cnipa – 18 giugno 2004 la tecnologie e le applicazioni delle sc nelle-gov, g. manca la tecnologia...
TRANSCRIPT
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La tecnologia e le applicazioni delle smart card nell’e-government
Ing. Giovanni MancaCentro nazionale per l’informatica nella pubblica amministrazione
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Gli elementi che compongono la Smart Card:
Microcircuito
Sistema operativo (maschera)
Microcircuito+Sistema operativo=SmartCard
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il Microcircuito
INTERFACE
CPU
RAM ROM EEPROM
DATA
ADDRESSES
I/O
n.c.
5V
0V
Clock
Reset
or
CPU+
Co Pro
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il Sistema Operativo
Il Sistema operativo è mascherato nella memoria ROM e sovrintende alle seguenti funzioni:
Gestione del protocollo di comunicazione; Gestione del protocollo logico (APDU); Gestione dello SmartCard File System; Sicurezza:
Sicurezza fisica (protezione degli “oggetti di sicurezza” contenuti nella SmartCard);
Sicurezza logica (criteri di accesso ai file ed agli oggetti di sicurezza).
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La norma ISO 7816
Parte prima e seconda per le caratteristiche fisiche e la posizione dei contatti elettrici
parte terza per le caratteristiche elettriche ed il protocollo di trasmissione
Parte quarta per la definizione dei comandi applicativi,la struttura dei file,le modalità di accesso ed i diritti di accesso
Parte quinta per le procedure di registrazione degli “Application Identifiers” (AID)
Parte ottava per la formalizzazione degli aspetti inerenti la sicurezza
Parte nona per la gestione del ciclo di vita i criteri di accesso ecc.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo di comunicazione (1)
Il protocollo di comunicazione è definito dalla norma ISO 7816 parte terza:
Le implementazioni del protocollo prevedono:– modalità T=0 (asincrono a carattere)– modalità T=1 (asincrono a blocchi)
Il protocollo di comunicazione è gestito dall’insieme “driver e SmartCard reader”.
Il livello di sofisticazione del driver dipende dal livello di sofisticazione del firmware del lettore.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo di comunicazione (2)(Lo standard PC/SC)
IFD:= Interface Device (SmartCard reader)ICC:= Integrated Circuit Card
Spex di riferimento
Spex di riferimento conformi allanorma ISO 7816-3
Fornito con lo IFD
È garantita l’interoperabilità tra lettori PC/SC e
SmartCard conformi aISO 7816-3
È garantita l’interoperabilità tra lettori PC/SC e
SmartCard conformi aISO 7816-3
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (1)Application Protocol Data Unit (APDU)
Costituisce la modalità con cui, tramite il protocollo di comunicazione, sono inviati alla Smart Card i comandi applicativi
È disciplinato dalla parte quarta della norma ISO 7816
È strutturato nel seguente modo:
Field Description Length (by)
Command header
Class byte (CLA) 1
Instruction byte (INS) 1
Parameter bytes (P1-P2) 2
Le field Command data field length (Nc) 0,1 or 3
Command data field Absent for Nc=0 else a Nc byte string Nc
Le field Data responce legth if present (Ne) 0,1,2 or 3
Response field May be absent, if present Nr bytes (0<Nr<=Ne) Nr
Response trailer Status bytes (SW1-SW2) 2
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (2)Tipologie di comandi APDU
Comandi di tipo amministrativo– Create File, Invalidate File, Delete File …..– Put Data (per settare gli attributi dei file e degli oggetti di
sicurezza)– Change Reference Data (amministrazione del PIN)
Comandi di utilizzo del File System– Select File – Read, Update,Append
Comandi di identificazione ed autenticazione– Verify PIN, Get Challenge, External Auth., Internal Auth. ..
