Dalla creazione del certificato alla Firma Digitale
-
Upload
massimo-farina -
Category
Education
-
view
1.422 -
download
1
description
Transcript of Dalla creazione del certificato alla Firma Digitale
A.A. 2014/15Corso di Laurea Magistrale in
Ingegneria delle TelecomunicazioniIngegneria delle Telecomunicazionihttp://tlc.diee.unica.it/
Cagliari 27 Ottobre 2014 - Slide a cura di Massimiliano Corda – Halley Sardegna S.r.l. –Certificatore Rao – Consulente Privacy
Nell’ambito del Corso di
Diritto dell’Informatica e delle Nuove TecnologieDocente: Massimo Farina
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
La Firma Digitale è l’equivalente informatico di una tradizionale
firma apposta su carta.
La sua funzione è quella di attestare la validità, la veridicità e la
paternità di un documento, come una lettera, un atto, un
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
2
messaggio o, in generale, qualunque file di dati (testo, immagini,
musica, ecc.).
Come tale, non va confusa con altri oggetti omofoni definiti
genericamente “elettronici”, come ad esempio la firma autografa
scansionata e conservata come immagine.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
La Firma Digitale è infatti il risultato di una procedura informatica
basata su un sistema di codifica crittografica a chiavi
asimmetriche (una pubblica e una privata , esse sono l’ insieme
della coppia di chiavi, quella pubblica e quella privata, che viene
utilizzata per la creazione e la verifica della Firma Digitale, e
attribuita a un solo titolare.), che consente:
• la sottoscrizione di un documento informatico;
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
3
• la sottoscrizione di un documento informatico;
• la verifica, da parte dei destinatari, dell’identità del soggetto
firmatario;
• la sicurezza della provenienza del documento;
• la certezza che l’informazione contenuta nel documento non sia
stata alterata.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
Deve essere in possesso dei requisiti di onorabilità richiesti ai
soggetti che svolgono funzioni di direzione e controllo delle banche.
Tali requisiti si estendono anche ai legali rappresentanti.
La forma giuridica prevista è quella di società di capitali ed il
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
4
La forma giuridica prevista è quella di società di capitali ed il
capitale sociale deve essere pari o superiore a 6,5 milioni di €.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
Se rilascia certificati qualificati, deve comunicare preventivamente
all’Agenzia per l’Italia Digitale la sussistenza dei requisiti di onorabilità,
nonché requisiti di:
• affidabilità tecnica, organizzativa ed economica;
• competenza del personale;
• procedure di gestione;
• sicurezza e anticontraffazione dei certificati.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
5
Deve accreditarsi presso AID iscrivendosi in un apposito albo
(http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatori-
attivi ).
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
Il Produttore di dispositivi crittografici è tenuto a garantire i
seguenti aspetti del processo di certificazione:
• produzione di chip secondo gli standard previsti dalla normativa;
• conservazione dei chip e embedding;
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
6
• conservazione dei chip e embedding;
• inizializzazione elettrica;
• procedure di invio dei lotti di smart card o token usb inizializzati
al certificatore.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
il RAO (Addetto all’Uffcio di Registrazione)
• identifica il titolare e le condizioni di sussistenza di un titolo/ruolo;
• registra i dati del titolare sull’applicativo per il rilascio dei
certificati;
• richiede l’emissione dei certificati su Business Key o smart card;
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
7
• richiede l’emissione dei certificati su Business Key o smart card;
• consegna al titolare il dispositivo , la cartellina contenente le
condizioni generali di contratto e i codici di sicurezza.
La richiesta del rilascio di un certificato implica la necessità di riconoscere il titolare.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
Prevede la presenza fisica del Titolare (non è ammessa delega) e si basa
sul controllo di un documento di identità valido (art.35 TU, D.P.R.
28/12/2000, n.445)ed eventualmente dell’attestazione del ruolo
nell’Organizzazione.
Il RAO richiede l’emissione del certificato.
All’interno del dispositivo di firma, in un area protetta indenne dalla formattazione, viene generata
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
8
All’interno del dispositivo di firma, in un area protetta indenne dalla formattazione, viene generata
la coppia delle chiavi asimmetriche.
Il RAO, con la digitazione del PIN, sottoscrive la richiesta di emissione del certificato.
dopo gli opportuni controlli, l’Ente Certificatore genera il certificato e ne permette il salvataggio sul
dispositivo
il Certificato emesso è inserito nel Registro dei Certificati ma viene reso pubblico solo su esplicita
richiesta del Titolare.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
E’ una persona fisica, maggiorenne, dotata di codice fiscale o
identificativo equivalente
(https://en.wikipedia.org/wiki/National_identification_number)
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
9
E’ identificato come il possessore della chiave privata corrispondente
alla chiave pubblica contenuta nel certificato.
