Lombardia Informatica S.p.A. Policy dei Certificati di Validazione Temporale. Policy OID:

Transcript

1 Lombardia Informatica S.p.A. Policy dei Certificati di Validazione Temporale Policy OID: Revisione del Documento: 4.0 Data revisione: Policy dei Certificati di Validazione Temporale - Lombardia Informatica S.p.A.

2 Indice dei Contenuti 1. Introduzione Scopo e campo di applicazione del documento Validità Riferimenti normativi Documentazione di riferimento Standard di riferimento Profilo del Certificato Attributi standard Estensioni Integrazioni al Manuale Operativo... 8 Pagina 2 di 8

3 Storia delle modifiche apportate Numero versione Data di emissione Sintesi delle variazioni /01/2011 Prima emissione /07/ /07/2016 Aggiornati i riferimenti normativi. Aggiunto il CertificatePolices OID relativo ai certificati utilizzati dal sistema di Marcatura Temporale di Lombardia Informatica per emettere marche temporali aventi nella firma l attributo id-aa-signingcertificatev2 (OID: ). Aggiornati i riferimenti normativi, il layout del documento e il codice documento. Revisione complessiva dei contenuti, in particolare sono stati aggiunti gli standard di riferimento e un maggior dettaglio al profilo dei certificati. Aggiunto il capitolo "Integrazioni al Manuale Operativo" /02/2017 Aggiunta la descrione del campo Subject nella tabella degli Attributi standard. Lombardia Informatica si riserva di apportare modifiche al presente documento per esigenze tecniche o modifiche procedurali intervenute durante la gestione del servizio. Al verificarsi di ogni variazione Lombardia Informatica ne darà notifica ad AgID e, previa ratifica della stessa, la presente policy modificata verrà pubblicata sul sito prima che divenga effettiva. Pagina 3 di 8

4 1. Introduzione 1.1 Scopo e campo di applicazione del documento Questo documento è la policy dei certificati di validazione temporale emessi da Lombardia Informatica, in conformità al Manuale Operativo [5]. Questo documento, in particolare, descrive: il profilo dei certificati utilizzati dai Time-Stamping Unit (TSU); solo se applicabile, eventuali regole tecniche e/o organizzative aggiuntive o meglio dettagliate rispetto a quanto già descritto nel Manuale Operativo [5]. 1.2 Validità Questo documento ha validità per: Lombardia Informatica S.p.A. (Prestatore di Servizi Fiduciari Qualificato); gli utenti utilizzatori dei certificati del tipo qui descritto; 1.3 Riferimenti normativi [1] Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 e successive modifiche ed integrazioni; [2] D.lgs n 82/2005 [CAD]: Codice dell amministrazione digitale e successive modifiche ed integrazioni; [3] D.P.C.M. 22 febbraio 2013: Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71; [4] Deliberazione CNIPA 45/2009 del 21 maggio 2009: Regole per il riconoscimento e la verifica del documento informatico e successive modifiche ed integrazioni; [5] Atto esecutivo (UE) 2015/1506 dell'8 settembre 2015: DECISIONE DI ESECUZIONE (UE) 2015/1506 DELLA COMMISSIONE dell'8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all'articolo 27, paragrafo 5, e all'articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno; [6] Atto esecutivo (UE) 2015/1505 dell'8 settembre 2015: DECISIONE DI ESECUZIONE (UE) 2015/1505 DELLA COMMISSIONE dell'8 settembre 2015 che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno; [7] Atto esecutivo (UE) 2015/1502 dell'8 settembre 2015: REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE dell'8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno; [8] Atto esecutivo (UE) 2015/1501 dell'8 settembre 2015: REGOLAMENTO DI ESECUZIONE (UE) 2015/1501 DELLA COMMISSIONE dell'8 settembre 2015 relativo al quadro di interoperabilità di cui all'articolo 12, Pagina 4 di 8