Comandi crittografici– MSE (Manage Security Environment)– PSO (Perform Security Operation)
PSO_CDS (Compute Digital Signature) PSO_Encrypt/Decrypt
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (2)Alcuni esempi
CLA ‘00’
INS ‘A4’ = SELECT FILE
P1 ‘02’ (Select by File Identifier (FID))
P2 ‘00’
Lc ‘02’ = Length of subsequent data field
Data field FID of (Elementary File)
Le Empty
CLA ‘00’
INS ‘B0’ = READ BINARY
P1,P2 ‘0000’
Lc Empty
Datafield Empty
Le ‘xx’ length of data to be read
Data field Empty
SW1-SW2 ‘9000’ or specific status bytes
Select Elementary File (EF)
Data field Selected EF Data
SW1-SW2 ‘9000’ or specific status bytes
Read Binary
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il File System nella Smart Card
Organizzazione (Norma ISO 7816 - 4)I dati sono organizzati in un file system
gerarchico.
Master File (MF) è la “root” del file system, ed è selezionato automaticamente al reset.
Elementary File (EF) sono I “repository” dei dati.
Dedicated File (DF) sono le “directory” del file system e possono contenere sia DF che “EF”. Esse consentono di installare più di un’applicazione all’interno della Smart Card.
MF
DF 0 EF 00
EF 0n
EF 0
EF n
DF n
EF n0
EF nn
DF n0 EF n00
EF n0n
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
I file elementari (EF)
Transparent Elementary File:l File non formattato;l l’accesso ai dati è per offset e lunghezza.
Linear Fixed Elementary File:l File organizzato a record di lunghezza fissa;l l’accesso ai dati è per numero di record.
Linear Variable Elementary File:l File organizzato a record di lunghezza
variabile;l l’accesso ai dati è per numero di record.
Cyclic Elementary File:l File organizzato a record di lunghezza fissa;l l’accesso in lettura è per numero di recordl la scrittura è sul record successivo all’ultimo
record aggiornato
TransparentEF
Linear FixedEF
Linear VariableEF Cyclic EF
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Modalità di navigazione del File System
Consentito
Non consentitodirettamente
MF
DF 0 EF 00
EF 0n
EF 0
EF n
DF n
EF n0
EF nn
DF n0 EF n00
EF n0n
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Modalità di selezione
Selezione tramite File Identifier (FID)– il campo dati del comando di selezione è il File Identifier – è possibile selezionare EF o DF sotto la directory corrente (pe:EFn da
MF, DFn da MF, DFn0 da DFn) Selezione tramite Path
– il campo dati del comando di selezione è costituito dai FID del percorso di selezione
– per selezionare EFn0n da MF il campo dati del comando di selezione contiene :
DFn FID, DF0n FID, EFn0n FID NOTA:il FID è costituito da 2 byte che possono essere scelti a
piacere con i seguenti limiti:– 3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF
corrente è ignota, 2F00 riservato a EF_Dir (vedere Direct Application Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO (vedere applicazione Netlink)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Selezione diretta dei DF(Norma ISO 7816 - 4 e 5)
Consentito
Non consentito
MF
DF 0
EF 0
EF N
EF 00
EF 0N
DF N
EF N0
EF NN
DF N0
EF N00
EF N0N
DF N00 EF N000
EF N00N
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Selezione diretta dei DF
Questo comando consente di selezionare direttamente una Directory senza conoscere il File Identifier e l’intero percorso di selezione
Il comando di selezione ha come campo dati l’Application Identifier (AID)
Gli AID delle Directory selezionabili direttamente ed i percorsi di selezione sono memorizzati nel File 2F00 (EF-DIR)
Gli AID devono essere richiesti all’ISO in conformità alla norma 7816-5
Questo comando è utilizzato da terminali che gestiscono più tipologie di smart card (p.e. terminali ATM e POS)
Il terminale legge EF-DIR, verifica se contiene AID noti e seleziona le applicazioni
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza
L’obiettivo della sicurezza è la custodia dei dati contenuti nelle smart card.
Questo obiettivo è perseguito tramite:
sicurezza fisica
sicurezza logica
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica (1)
La sicurezza fisica è l’insieme delle contromisure messe in atto per proteggere le informazioni da attacchi condotti tramite:
l’utilizzo improprio dell’interfaccia elettrica; azioni fisiche volte a guadagnare il controllo
diretto del microprocessore; analisi dell’assorbimento elettrico .
