Certification Practice Statement (CPS) Registration e Certification Authority eni

Transcript

1 Manuale Operativo TOLO PROCEDURA TOLO PRPOCEDURA TOLO PROCEDURA Certification Practice Statement (CPS) Registration e Certification Authority eni Rev. Descrizione Emissione /12/2014 Documento pubblico 1

2 TOLO: Certification Practice Statement (CPS). Registration e Certification Authority eni NOTE: Documento pubblico di diffusione delle policy della CA eni. REV.: REDATTO DA: VERIFICATO DA: APPROVATO DA: 1.0 Ufficio Servizi di terza Parte Fidata eni G.Roselli A.Cozza Documento pubblico 2

3 STORIA DELLE REVISIONI Rev. Descrizione: Data emissione 1.0 Primo rilascio 18/12/2014 Documento pubblico 3

4 Indice Indice 1. Introduzione Contesto Identificazione del documento Modifiche introdotte rispetto alle versioni precedenti Tabella di Acronimi e Abbreviazioni Comunità ed Applicabilità Certification Authority Registration Authority Responsabile dell identificazione Utente Tipologia dei certificati Responsabile del Manuale Assistenza sui servizi di CA Servizio Internet Riferimenti Condizioni Generali di Erogazione Obblighi Obblighi della CA Obblighi del Titolare Responsabilità della CA Verso il Titolare Pubblicazione e directory Informazioni sulla CA Certificati e CRL Legge Applicabile e Foro Competente Processi Operativi Documento pubblico 4

5 Indice 3.1. Generazione della richiesta di Certificato Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE Firme Digitali su Dispositivi HSM Certificati SSL Client Certificati SSL Server CA Pubblica Certificati SSL Server CA eni Registrazione del Titolare Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE Firme Digitali su Dispositivi HSM Certificati SSL Client Certificati SSL Server CA Pubblica Certificati SSL Server CA eni Verifica dei Dati Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE Firme Digitali su Dispositivi HSM Certificati SSL Client CERTIFICATI SSL SERVER CA PUBBLICA CERTIFICATI SSL SERVER CA eni Generazione del Certificato Pubblicazione del Certificato Accettazione del Certificato Installazione del Certificato Variazione dei dati di Registrazione Revoca del Certificato Circostanza per la revoca Richiesta di Revoca da parte del Titolare Richiesta di Revoca da parte della CA Gestione degli Archivi Livelli di Servizio Documento pubblico 5

6 Indice Compromissione e Disaster Recovery Aspetti Di Sicurezza Protezione Fisica dei Locali Sicurezza del Sistema di Certificazione Sicurezza del Modulo Crittografico Sicurezza degli Elaboratori Sicurezza delle Rete Profilo dei Certificati e delle CRL Profilo dei Certificati Root CA SUBCA Certificati Firme Digitali Qualificate e Certificati CNS-LIKE Certificati Firme Digitali su HSM Certificati SSL Client Certificati CodeSigning Certificati Crittografia Utente Certificati SSL SERVER CA Pubblica Certificati SSL Server CA eni Profilo della CRL Documento pubblico 6

7 Indice delle figure Indice delle figure Non è stata trovata alcuna voce dell'indice delle figure. Documento pubblico 7

8 1.Introduzione 1. Introduzione 1.1. Contesto Il presente documento ha lo scopo di definire la Certificate Practice Statement (CPS) di eni, l insieme delle regole e procedure operative adottate dalla Registration Authority (RA) eni per l emissione dei certificati digitali. La descrizione di questi fattori è contenuta nel Manuale Operativo, documento che comprende l'insieme delle norme operative utilizzate da una Certification Authority (CA) nell'emissione dei certificati. Il Manuale Operativo rappresenta la dichiarazione delle procedure utilizzate da un Certificatore nel rilascio dei certificati. Le informazioni presenti all interno dei certificati sono definite dalle policy, un insieme di regole che indicano l applicabilità del certificato a ben determinate comunità di utenti e/o classi di applicazioni con requisiti di sicurezza comuni. Ogni nuova versione del Manuale Operativo annulla e sostituisce le precedenti versioni, che rimangono tuttavia applicabili ai certificati emessi durante la loro vigenza e fino alla scadenza degli stessi. La struttura e di questo CPS si basa sulla specifica pubblica [RFC 3647] governata dall IETF (Internet Engineering Task Force). IMPORTANTE: le CPS eni, adottate dalla RA eni, sono emesse in coerenza con le CPS di Actalis, Certificatore accreditato presso l AgID di riferimento per eni. Le CPS Actalis per l emissione dei certificati qualificati e dei certificati di SSL Server sono disponibili al sito web del Certificatore Identificazione del documento Il presente documento costituisce il Manuale Operativo di eni per l emissione dei certificati delle linee di servizio di certificazione dei Servizi di terza Parte Fidata eni e prende il nome di: Manuale Operativo. Certification Practice Statement (CPS). Registratione e Certification Authority eni Il Manuale Operativo specifico è identificato attraverso il numero di versione. Il corrispondente file elettronico che lo contiente è identificabile dal nome CPS_CA_ENI_01 ed è consultabile per via telematica a partire dall indirizzo Internet della RA e CA eni. Documento pubblico 8