5 paragrafo 8, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno 1.4 Documentazione di riferimento [9] Manuale Operativo o Certification and TSA Practice Statement CPS e TSA PS di Lombardia Informatica (codice documento LISPA-CA-PRC#01); [10] Dichiarazione di Trasparenza o PKI Disclosure Statement - PDS di Lombardia Informatica; [11] Condizioni di Fornitura dei Servizi Fiduciari di Firma Elettronica Qualificata e di Validazione Temporale Elettronica di Lombardia Informatica; 1.5 Standard di riferimento I certificati descritti nel presente documento sono conformi agli standard di riferimento internazionali (X509, RFC 5280) e agli standard individuati dalla Commissione Europea in materia di Firma Elettronica Qualificata: [12] ETSI EN General Policy Requirements for Trust Service Providers; [13] ETSI EN Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements; [14] ETSI EN Certificate Profiles; Part 1: Overview and common data structures; [15] ETSI EN Policy and Security Requirements for Trust Service Providers issuing Time-Stamps; [16] ETSI EN Time-stamping protocol and time-stamp token profiles; [17] RFC Time-Stamp Protocol (TSP). Per quanto concerne gli Hardware Security Module dei Time-Stamping Unit si indica la certificazione di sicurezza Common Criteria 'EAL 4+, conforme allo standard ETSI EN [15]. Pagina 5 di 8

6 2. Profilo del Certificato Il profilo del certificato è quello descritto nella Deliberazione CNIPA n. 45/2009 [4]. L estensione CertificatePolicies (OID: ) del certificato contiene l OID che identifica questa policy con la relativa URL di pubblicazione. L estensione non è marcata critica. I certificati identificati da questo Policy OID vengono utilizzati dal sistema di Validazione Elettronica Temporale di Lombardia Informatica per emettere marche temporali firmate con metodo di sottoscrizione sha256-with-rsa (OID ) con chiavi RSA a 1024 bit. Le firme apposte sulle marche temporali contengono l'attributo id-aasigningcertificate (OID: ), che identifica il certificato della TSU utilizzando l'algoritmo hash SHA1, conformemente alla RFC 3161 [17]. La validità del certificato è pari a 10 anni a partire dalla data di emissione. 2.1 Attributi standard Attributi X.509v3 Version Significato Indica la versione del formato del certificato implementata della specifica ITU T X.509 Valore V3 Serial Number Numero di serie che identifica univocamente il certificato Numero di serie del certificato Signature Algorithm Specifica l algoritmo utilizzato dalla CA per firmare il certificato; SHA256 witn RSA Issuer Validity Period Subject Subject public Key Info È' il nome distintivo dell autorità di certificazione che ha emesso il certificato, fornito secondo lo standard di naming X.500: Country (c): individua il paese di appartenenza della CA che emette il certificato Organization (O): Individua l organizzazione o l ente di appartenenza della CA che emette il certificato Organization unit (OU): individua l eventuale unità organizzativa dell organizzazione che emette il certificato Common Name (CN): individua il nome della CA Specifica la data e l ora di inizio e fine validità del certificato. Questo campo si compone degli elementi NotBefore e NotAfter È' il nome distintivo del TSU, fornito secondo lo standard di naming X.500: Country (c): individua il paese di appartenenza del TSU Organization (O): Individua l organizzazione o l ente di appartenenza del TSU Organization unit (OU): individua l eventuale unità organizzativa dell organizzazione di appartenenza del TSU Common Name (CN): nome distintivo del TSU Contiene il valore della chiave pubblica del possessore del certificato, l algoritmo con cui tale chiave viene usata e la sua lunghezza C= IT O= Lombardia Informatica S.p.A. OU= Servizio di certificazione CN= Servizio di Certificazione per la Marcatura Temporale Il certificato di sottoscrizione è valido 10 anni a partire dalla data di emissione C: IT O: Lombardia Informatica S.p.A. OU: Servizio di marcatura temporale CN: Time Stamp Server RSA (1024 bit)+chiave Pagina 6 di 8