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica (2)
Le principali contromisure
Sensori che rilevano la marginatura della tensione di alimentazione
Sensori che rilevano la marginatura del clockSensori di temperatura di esercizioSensori ottici
Questi accorgimenti proteggono dall’utilizzo impropriodell’interfaccia elettrica e da azioni fisiche volte a
guadagnare il controllo diretto del microprocessore
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisicaLa gestione dei sensori
Sensors Register
Hang Routine NOP HALT JMP-1
NM Interrupt
Intrusion EventsOS Code
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica
Analisi dell’assorbimento elettrico
Questo tipo di attacco tende a mettere in relazione le variazioni di assorbimento elettrico, dovute alla
commutazione dei “transistor”, con i processi svolti dal microprocessore.
Una contromisura efficace adottata dai costruttori di Smart Card consiste nel disaccoppiare il “clock”
fornito all’interfaccia dal “clock” del microprocessore e variarne in modo casuale la frequenza durante
processi di calcolo interno
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica
La sicurezza logica controlla l’accesso alle informazioni contenute nella smart card tramite:
• codici personali di accesso alle informazioni (PIN);• processi di autenticazione realizzati con tecniche
crittografiche simmetriche o asimmetriche;• funzioni che consentono di rendere non
modificabili ed accessibili in sola lettura alcuni dati;• funzioni che consentono di rendere non esportabili
gli oggetti di sicurezza (chiavi e codici di accesso).
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza Logica(Gli oggetti della sicurezza)
PIN Consente di verificare il possesso della della Smart Card,
ad esso possono essere associate condizioni di accesso ai file e condizioni di utilizzo degli oggetti di sicurezza
Possono essere definiti più PIN
Chiavi crittografiche simmetriche ed asimmetriche
Consentono di realizzare processi di autenticazione Ai processi di autenticazione possono essere vincolate le
condizioni di accesso ai file Le chiavi possono essere usate anche per produrre
crittografia da utilizzare all’esterno della Smart Card (p.e. Firma Digitale)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Le condizioni di accesso
Sono attributi dei Files e degli oggetti di sicurezza;definiscono le
condizioni di accesso per tipologia di comando
BSO Tipo di
operazioniComandi protetti
PIN Update PutData_OCI
PIN Admin PutData_FCI
PIN Create CreateFile
BSO Tipo di
operazioniComandi protetti
ALW Read ReadBinary
AutKey&PIN
Update UpdateBin
NEV Admin PutData_FCI
BSO Tipo di
operazioniComandi protetti
PIN USE PSO_CDS
NEV Change ChangeReference Data
PIN GenKey GenerateKeyPair
AC_DF
AC_BSO Kpri
AC_EF
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica(Le condizioni di accesso)
•PIN
•Auth.
•PIN o Auth
•Pin e Auth.
MF
DF 0 EF 00
EF 0N
EF 0
EF N
DF N
EF N0
EF NN
DF N0 EF N00
EF N0N
PIN
Auth. Key
PIN
Auth. Key
BSO_Kpri
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica (Autenticazione)
GET CHALLENGE <RND.HPC>
HPC Sys PDC
INT AUTH <RND.HPC> <E(IK.PDC.AU, RND.HPC)>
EXT AUTH <SN.PDC, E(IK.PDC.AU,
RND.HPC)> OK
GET CHALLENGE <RND.PDC>
INT AUTH
<E(IK.PDC.AU, RND.PDC)>
EXT AUTH <E(IK.PDC.AU, RND.PDC)> OK
RND.PDC, SN.PDC)>
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logicaLe Smart Card come motori crittografici
Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e algoritmi asimmetrici (RSA) che utilizzano gli oggetti di
sicurezza tramite comandi APDU
Gli oggetti di sicurezza sono utilizzabili se è settato l’ambiente di sicurezza tramite il comando MSE (Manage Security Environment)
La crittografia è sviluppata per mezzo del comando PSO xxx (Perform Security Operation) dove xxx vale:
CDS per Digital Signature e MAC; ENC per cifratura simmetrica e asimmetrica; DEC per decifratura simmetrica ed asimmetrica.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Librerie crittografiche
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Librerie Crittografiche PKCS#11 (Cryptoki)
Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici.
Forniscono una interfaccia standard che prescinde dal dispositivo crittografico per cui sono state sviluppate.
