInfo;
CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici
supportati dalla libreria;
CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave
pubblica;
CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template;
CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave
privata;
CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template;
CK_OBJECT_HANDLE_PTR phPublicKey : puntatore allarea in cui la libreria
restituir lo handle delloggetto chiave pubblica;
CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore allarea in cui la libreria
restituir lo handle delloggetto chiave privata.
CNIPA 11 marzo 2005
Un esempio
Generazione della Coppia di chiavi di firma
Gestione della SmartCard

La funzione C_GenerateKeyPayr effettua le seguenti
operazioni sulla SmartCard:
z
z
z
z
Inserisce nel file EF_Index lidentificativo degli oggetti chiave

ottenuto dai template;
Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le
informazioni ottenute dai template;
Costruisce il file EF_Kpub tramite il comando APDU: CREATE
FILE;
Costruisce loggetto BSOKPRI-SIGN tramite il comando APDU:
PUT DATA OCI forzando algoritmo e condizioni di accesso
compatibili con il template della chiave privata;
Genera la coppia di chiavi tramite il comando APDU:
GENERATE KEY PAIR.
CNIPA 11 marzo 2005
SmartCard e lambiente MS
APPLICATION
COM
C - API
Crypto Service
Provider
Ser.Provider
Resource Manager
IFD Driver
Fornito dal produttore
del Sistema Operativo
Lettore
IFD
Smart Card
CNIPA 11 marzo 2005

(1)
z
Le definizioni del Codice dellAmministrazione digitale:
Identificazione informatica: linsieme di dati attribuiti in modo

esclusivo ed univoco ad un soggetto che ne distinguono
lidentit nei sistemi informativi.
Autenticazione informatica: la validazione dellidentificazione

informatica effettuata attraverso opportune tecnologie al fine
di garantire la sicurezza dellaccesso.
Autorizzazione informatica: la verifica, attraverso opportune

tecnologie, della corrispondenza tra le abilitazioni esistenti in
capo al soggetto richiedente, identificato nei sistemi
informativi, ed il tipo di operazione che il soggetto intende
eseguire.
CNIPA 11 marzo 2005

(2)
Identificazione : lo Username sostituito da un

certificato digitale. LUtente caratterizzato dal suo
Codice Fiscale.
Autenticazione : la password sostituita da un un

crittogramma prodotto per mezzo della chiave
privata di autenticazione contenuta nella smart card
CNIPA 11 marzo 2005

(3)
Il colloquio tra client e server caratterizzato da

scambi di dati caratterizzati da procedure riferite al
cosiddetto Challenge/Response.
Quando il colloquio in modalit web browsing

viene utilizzato il protocollo TLS/SSL (Transport
Layer Security/Secure Socket Layer)
Questi meccanismi garantiscono oltre che

lautenticazione del titolare anche lautenticazione
del server.
CNIPA 11 marzo 2005
La Carta di Identit Elettronica

La Carta di Identit Elettronica (CIE) lo strumento di
identificazione dei cittadini. Essa consente:
z lidentificazione a vista ;
z lidentificazione forte in rete per lerogazione telematica di
servizi da parte delle Pubbliche Amministrazioni.
Lidentificazione forte in rete ottenuta per mezzo della
chiave privata e del certificato digitale in essa contenuti.
La CIE contiene anche dati sanitari ed i componenti di
sicurezza necessari alla loro protezione.
Come per la carta CNS sono presenti componenti di sicurezza
per costruire aree dati da dedicare a altri servizi.
CNIPA 11 marzo 2005
La Carta di Identit Elettronica

MF
DF0
ID_Carta
PIN
DF1
K
pri
C_Carta
Dati_Personli
Memoria residua
EF.GDO
Servizi_installati
DF2
INST key
Area
NetLink
CNIPA 11 marzo 2005
KIa
KIc
DF_Servizio #1
Dati_servizio #1
DF_Servizio #2
Dati_servizio #2
DF_Servizio #n
Dati_servizio #n
CNS
MF
EF-DIR
PIN
Kpri
DF-Netlink
Applicazione Sanitaria
(Netlink)
DF-F Digitale
EF-GDO
PUK
EF-KPub
DF-Anagrafica
Dati
Anagrafici
DF-Altri Servizi
Quantit Sic.
Ente Emettitore
PIN-FD
Dati
Firma Digitale
CNIPA 11 marzo 2005
Altri
Servizi
PC/SC e Interoperabilit
Linteroperabilit PC/SC consente di:
gestire in modo unificato lo Smart Card File System

tramite moduli SW (Service Provider) messi a
disposizione dai fornitori di Smart Card
gestire in modo unificato le funzioni crittografiche

simmetriche ed asimmetriche tramite moduli SW (Crypto
Service Provider) messi a disposizione dai fornitori di
Smart Card
Gestire in modo unificato i lettori di Smart Card tramite i

driver messi a disposizione dai fornitori
CNIPA 11 marzo 2005
Librerie Crittografiche e Interoperabilit

Applicazioni di autenticazione e
Firma Digitale
Autenticazione SSL
<Microsoft C-API>
PKI Middleware
Microsoft CSP
WRAPPER PKCS#11/ATR Interceptor

SGU
SGU
PKCS#11
PKCS#11
CARTA 1
CARTA 2
PKCS#11
<ATR>
CARTA N
RESOURCE MANAGER
Drivers PCSC dei lettori
SO carta
1
CNIPA 11 marzo 2005
SO carta
2
SO carta
N
Interoperabilit del sistema operativo

