Posta Elettronica Certificata

Transcript

1 Posta Elettronica Certificata Master in gestione del Software Open Source Dipartimento di Informatica Pisa, 9 aprile 2005 Francesco Gennai [email protected] Istituto di Scienza e Tecnologie dell Informazione A. Faedo - CNR ISTI - CNR 1

2 Argomenti della presentazione La crittografia: : alcuni concetti di base Posta Elettronica Certificata ISTI - CNR 2

3 Accesso ed utilizzo di risorse informatiche Alcuni concetti di base Autenticazione: : Chi sei? Autorizzazione: : Sei autorizzato a compiere una certa azione? Protezione dell integrità: : checksum applicato ai dati che richiede la conoscenza di un dato segreto per la sua applicazione e per la sua verifica ISTI - CNR 3

4 Accesso ed utilizzo di risorse informatiche Un esempio: Condivisione di file tra utenti Autenticazione per l accesso al server (file server) Autorizzazione per accessi lettura/scrittura I dati devono essere protetti durante il trasferimento via rete Gli utenti devono essere certi dell indentificazione del server e dei dati in esso contenuti ISTI - CNR 4

5 Accesso ed utilizzo di risorse informatiche Altro esempio: Posta elettronica Alcune importanti esigenze Invio di messagi in forma strettamente privata (Confidenzialità) Certezza sul mittente di un messaggio (Autenticazione) Certezza che il messaggio non sia stato modificato (Integrità) Garanzia che il mittente di un messaggio non possa negare di averlo spedito (Non Ripudio) ISTI - CNR 5

6 Crittografia Crittografia chiave privata (simmetrica) chiave pubblica (asimmetrica) hash crittografici Utilizzata per autenticazione, protezione dell integrità, cifratura ISTI - CNR 6

7 Crittografia Crittografia con chiave segreta (algoritmi simmetrici) due operazioni ( cifra, decifra cifra, decifra ) ) (encrypt,decrypt( encrypt,decrypt) una inversa dell altra (come moltiplicazione/divisione) un solo parametro ( la chiave ) anche colui che ha progettato l algoritmo non lo può rompere (a meno che non abbia inserito una trap door) occorre una chiave diversa per ogni coppia di utenti ISTI - CNR 7

8 Crittografia Chiave segreta: : Alice e Bob condividono la stessa chiave segreta S cifratura=f(s f(s,, file in chiaro)=file cifrato decifratura=f(s f(s,, file cifrato)=file in chiaro autenticazione: invia f(s,, sfida sfida /challenge) integrità: f(s,, file)=x verifica dell integrità: f(s,, X, file) ISTI - CNR 8

9 Crittografia Crittografia con chiave pubblica (algoritmi asimmetrici) Due chiavi per ciascun utente la chiave pubblica da comunicare liberamente la chiave privata da conservare segretamente Quello che una delle due chiavi cifra, l altra decifra ISTI - CNR 9

10 Crittografia (Funzione di hash) Funzione di hash crittografico digest=f =f(m) digest è di lunghezza fissa Trasformazione monodirezionale (dato digest non è possibile determinare m) veloce Probabilità di collisione quasi nulle Blah blah blah. Algoritmo blah di Hash Message Digest ISTI - CNR 10

11 Cifratura con chiave asimmetrica Blah blah blah. blah. Algoritmo di cifratura Internet Algoritmo di cifratura Blah blah blah. blah. Mittente Destinatario ISTI - CNR 11

12 Firma Blah blah blah. blah. Hash Algoritmo di cifratura Cifratura del Msg Digest Mittente Digest cifrato Algoritmo Internet di cifratura Messaggio in chiaro + Decifratura Digest firmato del Msg Digest Blah blah blah. blah. Hash Destinatario ISTI - CNR 12

13 Crittografia La firma digitale uno degli aspetti più rilevanti della crittografia a chiave pubblica implica controllo sulla integrità calcolato come f(chiave privata, dati)=firma verificato come f(chiave pubblica, dati,, firma) per verificare la firma e l integrità del messaggio non occorre conoscere alcuna chiave segreta il verificatore può verificare l integrità,, ma non può modificare i dati con chiave simmetrica il verificatore può verificare l integrità ma anche modificare i dati ISTI - CNR 13