9 1.Introduzione 1.3. Modifiche introdotte rispetto alle versioni precedenti Il presente Manuale Operativo sostituisce le attuali policy della CA eni 1.4. Tabella di Acronimi e Abbreviazioni CA CN MO CRL CSR DN SEC PKI RA RSA SSL TCSEC CertificationAuthority Common Name Manuale Operativo Certificate Revocation List Certificate SigningRequest DistinguishedName Information Technology Security Evaluation Criteria Public KeyInfrastructure Registration Authority Rivest-Shamir-Adleman Secure Sockets Layer Trusted Computer System Evaluation Criteria Documento pubblico 9

10 1.Introduzione 1.5. Comunità ed Applicabilità Certification Authority Per l erogazione di certificati di chiave pubblica rivolti a soddisfare esigenze di sicurezza in Internet / Intranet, eni prevede l utilizzo di una CA che consente il riconoscimento dei certificati emessi. Eni, attraverso la funzione ICT preposta, eroga alle controparti di riferimento (corporate, società controllate) i servizi di certificazione classificati nei servizi di Terza Parte Fidata Registration Authority La funzione di identificazione e registrazione del Richiedente, la verifica della documentazione fornita da tale soggetto, è svolta dall ICT attraverso la funzione aziendale dei Servizi di Terza Parte Fidata di eni Responsabile dell identificazione Il Responsabile dell identificazione, o in scenari specifici il Client Manager dell applicazione/servizio, dovrà provvedere ad espletare le fasi di identificazione e registrazione del futuro Titolare del certificato al servizio, come descritto nel paragrafo Registrazione del Richiedente Utente Gli utenti, ovvero i Titolari dei certificati, sono i soggetti delle organizzazioni che richiedono un certificato e che detengono nel tempo la corrispondente chiave privata Con Titolare del Certificato si intende l entità chiamata Subscriber o Subject in [POLREQ] ed [EVCG]. Il rapporto con la CA viene normalmente attivato dal soggetto richiedente che diverrà Titolare del certificato, il quale dunque coincide col cliente ( Customer ); è comunque ammesso che il cliente agisca come richiedente in nome e per conto del Titolare del certificato (ad es. nel caso di richiesta di certificati server il cui richiedente è una figura distinta dal Titolare, il quale a sua volta garantisce Documento pubblico 10

11 1.Introduzione per il sistema server da certificare), circostanza che deve essere dimostrata dagli interessati in sede di richiesta Tipologia dei certificati Il presente Manuale Operativo si riferisce unicamente alla emissione e gestione di certificati per: Certificati SSL: Client CA eni CA esterna (o pubblica/trusted del Certificatore di riferimento) Server CA eni singolo server multisan CA esterna (o pubblica/trusted del Certificatore di riferimento) singolo server multisan Certificati Firma Qualificata / CNS-like Certificati di Sub-CA CA eni Cerificati di Code Signing CA esterna (o pubblica/trusted del Certificatore di riferimento) Cerificati di Crittografia CA esterna (o pubblica/trusted del Certificatore di riferimento) 1.7. Responsabile del Manuale Eni è responsabile della definizione, pubblicazione ed aggiornamento del presente documento. La persona da contattare per questioni riguardanti il presente documento è: Giuseppe Roselli, Responsabile dei Servizi di Terza parte Fidata eni Via Paolo di Dono 223, Roma giuseppe.roselli@eni.com Documento pubblico 11

12 1.Introduzione Assistenza sui servizi di CA L'assistenza è disponibile attraverso la casella di servizio dal lunedì al venerdì (orario ufficio) Servizio Internet Per avere avere maggiori informazioni sul servizio è possibile inviare una all'indirizzo: 1.8. Riferimenti [DLGS196] Decreto Legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, pubblicato nel Supplemento Ordinario n.123 della Gazzetta Ufficiale n. 174, 29 luglio [RFC2251] Wahl, M., Howes, T., and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December ( [RFC2314] Kaliski, B., "PKCS #10: Certification Request Syntax Version 1.5", RFC 2314, March ( [RFC2560] Myers, M., R. Ankney, A. Malpani, S. Galperin and C. Adams, "Online Certificate Status Protocal - OCSP", June ( [RFC2616] [RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P. and T. Berners-Lee, "Hypertext Transfer Protocol, HTTP/1.1", RFC 2616, June ( [RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May ( [RFC3647] Chokhani, S., Ford, W., Sabett, R., Merrill, C., and S. Wu, "Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", RFC 3647, November ( [RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May ( Documento pubblico 12