Affinch unapplicazione possa interagire con differenti
tipologie di smart card senza la necessit di
accorgimenti SW necessario che:
z i sistemi operativi abbiano gli stessi comandi APDU almeno
per la fase di utilizzo del ciclo di vita delle smart card;
z le SmartCard abbiano la medesima struttura del File
System e le stesse condizioni di accesso;
z I dati siano descritti con una sintassi comune (es: ASN1);
z I dati siano codificati con le medesime regole (es: BER);
Le smartcard del progetto Netlink, le CNS e la Carta di
Identit Elettronica interoperano in base alle
precedenti asserzioni
CNIPA 11 marzo 2005
I certificati digitali
z
La carta nazionale dei servizi contiene un certificato di

autenticazione, consistente nellattestato elettronico che
assicura lautenticit delle informazioni necessarie per
lidentificazione in rete del titolare della carta nazionale dei
servizi, rilasciato da un certificatore accreditato
Art. 3, comma 1 del D.P.R. 2 marzo 2004, n.117
Il profilo del certificato di autenticazione pubblicato sul sito

del CNIPA nella sezione dedicata alla CNS
CNIPA 11 marzo 2005
Smart Card e PKI
Directory
Shadow
CAO
Certificati
X509v3
CRL
Directory
CA
DB
Legenda
DB
RA
RA:Registration Authority
CAO:Crt. Authority Operator
RA Frontend
CA Toolkit
RAO:Registration Autority
Operator
CRL:Certificate Revocation List
User
Application
CNIPA 11 marzo 2005
Smart Card e PKI
Applicazione di firma digitale e

crittografia dei dati
(L D A P)
H-API
CA Toolkit
Directory
PKCS#11 API
Cryptoki
Resource Manager
CNIPA 11 marzo 2005
Driver
IFD
SC
Le applicazioni sanitarie della Carta
La Carta Sanitaria Netlink utilizza una Smart Card che

contiene:
dati sanitari;
componenti di sicurezza per la protezione dei dati sanitari;
La carta Netlink non prevede lutilizzo di oggetti

crittografici quali:
Chiave privata
Certificato digitale
CNIPA 11 marzo 2005
La carta Net Link

MF
EF.DIR
EF.GDO
DF.NETLINK
EF.DIR
DF.NKAF
DF.NKAP
DF.NKPP
EF.NKAF
EF.NKAP
EF.NKPP
DF.NKEF
DF.NKEP
EF.NKEF
EF.NKEP
EF.NETLINK
CNIPA 11 marzo 2005
Interoperabilit
delle Carte sanitarie
Carta
Netlink
Carta
Operatore
SISS/Netlink
Posto
di
Lavoro
delloperatore
sanitario
Carta
Regionale
dei
Servizi
Carta
di
Identit
Elettronica
CNIPA 11 marzo 2005
Le architetture di sicurezza sui client e sui server (1)
Le modalit di utilizzo della CNS in ambiente Netscape/Mozilla

e in ambiente Internet Explorer differiscono a causa
dellarchitettura dei browser.
Anche i differenti application server trattano le informazioni di

autenticazione in modi differenti.
E gi stato provato un controllo daccesso con CIE e CNS

dallo stesso posto di lavoro ma ancora bisogna fare dei passi
in avanti.
CNIPA 11 marzo 2005
Le architetture di sicurezza sui client e sui server (2)
Non bisogna dimenticare il processo di autorizzazione.
Il processo di autorizzazione definisce le operazioni che il

titolare ha diritto a effettuare sullapplicazione specifica.
Il titolare lo stesso, ma su alcuni siti questo titolare non pu

effettuare alcuna operazione, mentre su altri pu accedere ai
dati personali e addirittura su siti di tipo sanitario a dati
sensibili.
CNIPA 11 marzo 2005
Per maggiori informazioni

www.cnipa.gov.it
manca@cnipa.it
CNIPA 11 marzo 2005

LineeGuidaCNS11032005 0

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

LineeGuidaCNS11032005 0

Caricato da

Copyright:

Formati disponibili

Le Linee Guida per lemissione e

lutilizzo della Carta Nazionale

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Scenario generale sulle carte daccesso

Il quadro normativo di riferimento

Interoperabilit tra le smart card

Lidentificazione e lautenticazione in rete

Le applicazioni sanitarie della carta

Le architetture di sicurezza sui client e sui server

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Scenario generale sulle carte daccesso (1)

La Direttiva 2005 recante Linee guida in materia di

Sono ormai definite con decreto dei Ministri dellInterno,

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Scenario generale sulle carte daccesso (2)

La smart card un contenitore di informazioni con

Essa viene utilizzata, tra laltro, per il controllo di

E opportuno che tutti i servizi erogati in rete dalla

Carta Nazionale dei Servizi (CNS).

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Il quadro normativo di riferimento (1)

DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).

Decreto interministeriale 9 dicembre 2004 (GURI del 18

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Il quadro normativo di riferimento (2)

il documento rilasciato su supporto informatico per

la carta nazionale dei servizi, in attesa della carta

lonere economico di produzione e rilascio delle

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Il quadro normativo di riferimento (3)

La CNS non identifica a vista.

La CNS deve contenere un certificato di

I dati identificativi della CNS sono verificati tramite

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Il quadro normativo di riferimento (4)

La carta pu contenere eventuali informazioni di

La CNS ha una validit temporale non superiore ai sei

Tutte le pubbliche amministrazioni che erogano servizi in

Attraverso opportuni protocolli dintesa tra le PA, le

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Il quadro normativo di riferimento (5)

Il ruolo della CNS come carta sanitaria diverso da

E possibile aggregare una serie di funzioni

Aggregare numerosi servizi sulla carta portano a

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Sistema operativo (maschera)

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Interoperabilit tra le smart card

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

CNIPA 11 marzo 2005

Le Linee guida per lemissione e lutilizzo della CNS, G. Manca

Gestione del protocollo di comunicazione;