7 2.2 Estensioni Estensioni X.509v3 Critica/non Critica Significato Valore Key Usage CRITICA Specifica le finalità per le quali la chiave viene utilizzata DigitalSignature Extended Key Usage CRITICA Fornisce ulteriori possibili campi di utilizzo delle chiavi. TimeStamping { } Certificate Policies NON CRITICA Specifica la policy di riferimento del certificato ed il sito di distribuzione del manuale operativo CRL Distribution Points NON CRITICA L estensione indica dove reperire la CRL URL=ldap://ldap.crs.lombardia.it/cn=Serviz io di Certificazione per la Marcatura Temporale,ou=Servizio di certificazione,o=lombardia Informatica S.p.A.,c=IT?certificateRevocationList URL= Authority Key Identifier NON CRITICA Seleziona una chiave tra quelle utilizzate dal certificatore Identificatore della chiave Subject Key Identifier NON CRITICA Seleziona una chiave fra quelle a disposizione del titolare Identificatore della chiave Pagina 7 di 8

8 3. Integrazioni al Manuale Operativo La marca temporale stabilisce la prova dell'esistenza di un insieme di dati elettronici in un momento preciso di tempo. Il funzionamento si basa sulla creazione del collegamento di una rappresentazione univoca dell'insieme di dati che si vuole asseverare temporalmente (per es. il suo valore di hash) ad un riferimento temporale certo e opponibile a terzi. La marca temporale è, quindi, una struttura dati firmata dalla Time-Stamping Autorithy (TSA) che la emette, ed in particolare contiene le seguenti informazioni: il valore di hash e l'algoritmo di hash dei dati da asseverare temporalmente; data e tempo universale (UTC); l'identificativo univoco del certificato di TSU che ha generato la marca temporale; l'identificativo di LISPA in qualità di TSA ( l'informazione è contenuta all'interno del certificato di TSU); l'identificativo della CA che ha emesso il certificato di TSU; il certificato relativo alla chiave pubblica di verifica della marca e il relativo identificativo. La TSA di Lombardia Informatica è anche la CA che eroga il servizio di certificazione delle chiavi utilizzate dai propri TSU, che sono due e ognuno firma tramite l'utilizzo di una chiave privata dedicata, corrispondente alla chiave pubblica certificata dalla TSA stessa. Le chiavi private e i certificati di TSU sono quindi legati in maniera univoca ai singoli TSU che li utilizzano. Inoltre le chiavi private sono generate all'interno del dispositivo e non sono duplicate o conservata in nessun altro luogo. Lombardia Informatica emettere marche temporali qualificate a norma della Deliberazione CNIPA 45/2009 [4], con un livello di accuratezza di un minuto secondo rispetto alla scala di tempo di riferimento UTC(IEN), e conformi a: RFC 3161 [17]; Manuale Operativo [9]. Il commonname del certificato non contiene l'identificativo univoco della TSU che utilizza il certificato. Gli algoritmi di hash accettati nelle Request sono i seguenti: SHA1 (non raccomandato) SHA256 Per incrementare la robustezza degli algoritmi utilizzati di firma delle marche temporali emesse, Lombardia Informatica applica le seguenti procedure: utilizzo delle chiavi di TSU per soli tre mesi a partire dalla loro generazione, archiviazione sicura di tutte le marche temporali emesse per almeno 20 anni a partire dalla loro emissione, in conformità alla normativa nazionale cogente in materia di conservazione digitale. Il certificato può essere utilizzato esclusivamente per l'apposizione di firme sulle Marche Temporali emessa da Lombardia Informatica. I certificati identificati da questa policy sono emessi dalla seguente Autorità di Time-Stamping (TSA) radice: C=IT O=Lombardia Informatica S.p.A. OU=Servizio di certificazione CN=Servizio di Certificazione per la Marcatura Temporale che risponde alla policy avente OID: Il certificato di certificazione della TSA è contenuto nella Trusted List (TL) Italiana, pubblicata alla seguente URL: Il servizio OCSP non è supportato. La verifica dello stato di sospensione o revoca del certificato può essere eseguito tramite la verifica della CRL pubblicata sia in LDAP che in HTTP. Pagina 8 di 8