13 1.Introduzione [X.509] U-T Recommendation X.509 (2005) ISO/IEC :2005, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. ( [POLREQ] ETSI TS : Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates, v2.2.1 ( ) [BR] CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly- Trusted Certificates, Version 1.1. [EVCG] CA/Browser Forum, Guidelines For The Issuance And Management Of Extended Validation Certificates, Version Documento pubblico 13

14 2.Condizioni Generali di Erogazione 2. Condizioni Generali di Erogazione 2.1. Obblighi eni si impegna a: Obblighi della CA Verificare, secondo quanto descritto all interno del presente Manuale Operativo, la correttezza della documentazione fornita con la richiesta di certificazione; Rilasciare e rendere pubblico il certificato in accordo ai requisiti descritti nel presente Manuale Operativo; Dare tempestiva comunicazione, mediante pubblicazione nelle Liste di Revoca (CRL), della revoca dei certificati. Il Titolare è obbligato a: Obblighi del Titolare Fornire informazioni e documentazione veritieri in fase di registrazione; Generare e conservare la propria chiave privata in sicurezza, adottando le necessarie precauzioni per evitare danni, alterazioni o usi non autorizzati della stessa; Inviare la richiesta di certificazione con le modalità indicate nel presente Manuale Operativo; Installare e utilizzare il certificato digitale rilasciato da eni in base al presente Manuale Operativo unicamente in base all uso per il quale è stato emesso (per i certificati SSL server deve essere utilizzato a protezione del sistema definito nel campo CommonName); Informare tempestivamente eni nel caso in cui le informazioni presenti sul certificato rilasciato non siano più valide, richiedendo la revoca del certificato; Informare tempestivamente eni nel caso in cui ritenga che la sicurezza del web server, sistema, applicazione su cui è stato installato il certificato possa essere compromessa, richiedendo la revoca del certificato stesso; Provvedere immediatamente a rimuovere dal web server, sistema, applicazione il certificato per il quale è stata richiesta la revoca; Custodire con la massima cura il "codice di revoca" Responsabilità della CA Verso il Titolare Eni non è responsabile nei confronti del Titolare o di utenti terzi, per eventuali danni, di qualsiasi tipo, derivanti dalla mancata emissione del certificato o da un uso improprio del certificato. Documento pubblico 14

15 2.Condizioni Generali di Erogazione 2.3. Pubblicazione e directory La CA pubblica almeno la seguente documentazione sul proprio sito web: CertificationPractice Statement (CPS) Certificati di CA (Root CA e Sub CA) La CA, inoltre, pubblica le CRL sul proprio directory server Informazioni sulla CA Per l intero periodo di validità dei certificati emessi in conformità al presente Manuale Operativo, eni si impegna a pubblicare sul proprio sito web, almeno le seguenti informazioni: I certificati delle chiavi di certificazione per firmare digitalmente i certificati intermedi e di entità finale; Il presente Manuale Operativo. Si riportano di seguito i dati salienti dei certificati di CA al servizio descritto nel presente Manuale Operativo: Documento pubblico 15

16 2.Condizioni Generali di Erogazione Certificati e CRL Il servizio di pubblicazione delle CRL utilizza i protocolli http e LDAP. Il sistema LDAP è in outsourcing presso il Certificatore di riferimento Actalis. Gli url per i certificati dalla CA eni sono i seguenti: X509v3 CRL Distribution Points: Full Name: URI:ldap://ca.eni.com/cn%3deni%20Certification%20Authority%20for%20Legacy%20Applic ations,ou%3dttp%20services,o%3deni%20s.p.a.,c%3d?certificaterevocationlist;binary Full Name: URI: Legge Applicabile e Foro Competente Le presenti Condizioni Generali sono soggette alla legge italiana. Per le controversie che dovessero insorgere tra le parti in relazione alle disposizioni del presente Manuale Operativo, competente a giudicare sarà esclusivamente il Foro di Roma. Documento pubblico 16