Rendono le applicazioni in cui la crittografia è trattata con queste API largamente indipendenti dai dispositivi.
Vincolano all’utilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a Smart Card di differenti fornitori di poter operare sulla stessa piattaforma applicativa
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Cryptoki
Gli scopi delle Cryptoki in base allo standard:
The primary goal of Cryptoki was a lower-level programming interface that abstracts the details of the devices and presents to the application, a common model of the cryptographic device, called a “cryptographic token”.
A secondary goal was resource-sharing. As desktop multi-tasking operating systems become more popular, a single device should be shared between more than one application. In addition, an application should be able to interface to more than one device at a given time.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CRIPTOKY
Il “Token”
È la rappresentazione a oggetti dei dati e delle quantità di sicurezza contenute nel dispositivo crittografico– Gli oggetti sono definiti dagli attributi (template)
Contiene la definizione dei meccanismi crittografici supportati dal dispositivo
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CRIPTOKYRappresentazione a oggetti del “Token”
OBJECT
Common Obj
attributes
Certificate Key-Cert attributes-Cert. Value
Common Key attributes
ValueData
Obj type
Public Key-Pub Key attributes
-Pub Key Value
Private Key-Priv Key attributes
-Priv Key Value
Secret Key-Secret Key Attribut.-Secret Key Value
Key Obj
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Implementazione del “Token”nelle SmarCard
MF
User Signature PIN(S.O. PWD)
DFSignature
EF_Index
EF_Kpub_Attribute
BSOPIN
EF_Kpri_Attribute
EF_Kpub
EF_CERT/Attribute
EF-Data_OBJ
BSOKpri
EF-GDOEF-DIR
DFApplicazione n
DFApplicazione 1
DatiApplic.
n
DatiApplic.
1
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System
EF_Index:
Elementary File di tipo Linear TLV che contiene gli identificativi PKCS#11 (CKA_ID) degli oggetti Chiave Pubblica, Chiave Privata , Certificati ed oggetti Dati presenti nella Directory di Firma Digitale. Questo file è utilizzato dalle Funzioni di Gestione degli Oggetti per la “navigazione” del File System della Carta.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System di Firma Digitale (esempio)
EF_Kpri_Attribute Elementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i “Template”
PKCS#11 degli Oggetti Chiavi Private e sono:Common attributes: CKA_CLASS (CKO_PRIVATE_KEY = 03); CKA_TOKEN (CK_BBOOL, posto a vero); CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica l’autenticazione tramite la funzione:
C_Login.; CKA_LABEL (CK_CHAR); CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma);Common key attributes: CKA_ID (byte array TBD).; CKA_KEY_TYPE(CKK_RSA= 00); CKA_DERIVE (CK_BOOL , posto a falso per le chiavi di firma); CKA_START_DATE (CK_DATE); CKA_END_DATE (CK_DATE); CKA_LOCAL (CK_BOOL , posto a vero per le coppie di chiavi di firma);Private key attributes: CKA_SUBJECT (codifica DER del DN del certificato); CKA_SENSITIVE (CK_BBOOL, posto a vero); CKA_EXTRACTABLE (CK_BBOOL, posto a falso); CKA_SIGN (CK_BBOOL, posto a vero); CKA_SIGN _RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE; CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma ) CKA_VERIFY_RECOVER(CK_BBOOL, , posto a vero per le coppie di chiavi di firma); CKA_DECRYPT(CK_BBOOL, , posto a falso per le coppie di chiavi di firma); CKA_ALWAIS_SENSITIVE (CK_BBOOL, , posto a vero)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System di Firma Digitale (esempio)
BSO-KPRI È il contenitore della chiave privata (Base Security Objects) ed è
gestito dal sistema operativo della Smatcard. Il sistema operativo della CIE memorizza la chiave in formato modulo (N) ed esponente (d) e ad essa è applicabile il “Template”PKCS#11 (Table 4-0 Private Key OBJ Attributes) solo per i seguenti attributi:
– CKA_MODULUS (Big integer);– CKA_ PRIVATE_EXPONENT (Big integer);
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
I meccanismi crittografici
Meccanismi PKCS#11 Meccanismi Interni Meccamismi di Lib.