14 Algoritmi simmetrici: Pro veloci Contro Crittografia algoritmi simmetrici e asimmetrici scambio sicuro delle chiavi richiede una chiave per ogni coppia di utenti (poco pratica per molti utenti) verifica integrità impossibile rilevare una modifica fraudolenta dei dati: : non adatta per firma digitale Algoritmi asimmetrici: Pro Contro chiave pubblica (una chiave, elimina il problema dello scambio sicuro) molto sicuri verifica integrità rilevamento modifica fraudolenta dei dati: adatta per firma digitale lenti ISTI - CNR 14

15 Cifratura ibrida (destinatario: Alice) Invece di: Usa: Messaggio Criptato con chiave pubbl. di Alice Segreta K (random) Criptata con chiave pubblica di Alice + Messaggio Criptato con la chiave K ISTI - CNR 15

16 Firma ibrida (firma di Bob) Invece di: Messaggio Firmato con chiave priv. di Bob Usa: Messaggio + Digest (Messaggio) Firmato con chiave priv. di Bob ISTI - CNR 16

17 Messaggio firmato e criptato (destinatario: Alice, firma di Bob) Segreta K (random) Criptata con la chiave pub. di Alice + Messaggio Digest (Messaggio) + Firmato con chiave privata di Bob Criptato con chiave segreta K ISTI - CNR 17

18 Crittografia algoritmi più diffusi Chiave simmetrica DES (Data Encryption Standard) - vecchio, chiave 56-bit, lento 3DES - ampiamente utilizzato, chiave 112-bit, lento RC4 il più diffuso, chiave di lunghezza variabile AES (Advanced Encryption Standard) recente, probabile sostituto del 3DES, chiave 128-bit La robustezza di un algoritmo è correlata alla lunghezza della chiave: : 56 bit sono insufficienti.. In genere è consigliato 112 (3DES) o 128 (AES) ISTI - CNR 18

19 Crittografia algoritmi più diffusi Chiave pubblica RSA (Rivest( Shamir Adelman) il più diffuso chiave pubblica: operazioni veloci chiave privata: operazioni molto lente ECC (Elliptic Curve Crypto) chiavi più piccole, più veloce, stesso livello di sicurezza. Nuovo, poco diffuso Lunghezza chiavi per RSA 512-bit insufficiente. Consigliata 2048-bit. Per maggiori lunghezze troppo lento. Raccomandazioni per un livello di sicurezza comparabile tra simmetrica e asimmetrica 112/128-bit 2048-bit 192-bit 4096-bit ISTI - CNR 19

20 Crittografia Funzioni di Hash SHA-1 1 (Secure Hash Algorithm) il più diffuso MD2, MD4, MD5 vecchi (MD5 ancora diffuso) Molto diffuse sono le funzioni MAC (Message Authentication Code o keyed-hash ) che utilizzano un dato segreto digest = H(S+m) Il più diffuso è HMAC ISTI - CNR 20

21 Certification Authority Certification Authority garantisce l appartenenza di una chiave pubblica ad un determinato soggetto, mediante l emissione di certificati (X.509) La Certification Authority rende nota la politica di sicurezza alla quale si dovrà rigorosamente attenere gestisce il database dei certificati gestisce la Certificate Revocation List (CRL) ISTI - CNR 21

22 Certification Authority La Certification Authority (CA) possiede una coppia di chiavi asimmetriche. Un certificato è l unione di dati che identificano in modo univoco un soggetto e della sua chiave pubblica. La Certification Authority firma con la propria chiave privata il certificato assegnandoli un numero di serie. Chiunque potrà verificare che una determinata chiave pubblica appartiene ad un determinato soggetto semplicemente applicando il processo di verifica firma con la chiave pubblica della CA. ISTI - CNR 22

23 Certificato Contenuto del certificato Attachment Versione Versione Numero Numero di di serie serie Informazioni Informazioni su su algoritmi algoritmi Informazioni Informazioni su su emettitore emettitore Data Data di di creazione creazione Data Data di di scadenza scadenza Informazioni Informazioni sul sul possessore possessore Chiave Chiave pubblica pubblica Opzioni Opzioni Estensioni Estensioni Copia Copia inform. inform. su su algoritmi algoritmi Firma Firma Issuer Subject ISTI - CNR 23