17 3.Processi Operativi 3. Processi Operativi 3.1. Generazione della richiesta di Certificato Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE Il Titolare compila il Modulo di Registrazione specifico per la tipologia inserendo tutti i dati richiesti, lo sottoscrive, allega la fotocopia di un documento di identità valido e consegna il tutto al Responsabile dell Identificazione. Il Responsabile dell Identificazione verifica la corretta e completa compilazione del Modulo di Registrazione, completa la parte a lui riservata indicando la tipologia di certificato richiesta, firma il modulo e lo invia, unitamente alla copia del documento e al foglio excel riassuntivo dei dati, alla RA Eni (Mbx Enica, enica@eni.com). L invio alla casella di servizio enica@eni.com è effettuato dal Responsabile dell Identificazione o di suoi collaboratori, oppure dal Titolare (purché il Responsabile sia tra i destinatari del messaggio) Firme Digitali su Dispositivi HSM La fase di generazione della richiesta si compone dei passi previsti nel La funzione sistemistica ICT: opera in sicurezza per GENERARE LA COPPIA DI CHIAVI RSA presso il sito nel quale è ubicato l HSM, oppure collegandosi da remoto. Contestualmente viene generato il PIN distinto per credenziale utente e la certificate request Invia tramite il file contenente la certificate request all utente e/o ai servizi di Terza Parte Fidata e eventualmente al supporto tecnico ICT che segue l utente Certificati SSL Client Il Titolare compila la richiesta inserendo tutti i dati richiesti e lo consegna al Responsabile dell Identificazione. Il Responsabile dell Identificazione ne verifica la corretta e completa compilazione e lo invia al Client Manager del Portale E-Finance (l invio può essere eseguito da un suo collaboratore o dal Titolare, Documento pubblico 17

18 3.Processi Operativi purchè il Responsabile sia tra i destinatari del messaggio), oppure, qualora il certificato sia necessario per altro tipo di applicativo, direttamente alla RA Eni (Mbx Enica, enica@eni.com) Certificati SSL Server CA Pubblica Il richiedente compila la richiesta inserendo tutti i dati richiesti e prepara la CSR (file di Certificate Signing Request). Il Responsabile dell Identificazione ne verifica la corretta e completa compilazione. L invio della richiesta e della CSR avviene a mezzo mail alla casella di servizio enica@eni.com da parte del Responsabile dell Identificazione referente dei sistemi da certificare o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio) Certificati SSL Server CA eni Il richiedente compila la richiesta inserendo tutti i dati richiesti, la posizione anagrafica di CA a cui associare il certificato stesso e prepara la CSR (file di Certificate Signing Request). L invio avviene a mezzo mail alla casella di servizio enica@eni.com da parte del Responsabile dell Identificazione o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio) Registrazione del Titolare Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE La registrazione dell utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del Titolare. La RA eni, alla ricezione della richiesta: a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority del certificatore Accreditato c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all utente il kit contenente il token,il microchip e il relativo software la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente la ricevuta di ricezione del token, da firmare e restituire a cura del Richiedente Documento pubblico 18

19 3.Processi Operativi Firme Digitali su Dispositivi HSM La fase di registrazione si compone dei passi già previsti nel paragrafo fatta eccezione per l invio del token kit (non necessario per questa tipologia di certificato). La RA eni, alla ricezione della richiesta: Certificati SSL Client a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all utente la ricevuta di integrità del CRP da firmare e restituire in alternativa ai precedenti, invia un messaggio elettronico PEC contenente il CRP Qualora la Società del Gruppo abbia individuato come referente per i CRP il Responsabile dell Identificazione, è cura di quest ultimo garantire la consegna dei CRP agli utenti. Modello Centro servizio: in alcuni casi, per ottimizzare il business specifico, i certificati vengono richiesti da un referente autorizzato linea di business eni, che si occupa anche del prelievo degli stessi per conto degli utenti. Ciò avviene, per esempio, nel caso dei gestori della Refining & Marketing e dei SUPPLIER Certificati SSL Server CA Pubblica Gli utenti registrati con utenze di CA sono i soli Registration Auhtority Officer (RAO), riconosciuti dal Certificatore di riferimento. La RA eni, alla ricezione della modulistica di richiesta esegue gli opportuni controlli e autorizza il certificato Certificati SSL Server CA eni La registrazione dell utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del web server o sistema per il quale si richiede il certificato. La RA eni, alla ricezione della modulistica di richiesta: Documento pubblico 19

20 3.Processi Operativi a) esegue gli opportuni controlli; b) registra il nuovo Titolare al quale verrà associato il certificato presso la Certification Authority eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all utente la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente 3.3. Verifica dei Dati Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni: autorizza il certificato richiesto invia notifica dell avvenuta autorizzazione al Titolare e/o al Responsabile dell Identificazione Firme Digitali su Dispositivi HSM La fase di verifica dei dati si compone dei passi eseguiti al paragrafo Il Titolare: riceve la certificate request dalla funzione ICT e/o dalla RA eni; si collega al portale web della RA eni tramite il proprio account e inserisce la certificate request preleva il certificato e lo invia tramite alla funzione ICT e/o ai servizi di Terza Parte Fidata La funzione ICT: riceve il certificato utente dal Titolare installa il certificato sull HSM Documento pubblico 20