CKM_RSA_PKCS_KEY_PAIR_GEN X
CKM_RSA_PKCS X
CKM_DES_KEY_GEN X
CKM_DES_ECB X
CKM_DES_CBC X X
CKM_DES_CBC_PAD X
CKM_DES_MAC X X
CKM_DES2_KEY_GEN X
CKCM_DES3_CBC X X
CKM_DES3_ECB X
CKM_DES3_MAC X X
CKM_SHA_1 X X
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Le funzioni PKCS#11
Funzioni per la gestione dei lettori e delle SmarCard
C_GetSlotList C_GetSlotInfo C_GetTokenInfo C_GetMechanismList C_GetMechanismInfo C_InitToken C_InitPIN C_SetPIN
Funzioni per la gestione della sessione
C_OpenSession C_CloseSession C_CloseAllSession C_GetSessionInfo C_Login C_Logout
Key Management:
C_GenerateKey C_GenerateKeyPair C_WrapKey C_UnwrapKey
Funzioni di firma e verifica firma:
C_SignInit C_Sign C_SignUpdate C_SignFinal C_VerifyInit C_Verify C_VerifyUpdate C_VerifyFinal
Funzioni di Message Digesting: C_DigestInit C_Digest C_DigestUpdate C_DigestFinal
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Un esempio Generazione della Coppia di chiavi di firma
Funzioni di libreria
Funzione: C_GenerateKeyPair (prerequisito: C_Login) Parametri: CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le
funzioni C_OpenSession e C_GetSessionInfo; CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici
supportati dalla libreria; CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave
pubblica; CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template; CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave
privata; CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template; CK_OBJECT_HANDLE_PTR phPublicKey : puntatore all’area in cui la libreria
restituirà lo handle dell’oggetto chiave pubblica; CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore all’area in cui la libreria
restituirà lo handle dell’oggetto chiave privata.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Un esempio Generazione della Coppia di chiavi di firma
Gestione della SmartCard
La funzione C_GenerateKeyPayr effettua le seguenti operazioni sulla SmartCard:
Inserisce nel file EF_Index l’identificativo degli oggetti chiave ottenuto dai template;
Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le informazioni ottenute dai template;
Costruisce il file EF_Kpub tramite il comando APDU: CREATE FILE;
Costruisce l’oggetto BSOKPRI-SIGN tramite il comando APDU: PUT DATA OCI forzando algoritmo e condizioni di accesso compatibili con il template della chiave privata;
Genera la coppia di chiavi tramite il comando APDU: GENERATE KEY PAIR.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard e l’ambiente MS
APPLICATION
Ser.Provider Crypto ServiceProvider
C - API
Resource Manager
IFD
COM
Fornito dal produttore del Sistema Operativo
Smart Card
Lettore
IFD Driver
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard
Le Smart Card nei principali
progetti
della Pubblica Amministrazione
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta della sperimentazione Netlink
La sperimentazione Netlink utilizza una Smart Card che
contiene:
– dati sanitari;– componenti di sicurezza per la protezione dei dati sanitari;
La carta Netlink non prevede l’utilizzo di oggetti crittografici quali:
– Chiave privata– Certificato digitale
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
EF.NKEF
EF.NKAP
EF.NKEP
EF.NKPP
MF
DF.NKAF
EF.DIR EF.GDO
DF.NKEF
DF.NKAP
DF.NKEP
DF.NKPP
EF.NKAF
DF.NETLINK
EF.NETLINK
EF.DIR
La carta Net Link
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta CNS
La carta CNS è il dispositivo in dotazione al cittadino che gli
consente di interagire i servizi in rete erogati dalla PA.
Nel Progetto Lombardo essa contiene:
dati sanitari; componenti di sicurezza per la protezione dei dati sanitari; oggetti crittografici ,chiave privata e certificato digitale, per
attivare funzioni di attestazione; componenti di sicurezza per costruire aree dati da dedicare
a servizi regionali non connessi alla Sanità.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta di Identità Elettronica
La Carta di Identità Elettronica (CIE) è lo strumento di identificazione dei cittadini. Essa consente: l’identificazione a vista ; l’identificazione forte in “rete” per l’erogazione telematica
di servizi da parte delle Pubbliche Amministrazioni.L’identificazione forte in “rete” è ottenuta per mezzo dellachiave privata e del certificato digitale in essa contenuti.La CIE contiene anche dati sanitari ed i componenti di sicurezza necessari alla loro protezione.Come per la carta CNS sono presenti componenti di sicurezzaper costruire aree dati da dedicare a servizi non connessi allasanità.