24 Certificato X.509 Certificate: Data: Version: 3 (0x2) Serial Number: 4 (0x4) Signature Algorithm: md5withrsaencryption Issuer: C=IT, O=CNR, OU=ISTI, CN=ISTI - CNR experimental Certification Authority Validity Not Before: Jun 22 16:14: GMT Not After : Jul 31 16:14: GMT Subject: C=IT, ST=Italy, L=Pisa, O=Posta Certificata TEST, OU=Network Services Unit, CN=Renzo Beltrame/ [email protected] Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:97:f0:9c:a7:10:ac:d4:e1:3e:19:6f:a5:d9:ed: 36:eb:79:fa:c5:0c:94:79:c3:a4:9b:03:bc:5e:5a: 48:e5:9b:32:e0:a2:a2:5d:2a:f9:09:f2:a9:7c:e5: 10:84:07:e9:53:4b:7a:a1:77:c6:e2:93:41:ba:23: 70:75:7d:22:6e:c6:35:ed:63:10:71:17:2d:5a:e0: 47:ea:a4:bb:f6:24:46:60:db:8e:ab:b8:72:93:5d: 5d:f1:55:0a:09:0e:bd:4f:7b:e8:2a:8b:8b:f5:82: 12:af:dd:3f:02:93:5d:5b:f0:aa:52:6c:ca:0c:28: 7d:df:48:76:2a:f5:9f:54:3f Exponent: (0x10001) X509v3 extensions: Netscape Comment: SSL Generated Certificate X509v3 Subject Key Identifier: E1:29:B8:DF:9D:D4:D1:88:61:4C:44:4F:15:04:FA:F4:1A:AF:F2:91 X509v3 Authority Key Identifier: DirName:/C=IT/O=CNR/OU=ISTI/CN=ISTI - CNR experimental Certification Authority serial:00 Signature Algorithm: md5withrsaencryption 78:02:d5:57:0a:83:e1:46:95:a8:53:00:c0:53:c7:fc:73:64: 18:dd:a6:7d:df:76:d0:d7:e1:34:f0:43:56:a7:6c:ac:b4:13: e1:e9:e2:59:ca:66:97:ee:e9:8f:18:70:9a:9f:43:fe:64:3a: d2:30:a3:19:f1:29:49:40:58:fc:94:d7:0e:85:35:d0:8c:4e: ae:9f:0c:bd:4d:4d:1b:1b:cc:ce:12:f9:a7:4a:ac:44:73:22: 55:71:23:4e:b9:2e:14:bf:83:3c:28:c4:90:85:96:68:06:6e: 76:38:65:51:10:79:d4:e8:66:95:cb:46:4d:80:65:a7:4a:93: f5:92 ISTI - CNR 24

25 Gerarchia dei certificati ROOT CA self signed certificate CA X.509 CA X.509 X.509 X.509 CA2 X.509 X.509 X.509 CA3 X.509 X.509 CAn X.509 X.509 X.509 ISTI - CNR 25

26 Public Key Infrastructure Lo schema piramidale può caratterizzare una PKI La certificazione avviene in cascata. La CA principale (Root( CA) certifica le chiavi di N "sub CA": CA 1, CA 2,...,Ca n, emettendo certificati e specificando per quali usi i certificati sono rilasciati. Le chiavi pubbliche dei singoli utenti sono certificate dalle sub CA. La struttura può avere due o più livelli. ISTI - CNR 26

27 Messaggi di posta elettronica e crittografia S/MIME RFC 3851 S/MIME Vers RFC 1847 Security Multiparts for MIME Criptato: composto da un unica parte application/pkcs7-mime; smime-type=enveloped-data Firmato: composto da un unica parte application/pkcs7-mime; smime-type=signed-data oppure composto da due parti multipart/signed; protocol= application/pkcs7-signature ; micalg=sha-1 md5 I parte: normale MIME content-type II parte: application/pkcs7-signature Firmato e criptato: una qualsiasi combinazione dei due precedenti casi ISTI - CNR 27

28 Messaggi di posta elettronica e crittografia S/MIME RFC 1847 Intestazione e indirizzi To: From: cc: Subject: Corpo del messaggio Content-type: Multipart/signed; protocol=... ; micalg=. ; Content-type: text/plain, image/gif, etc.. Content-type: application/pkcs7-signature Content-transfer-encoding: base64 ISTI - CNR 28