21 3.Processi Operativi Certificati SSL Client Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni: autorizza il certificato richiesto invia notifica dell avvenuta autorizzazione al Titolare e/o al Responsabile dell Identificazione in alternativa ai precedenti, in caso di precedente invio di messaggio elettronico PEC contenente il CRP, si autorizza il certificato CERTIFICATI SSL SERVER CA PUBBLICA La RA eni, autorizza ed emette il certificato richiesto, invia una mail di notifica con il certificato emesso CERTIFICATI SSL SERVER CA eni La RA eni, autorizza il certificato richiesto e invia una mail di notifica di autorizzazione al richiedente. Il Titolare (possessore della posizione anagrafica di CA al quale è stato associato il certificato) riceve una notifica di autorizzazione anche da Actalis e provvede a prelevare e installare il certificato Generazione del Certificato Una volta ricevuta l'approvazione della RA, la CA verificherà che il formato PKCS#10 della richiesta sia corretto. Se le verifiche previste hanno esito positivo, la CA genera il certificato in accordo al profilo descritto nel paragrafo Profilo dei certificati. Il DN apparirà come valore del campo subject del certificato. Se le verifiche non hanno esito positivo, la CA, tramite la RA, notifica al richiedente l'evento, richiedendo la generazione di una nuova richiesta di certificazione Pubblicazione del Certificato Il certificato viene pubblicato nel Directory Server X.500 ed inviato, a cura della CA, all'indirizzo di posta elettronica del Titolare autorizzato. Documento pubblico 21

22 3.Processi Operativi 3.6. Accettazione del Certificato Il certificato si intende senz altro accettato dal Titolare trascorsi 30 giorni dalla data di consegna, come attestata dalla data del messaggio di posta elettronica tramite il quale esso viene inviato al cliente, in assenza di comunicazioni in senso contrario da parte del Titolare stesso Installazione del Certificato Al ricevimento del certificato, il Tichiedente potrà installarlo, seguendo le istruzioni dello specifico prodotto utilizzato Variazione dei dati di Registrazione Il Titolare, il Responsabile dell Identificazione (o un suo collaboratore), il richiedente nel caso dei certificati server (informando il o i precedenti utenti) deve informare tempestivamente la RA eni nel caso in cui ci siano delle variazioni dei dati contemplati nel paragrafo Registrazione del Titolare. Se le variazioni riguardano dati presenti sul certificato, il Titolare deve altresì richiedere la revoca del certificato. La RA eni si riserva la facoltà di revocare il certificato del Titolare nel caso in cui la variazione dei dati di registrazione lo richieda Revoca del Certificato Circostanza per la revoca La revoca di un certificato è l operazione con cui la CA annulla la validità del certificato prima della naturale scadenza. Quando un certificato viene revocato, il suo numero seriale viene aggiunto ad una lista chiamata Certificate Revocation List (o CRL). I soggetti che possono richiedere questa operazione, comunemente chiamata revoca, sono i Titolari, la RA e le CA, mentre l attuazione della revoca è effettuata soltanto dalla CA. Il Titolare può richiedere l emissione di un nuovo certificato prima della scadenza di quello in suo possesso. L entità che richiede la revoca (RA) genera una richiesta di revoca verso la CA. La revoca è effettiva dal momento della registrazione, che segue immediatamente alla verifica. Il certificato revocato viene aggiunto alla CRL e distribuito in occasione della Documento pubblico 22

23 3.Processi Operativi prima emissione periodica utile della CRL. La entry nella CRL del certificato revocato deve contenere nell apposita estensione la data di richiesta della revoca. Non è prevista la sospensione a tempo determinato del certificato. Ogni evento che limiti il livello di affidabilità della certificazione dà luogo alla richiesta di revoca. La CRL viene emessa e aggiornata con scadenza giornaliera e resa disponibile alla URL indicata. La sua acquisizione e consultazione è a cura dell utenza. I motivi che portano alla revoca di un certificato possono essere classificati nei seguenti: Avviene in caso di: Richiesta di Revoca da parte del Titolare Sospetto - o certezza - di compromissione della propria chiave privata; Cambio di almeno uno dei dati inclusi nel certificato: in questo caso la richiesta deve pervenire alla CA dall entità autorizzata alla validazione dei dati degli utenti; Fine dell'adesione al servizio: anche in questo caso la richiesta deve pervenire alla CA dall entità autorizzata alla validazione dei dati degli utenti; Può avvenire: Richiesta di Revoca da parte della CA Su espressa richiesta del Titolare; Se viene riscontrata una sostanziale condizione di non rispetto delle relative regole che normano il servizio (CPS); Per cessazione dell attività della CA; Gestione degli Archivi La CA deve mantenere traccia in appositi archivi di logging degli eventi riguardanti: Emissione di certificati; Revoca di certificati; Emissione di CRL; Emissione o variazione dei documenti di Policy e CPS; Backup e recovery della base dati; Documento pubblico 23