Per questo motivo, la firma digitale generata con la chiave privata
della coppia è attribuita al titolare.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
PROVVEDE ALL’IDENTIFICAZIONE DELLA PERSONA CHE RICHIEDE IL CERTIFICATO
• Direttamente o attraverso strutture collegate, si accerta delle generalità del richiedente
del certificato.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
10
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
RILASCIA IL CERTIFICATO
• Direttamente o attraverso strutture collegate, genera il certificato e lo mette a disposizione
del titolare.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
11
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
INFORMA IL TITOLARE
Rende disponibile e mantiene aggiornata la documentazione on-line per i titolari.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
12
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
PROVVEDE ALLA TEMPESTIVA REVOCA E SOSPENSIONE DEL CERTIFICATO, SE RICHIESTO O NECESSARIO
Mette a disposizione del Titolare o del Terzo Interessato gli strumenti per revocare/sospendere ilcertificato.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
13
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
ASSICURA LA PRECISA DETERMINAZIONE DI DATA E ORA DI RILASCIO, REVOCA E SOSPENSIONE
Garantisce la precisa rendicontazione temporale delle operazioni svolte
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
14
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
REGISTRA TUTTE LE INFORMAZIONI RELATIVE AL CERTIFICATO PER 20 ANNI
Mantiene la memoria di tutte le operazioni inerenti la vita del certificato
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
15
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
I DATI DEL TITOLARE SONO REGISTRATI NEL DB DEL CERTIFICATOREI DATI DEL TITOLARE SONO REGISTRATI NEL DB DEL CERTIFICATORE
L’attivazione del PIN è propedeutica all’utilizzo del dispositivo di firma
I codici richiesti per l’attivazione, PIN e PUK, sono contenuti nella cartellina ERC (consegnati al
momento dell’attivazione)
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
16
momento dell’attivazione)
Il Titolare attiva il suo dispositivo di firma personalizzando il PIN.
• Il Titolare modifica il PIN, il PUK rimane immodificato.
• Nella cartellina è contenuto un ulteriore codice di sicurezza, l’Emergency
Request Code, necessario per la sospensione on-line del certificato.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
In condizioni standard il certificato digitale ha una validità di 3 anni.
• La revoca o la sospensione modificano la validità del certificato anticipandola e ne comportano
l’inserimento nella lista dei certificati revocati e sospesi , esse rendono le firme apposte dopo la
pubblicazione della CRL(istanze di richiesta) non valide.
• La sospensione ha carattere di temporaneità, la revoca è un processo definitivo.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
17
La revoca o la sospensione dei certificati possono essere richiesti da:
� Titolare
� Certificatore
� Terzo Interessato (chi riceve un documento firmato digitalmente, ovviamente dovrà
dimostrare il perché della richiesta)
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
La revoca di un certificato può essere richiesta a causa di:
� chiave privata compromessa, ovvero smarrimento del dispositivo di
� firma, perdita della segretezza della chiave o del PIN
� dispositivo di firma non funzionante
� modifica dei dati del Titolare presenti nel certificato
� disdetta
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
18
� mancato rispetto del Manuale Operativo
La sospensione di un certificato può essere richiesta a causa di:
� necessità di interrompere la validità del certificato
� dubbi sulla validità del certificato
� dubbi sull’opportunità di una richiesta di revoca
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
Al termine del periodo di sospensione richiesto, la validità del certificato viene
ripristinata automaticamente poiché il certificato è rimosso dalla lista di revoca e
sospensione .
Un certificato sospeso può essere revocato.
Non è possibile anticipare il ripristino della validità di un certificato prima che
termini il suo periodo di sospensione.
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
19
In condizioni standard il certificato digitale ha una validità di 3 anni.
La procedura di rinnovo del certificato permette di prorogare per ulteriori 3 anni la
validità del certificato purché venga eseguita prima della data di fine validità del certificato.
Superata questa data, il rinnovo non è più consentito; il titolare deve chiedere l’emissione
di un nuovo certificato.
Al momento del rinnovo viene generata una nuova coppia di chiavi ed un nuovo certificato.
I certificati scaduti restano archiviati per 20 anni.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
CERTIFICATO DI SOTTOSCRIZIONE
Permette di apporre una firma digitale attribuendo valore legale al documento. E’ generato seguendo indicazioni e standard normati.
CERTIFICATO DI SOTTOSCRIZIONE CON RUOLO
Permette di apporre una firma digitale attribuendo valore legale al documento. E’ generato seguendo indicazioni e standard normati. Indica funzioni, titoli o abilitazioni professionali e poteri di rappresentanza del titolare.
CERTIFICATO DI AUTENTICAZIONE
Permette di autenticarsi ai siti web e di firmare messaggi di posta elettronica.Non è standardizzato.
CERTIFICATO DI AUTENTICAZIONE CNS
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
20
CERTIFICATO DI AUTENTICAZIONE CNS
Permette di autenticarsi ai siti web e di Firmare messaggi di posta elettronica Rilasciato dalla PA, è generato seguendo indicazioni e standard normati.
D i s c i p l i n a e t u t e l a g i u r i d i c a d e i p r o g r a m m i p e r e l a b o r a t o r e
FIRMA DIGITALE: Business Key (chiavetta USB - strumento ideato per rendere l'utilizzo della firma digitale semplice ed intuitivo)
SMART CARD: dotata di chip (necessita di un lettore di smart card).
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
21
FIRMA REMOTA: per effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card “virtuale”.
MARCHE TEMPORALI: per associare ad uno o più documenti informatici una evidenza certa di data e ora (riferimento temporale certificato).
A.A. 2014/15Corso di Laurea Magistrale in
Ingegneria delle TelecomunicazioniIngegneria delle Telecomunicazionihttp://tlc.diee.unica.it/
Grazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzionehttp://www.diricto.it/
http://ict4forensics.diee.unica.it/
Contratto telematico e commercio elettronico
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
Licenza
DIRITTO DELL ’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
23
� Attribuzione. Devi attribuire la paternità dell’opera nei modi indicatidall’autore o da chi ti ha dato l’opera in licenza e in modo tale da nonsuggerire che essi avallino te o il modo in cui tu usi l’opera.
� Non commerciale. Non puoi usare quest’opera per fini commerciali.� Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenzaidentica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri itermini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna diqueste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quantosopra