29 MULTIPART/SIGNED Content-type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary= ms775c52c7dd5a1c f0 This is a cryptographically signed message in MIME format ms775c52c7dd5a1c f0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Saluti da Francesco ms775c52c7dd5a1c f0 Content-Type: application/pkcs7-signature; name="smime.p7s" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7s" Content-Description: S/MIME Cryptographic Signature MIIGogYJKoZIhvcNAQcCoIIGkzCCBo8CAQExCzAJBgUrDgMCGgUAMAsGCSqGSIb3DQEHAaCC BKAwggScMIIDhKADAgECAgECMA0GCSqGSIb3DQEBBAUAMGsxJzAlBgkqhkiG9w0BCQEWGHBr as1yyubwa2ktcmeuawf0lmnuci5pddepma0ga1ueaxmguetjlvjbmrqwegydvqqlewtqs0kt UkEgVW5pdDEMMAoGA1UEChMDSUFUMQswCQYDVQQGEwJJVDAeFw0wMDA5MDExODA5MDBaFw0w AQEBBQAEgYCKfsck4CKgnnJqx5HisiSGFBuSnZAjMiz6uGVscetkyhfoJY/+BZmRYKAIfigr +QSxE9VIIeeqEGMM9z5b3o77kNxViqy3WM2QPzsGLB7rYXyuV1nxTxZQzR+DrnRgqswmP0tT 1KRpBTsL9sLD4ulIObUY2j36on69xsAxGsLWfw== ms775c52c7dd5a1c f0-- ISTI - CNR 29

30 Messaggi di posta elettronica e crittografia S/MIME RFC 3851 Intestazione e indirizzi To: From: cc: Subject: Corpo del messaggio Content-type: application/pkcs-mime; smime-type=signed-data; Content-transfer-encoding: base64 ISTI - CNR 30

31 Application/pkcs-mime Content-Type: application/pkcs7-mime; smime-type=signed-data; name="smime.p7m" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7m" ZSBmcmEgSUFUL1JBIGVkIElTUC4gSW5mb3JtYXppb25pIHN1bCBwcm9nZXR0byBlIENQUyBk ZWxsYSBDQSBzb25vIHJlcGVyaWJpbGkgYWxsYSBVUkwgaHR0cDovL3BraS1yYS5pYXQuY25y Lml0MB0GA1UdDgQWBBSOjXEKaKccTQtTUFi5OwWNxGFr5TCBlQYDVR0jBIGNMIGKgBQLF6fS 1Pti2lhmMn5C/WD8J4UoRaFvpG0wazEnMCUGCSqGSIb3DQEJARYYcGtpLXJhQHBraS1yYS5p YXQuY25yLml0MQ8wDQYDVQQDEwZQS0ktUkExFDASBgNVBAsTC1BLSS1SQSBVbml0MQwwCgYD GkgYWxsYSBVUkwgaHkOppIfex5HisiSGFBuSnZAjMiz6uGVscetkyhfoJY/+BZmRYKAIfigr +DQSBzb25vIHJlcGVjxViqy3WM2QPzsGLB7rBwcm9nZpYXyuV1nxTxZQzR+DrnRgqswmP0tT TUFi5OwWNxGFr5TCBlQYoRaFvpG0waz== ISTI - CNR 31

32 Messaggi di posta elettronica e crittografia S/MIME multipart/signed application/pkcs7-signature; signature; name=smime.p7s application/pkcs7-mime; smime-type=signed type=signed-data; data; name=smime.p7m application/pkcs7-mime; smime-type=enveloped type=enveloped-data; data; name=smime.p7m ISTI - CNR 32

33 Il mittente Signed MSG Include qualsiasi certificato che ritiene utile alla operazione di verifica del Recipient. Include almeno una catena di certificati sino a quello della CA (escluso( escluso) che ritiene possa essere affidabile (trusted) per il Recipient. L indirizzo From: dovrebbe essere identico a quello eventualmente presente nel corrispondente certificato. CA A cert End Entity1 cert ISTI - CNR 33

34 Il ricevente Riconosce un qualsiasi numero di certificati inclusi nel messaggio.. In particolare gestisce una catena di certificati. Accede al certificato della CA ritenuta affidabile. Verifica che il from del messaggio corrisponda all indirizzo eventualmente presente nel certificato. Accede alla CRL per riconoscere eventuali certificati revocati.. Signed MSG CA A cert End Entity1 cert ISTI - CNR 34

35 Condizioni di verifica Indirizzo del from non corrisponde ad uno degli indirizzi presenti nel certificato Non esiste un valido percorso fino ad una CA affidabile Impossibile accedere ad una CRL La CRL non è valida La CRL è scaduta Il certificato è scaduto Il certificato è stato revocato ISTI - CNR 35

36 Posta Elettronica Certificata ISTI - CNR 36

37 Posta Elettronica Certificata Scenari ed esigenze in cui si inserisce la Posta Elettronica Certificata Piano Nazionale per la Società dell Informazione Informatizzazione della Pubblica Amministrazione Protocollo Informatico Interoperabilità tra le diverse P.A. Relazioni con il cittadino ISTI - CNR 37