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta di Identità Elettronica
Servizi_installati
DF_Servizio #2 Dati_servizio #2
MF
DF2
Kpri
DF1 C_Carta
Dati_Personli
DF0 ID_Carta
INST key
DF_Servizio #1 Dati_servizio #1
KIa
DF_Servizio #n Dati_servizio #n
EF.GDO
KIc
Area NetLink
Memoria residua
PIN
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CNS
MF
DatiAnagrafici
DF-Anagrafica
Applicazione Sanitaria(Netlink)
DF-Netlink
Kpri
EF-GDO
EF-KPub
PUKPIN
AltriServizi
DF-Altri Servizi
PIN-FD
DF-F Digitale
DatiFirma Digitale
Quantità Sic.Ente Emettitore
EF-DIR
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard
INTEROPERABILITA’
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
PC/SC e Interoperabilità
L’interoperabilità PC/SC consente di: gestire in modo unificato lo Smart Card File System
tramite moduli SW (Service Provider) messi a disposizione dai fornitori di Smart Card
gestire in modo unificato le funzioni crittografiche simmetriche ed asimmetriche tramite moduli SW (Crypto Service Provider) messi a disposizione dai fornitori di Smart Card
Gestire in modo unificato i lettori di Smart Card tramite i driver messi a disposizione dai fornitori
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Librerie Crittografiche e Interoperabilità
<ATR>
<Microsoft C-API>
SO carta1
SO carta2
SO cartaN
Drivers PCSC dei lettori
RESOURCE MANAGER
PKCS#11
CARTA 1
PKCS#11
CARTA 2
PKCS#11
CARTA N
WRAPPER PKCS#11/ATR Interceptor
Microsoft CSP
Applicazioni di autenticazione e Firma Digitale
PKI Middleware
Autenticazione SSL
SGU
SGU
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità SWApplicazioni non crittografiche
DELTA SGU
<ATR>
SO carta1
SO carta2
SO cartaN
Drivers PCSC dei lettori
RESOURCE MANAGER
APDUMANAGER
1
APDUMANAGER
2
APDUMANAGER
N
WRAPPER/ATR Interceptor
Gestione informazioniApplicative
(es:Sanità e servizi comunali)
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità del sistema operativo
Affinché un’applicazione possa interagire con differenti tipologie di SmaCtcard senza la necessità di accorgimenti SW è necessario che:
i sistemi operativi abbiano gli stessi comandi APDU almeno per la fase di utilizzo del ciclo di vita delle SmartCard;
le SmartCard abbiano la medesima struttura del File System e le stesse condizioni di accesso;
I dati siano descritti con una sintassi comune (es: ASN1); I dati siano codificati con le medesime regole (es: BER);
Le smartcard del progetto Netlink, le CNS e la Carta di Identità Elettronica interoperano in base alle precedenti asserzioni
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità delle Carte sanitarie
CartaOperatoreSISS/Netlink
Cartadi
IdentitàElettronica
CartaRegionale
deiServizi
CartaNetlink
Postodi
Lavorodell’operatore
sanitario
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Smart Card e PKI
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card e PKI
Legenda
RA:Registration Authority
CAO:Crt. Authority Operator
RAO:Registration Autority Operator
CRL:Certificate Revocation List
C A
CAO
RA
DirectoryShadow
•Certificati X509v3•CRL
CA Toolkit
User Application
Directory
DB
DB
RA Frontend
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card e PKI
S C
Applicazione di firma digitale e crittografia dei dati
CA Toolkit
(L D A P)
H-API
Cryptoki
Resource Manager Driver IFD
PKCS#11 API
Directory
CNIPA – 18 giugno 2004 La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Per maggiori informazioniwww.cnipa.gov.it