24 3.Processi Operativi Backup e recovery degli archivi di logging. Le registrazioni degli eventi in archivio vanno mantenute accessibili in linea agli operatori per un tempo non minore di un (1) anno dalla cessazione degli effetti dovuti all evento stesso (es. la registrazione di un evento di emissione certificato va mantenuta per almeno un anno dopo la scadenza del certificato stesso). Trascorso questo periodo sono archiviate su supporto magnetico rimovibile (tape, CD o altro supporto ritenuto opportuno) e mantenute off-line per un periodo non inferiore a due (2) anni. Eventuali richieste di consultazione vanno inviate a eni, Servizi di Terza Parte Fidata e devono specificare la motivazione della richiesta. Eni si riserva di valutare la richiesta e di fornire, se ritenuto opportuno i dati richiesti Livelli di Servizio L autorizzazione del certificato avviene entro 3 (tre) giorni lavorativi dalla registrazione e delle informazioni previste nel paragrafo "Registrazione del Titolare". La revoca del certificato avviene entro 4 (quattro) ore dal ricevimento della richiesta, entro il periodo di disponibilità dei Servizi di Terza parte Fidata (dal Lunedì al Venerdì, dalle 8:30 alle 18:00). L'accesso al Directory Server ed alle CRL è disponibile 7 giorni su 7, 24 ore su 24, salvo i fermi per manutenzione programmata Compromissione e Disaster Recovery Si intende una chiave come compromessa quando: Sia venuta meno la sua segretezza; Sia stato smarrito il supporto di archiviazione; Sia divenuta impossibile la sua lettura dal supporto di archiviazione e non sia disponibile un recupero mediante copia di backup; Si sia verificato un qualunque evento che abbia compromesso il livello di affidabilità della chiave. Se la chiave privata viene smarrita o si suppone sia stata compromessa e necessario richiedere alla Registration Authority: L emissione di un nuovo certificato; La revoca di quello usato in precedenza; Documento pubblico 24

25 3.Processi Operativi Ogni compromissione delle chiavi non recuperabile con procedure standard di restore di copie archiviate in maniera sicura (vedere par. ) non dà luogo ad ulteriori procedure di recovery ma all attivazione di una procedura di revoca certificato. Documento pubblico 25

26 4.Aspetti Di Sicurezza 4. Aspetti Di Sicurezza 4.1. Protezione Fisica dei Locali I sistemi tecnologici coinvolti sono situati in un area protetta il cui accesso è consentito esclusivamente al personale del Certificatore di riferimento che gestisce in Outsourcing le la CA eni, ed è controllato mediante dispositivi di autenticazione (smart card). L'area è situata all'interno del datacenter del Certificatore di riferimento. Gli edifici del datacenter sono sorvegliati e protetti 24 ore su 24, 7 giorni su Sicurezza del Sistema di Certificazione La piattaforma di gestione delle attività di certificazione, composta da vari moduli appartenenti alle suite software di PKI aderenti agli standard di riferimento, offre le seguenti funzioni di sicurezza: Identificazione e autenticazione L accesso ai moduli applicativi della piattaforma avviene mediante identificazione dell'utente. Il meccanismo di autenticazione è previsto anche per l avvio e/o fermo del servizio legato al modulo applicativo. Controllo accessi L accesso ai moduli applicativi della piattaforma avviene mediante meccanismi di strong authentication. L accesso ai moduli è consentito solo previa verifica del corretto inserimento della passphrase. Tracciamento Tutte le applicazioni in esecuzione all interno del sistema di certificazione del Certificatore di riferimento mantengono traccia su appositi database delle operazioni effettuate. Sono prodotti dei log in formato testo ove vengono riportate informazioni relative all avvio, fermo o allarmi relativi ai servizi legati ai moduli applicativi, nonché contenenti traccia di eventuali modifiche di configurazione apportate ai servizi. Ciascuna registrazione all interno dei log è firmata digitalmente. Archiviazione dei dati: tutti i dati e gli audit log sono registrati nel database relativo a ciascun modulo. Tali registrazioni sono firmate in modo digitale dai moduli proprietari del DB. Ogni registrazione ha un numero d identificazione univoco. Documento pubblico 26

27 4.Aspetti Di Sicurezza 4.3. Sicurezza del Modulo Crittografico Per la generazione delle chiavi di certificazione e dei certificati digitali di eni viene utilizzato l algoritmo a chiavi asimmetriche RSA (Rivest-Shamir- Adleman). Tutti i certificati emessi da eni a partire dai certificati relativi alle chiavi di certificazione, fino ai certificati relativi alle chiavi pubbliche dei web server dei sistemi e delle applicazioni vengono firmati utilizzando l algoritmo RSA. Lo stesso algoritmo RSA deve essere utilizzato dall'utente per generare la propria coppia di chiavi. Le chiavi pubbliche dei web server, sistemi e applicazioni vengono adeguate alle crescenti esigenze di robustezza (lunghezza pari a 2048 bit), le chiavi di certificazione sono lunghe 2048 bit. Ad oggi non esistono ancora sistemi di cripto-analisi in grado di compromettere chiavi della suddetta lunghezza. Poiché in futuro le probabilità di compromettere chiavi a 2048 bit potrebbero aumentare, eni si riserva il diritto di adeguare la lunghezza delle chiavi alle tecnologie future. Per quel che concerne le funzioni di hash, viene utilizzata la funzione definita nella norma ISO/IEC :2004 per la generazione dell impronta digitale: DedicatedHash- Function 4, corrispondente alla funzione SHA Sicurezza degli Elaboratori I sistemi sono configurati in modo tale da ridurre al minimo il rischio di alterazione delle configurazioni. Sono quindi previsti, nel normale uso dei sistemi stessi, profili con diritti di accesso non assimilabili a quelli amministrativi. Gli operatori di CA accedono alla funzione di log on per la certificazione delle chiavi mediante meccanismi di strong authentication Sicurezza delle Rete L infrastruttura di rete prevede una prima linea costituita da un sistema firewall, configurato in alta affidabilità, che filtra il traffico da Internet verso la rete DMZ, dove risiedono i server che devono essere accessibili da Internet (come il Directory Server ed il web server che pubblica le CRL), ed una seconda linea che filtra il traffico tra rete DMZ e Secure LAN, dove sono invece installati i sistemi per la certificazione. Documento pubblico 27

28 4.Aspetti Di Sicurezza L'utilizzo di questa tecnologia offre la possibilità di utilizzare il NAT Network AddressTranslation per "mascherare" gli ip interni verso la rete Internet, permette di intercettare i tentativi di creare interruzioni al servizio con attacchi di tipo DoS SYN flood, impostare regole Anti-spoofing, limitare gli accessi in un arco temporale definibile in maniera granulare. Al fine di analizzare in tempo reale i pacchetti che viaggiano in rete e di attivare, laddove viene riscontrata una attività sospetta, le dovute protezioni (blocco di indirizzi IP, interruzione di connessioni, invio di trap) ed allarmi, è in utilizzo un sistema di IntrusionDetection che si basa su un database di vulnerabilità costantemente aggiornato. I servizi in DMZ vengono erogati con copertura 24x7x365 con un presidio dal lunedì al venerdì dalle ore 8.00 alle ore ed una copertura nelle ore non presidiate e festivi tramite una struttura di reperibilità a 2 livelli h24. Le segnalazioni di allarme vengono inviate tramite SMS e tramite chiamata telefonica da un sistema di monitoraggio centralizzato. Documento pubblico 28

29 5.Profilo dei Certificati e delle CRL 5. Profilo dei Certificati e delle CRL 5.1. Profilo dei Certificati I certificati sono conformi allo standard internazionale ISO/IEC :2005 [X.509] e alla specifica pubblica [RFC 5280]. L elenco completo dei profili dei certificati e la guida tecnica utente utile alla richiesta di certificazione è contenuta un documento riservato a distribuzione limitata denominato Allegato tecnico CPS Registration e Certification Authority eni. Esso è da ritenersi esterno al Manuale Operativo che risulta completo nel suo contenuto pubblico. La PKI aziendale eni consiste di due CA: Root CA RootCA eni Certification Authority RootCA eni Certification Authority for Legacy Applications Entrambi i certificati delle Root CA hanno una durata di 12 anni con chiave RSA a 2048 e sono generati e conservati all interno di un network HSM (hardware-basedkey Certificate). La PKI Eni gestisce le Root CA in dismissione: Root CA eni Root CAeniadfin Certification Authority RootCAeniadfinCertification Authority for Legacy Applications NOTA: esse sono tenute in vita per la produzione delle CER e la gestione delle revoke dei certificati End Entityeniadfin ancora in vita Questo certificato è un self-signed certificate generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati. Il certificato della CA root eni ha il seguente profilo: Soggetto richiedente: Documento pubblico 29

30 5.Profilo dei Certificati e delle CRL Emesso da: Template certificato eni S.p.A. TTP Services eni Certification Authority eni S.p.A. TTP Services eni Certification Authority CA Criticality TRUE 0 digitalsignature Clear 1 nonrepudiation Clear 2 keyencipherment Clear 3 dataencipherment Clear 4 keyagreement Clear 5 keycertsign Set 6 CRLSign Set 7 encipheronly Clear 8 decipheronly Clear Root CA eni Legacy Questo certificato è un self-signed certificate generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati. La Root CA di eni for Legacy Applications ha il certificato come sotto riportato: Soggetto richiedente: Documento pubblico 30

31 5.Profilo dei Certificati e delle CRL Emesso da: eni S.p.A. TTP Services eni Certification Authority Legacy Applications eni S.p.A. TTP Services eni Certification Authority Legacy Applications Template certificato CA Criticality TRUE 0 digitalsignature Clear 1 nonrepudiation Clear 2 keyencipherment Clear 3 dataencipherment Clear 4 keyagreement Clear 5 keycertsign Set 6 CRLSign Set 7 encipheronly Clear 8 decipheronly Clear SUBCA La Root CA di eni ha il compito di Emettere Certificati per le SUBCA. Documento pubblico 31

32 5.Profilo dei Certificati e delle CRL Soggetto richiedente: Domain Controller (DC) eni S.p.A. Unit Name SubCA Name Emesso da: eni S.p.A. TTP Services eni Certification Authority Legacy Applications Certificati Firme Digitali Qualificate e Certificati CNS-LIKE Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per Firme Digitali Qualificate / CNS-LIKE viene emesso col seguente profilo: Soggetto richiedente: Eni S S.p.A. eni ICT/serialNumber= Nome Utente Documento pubblico 32

33 5.Profilo dei Certificati e delle CRL Emesso da: Actalis S.p.A./ Actalis Certificati Firme Digitali su HSM Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per Firme Digitali su HSM viene emesso col seguente profilo: Soggetto richiedente: eni S.p.A./ , Servizio di Conservazione Sostitutiva Nome Utente Emesso da: Actalis S.p.A. Qualified Certification Service Provider Actalis Qualified Certificates CA G1 Documento pubblico 33

34 5.Profilo dei Certificati e delle CRL Certificati SSL Client Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per Client SSL viene emesso col seguente profilo: Soggetto richiedente: eni S.p.A Unit Name Client SSL Nome Emesso da: Eni S.p.A. TTP Services eni Certification Authority / eni Certification Authority Legacy Applications Certificati CodeSigning Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per CodeSigning viene emesso col seguente profilo: Soggetto richiedente: Documento pubblico 34

35 5.Profilo dei Certificati e delle CRL Eni S S.p.A. eni ICT/serialNumber= Conservazione Sostitutiva eni/ Emesso da: Actalis S.p.A./ Actalis Authentication CA G Certificati Crittografia Utente Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per Crittografia Utente viene emesso col seguente profilo: Soggetto richiedente: Eni S S.p.A. Servizio di Crittografia Crittografia Dati Emesso da: Documento pubblico 35

36 5.Profilo dei Certificati e delle CRL Actalis S.p.A./ Actalis Authentication CA G Certificati SSL SERVER CA Pubblica Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per SSL Server CA Pubblica Single Host viene emesso col seguente profilo: Soggetto richiedente: Eni S S.p.A. eni ICT Server Name Emesso da: Actalis S.p.A./ Actalis Authentication CA G3 Il certificato per SSL Server CA Pubblica MultiSAN viene emesso col seguente profilo: Soggetto richiedente: Documento pubblico 36

37 5.Profilo dei Certificati e delle CRL Eni S S.p.A. eni ICT Nomi dei Server Name Emesso da: Actalis S.p.A./ Actalis Authentication CA G Certificati SSL Server CA eni Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente. Il certificato per SSL Server CA eni viene emesso col seguente profilo: Soggetto richiedente: Eni S S.p.A. eni ICT Server Name Emesso da: Documento pubblico 37

38 5.Profilo dei Certificati e delle CRL eni S.p.A. TTP Services eni Certification Authority / eni Certification Authority for Legacy Application 5.2. Profilo della CRL Le CRL sono conformi allo standard internazionale ISO/IEC :2005 [X.509] e alla specifica pubblica [RFC 5280]. Oltre ai dati obbligatori, le CRL contengono: il campo nextupdate (data prevista per la prossima emissione della CRL) l estensione crlnumber (numero progressivo della CRL) La CRL è firmata con algoritmo sha256withrsaencryption ( ). Inoltre, in corrispondenza di ogni voce della CRL è presente l estensione reasoncode a indicare la motivazione della sospensione o revoca. Documento pubblico 38