38 Posta Elettronica Certificata (PEC) Definizione: Per posta elettronica certificata si intende un servizio basato sulla posta elettronica, come definito dallo standard SMTP e sue estensioni, che consenta la trasmissione di documenti prodotti mediante strumenti informatici nel rispetto dell articolo 14 del decreto del Presidente della Repubblica 28 dicembre 2000, n.445n Definizione tratta da Linee Guida del servizio di trasmissione documenti informatici mediante posta elettronica certificata. Documento redatto per la fase di sperimentazione (periodo ) 2004) dl Centro Nazionale per l Informatica nella P.A. (CNIPA) ISTI - CNR 38

39 Firma elettronica Firma digitale Termini e concetti introdotti con il recepimento della Direttiva Europea 1999/93/CE) Firma elettronica (password,( PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) Firma elettronica avanzata (con sistema a chiavi asimmetriche, dispositivo di firma generico) Firma elettronica qualificata (certificato qualificato: emesso da CA qualificata ) Firma digitale (firma( elettronica avanzata, certificato qualificato, dispositivo di firma sicuro (smart card) - equiparata alla firma autografa) ISTI - CNR 39

40 Posta Elettronica Certificata (PEC) DPR 445 del 28 dicembre 2000 regola, nella Sezione III, la Trasmissione di documenti. Il comma 3 dell'articolo 14 introduce il concetto di equivalenza fra la trasmissione del documento informatico per via telematica e la l notificazione per mezzo della posta nei casi consentiti dalla legge, purché la trasmissione avvenga con modalità che assicurino l'avvenuta consegna. Si può rilevare la similitudine con il servizio postale tradizionale di Raccomandata con Avviso di Ritorno Garantisce il recapito Opponibilità a terzi della provenienza e recapito del messaggio ISTI - CNR 40

41 Posta Elettronica Certificata (PEC) Il Consiglio dei Ministri, nella seduta del 28 gennaio 2005, ha approvato: Schema di Decreto del Presidente della Repubblica recante regolamento concernente disposizioni per l utilizzo della posta elettronica certificata. Di prossima pubblicazione sulla G.U. Sito CNIPA Lo schema fa riferimento alle regole tecniche che saranno emanate con un Decreto della Presidenza del Consiglio dei Ministri. Tali regole sono una revisione delle regole (CNIPA) utilizzate durante la sperimentazione. ISTI - CNR 41

42 Posta Elettronica Certificata (PEC) Soggetti del servizio di posta elettronica certificata nello schema di Decreto vengono identificati i seguenti soggetti del servizio di posta elettronica certificata Mittente Destinatario Gestore Nello stesso schema di Decreto si trova la seguente modifica al comma 1 dell articolo 14 del DPR 28 dicembre 2000, n Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all indirizzo elettronico da questi dichiarato, nella casella di posta elettronica messa a disposizione dal gestore. ISTI - CNR 42

43 Posta Elettronica Certificata (PEC) Punto di accesso ricevuta di accettazione messaggio di trasporto log delle operazioni Punto di ricezione ricevuta di presa in carico messaggio di anomalia di trasporto log delle operazioni Punto di consegna ricevuta di consegna, ricevuta di errore di consegna log delle operazioni ISTI - CNR 43

44 Posta Elettronica Certificata (PEC) Dominio di posta elettronica certificata dedicato alle caselle di posta degli utenti PEC Dati di certificazione insieme di dati che descrivono il messaggio originale data/ora di invio mittente destinatario oggetto (subject( subject) identificativo messaggio (MessageId( MessageId).. ISTI - CNR 44

45 Posta Elettronica Certificata (PEC) Server LDAP SMTP TLS SMTP TLS Indice dei gestori Certificati dei gestori Indice dei domini di PEC File I/O POP o IMAP TLS UA Accettazione Ricezione Consegna MS UA Sessione SMTP tra due gestori di PEC ISTI - CNR 45

46 Posta Elettronica Certificata (PEC) Tipi di messaggio: ricevute Accettazione Consegna Errore di consegna Presa in carico trasporto anomalia di trasporto Formato dei messaggi: S/MIME ISTI - CNR 46

47 Posta Elettronica Certificata Interazioni tra domini di PEC Dominio mittente (PEC) Dominio ricevente (PEC) Gestore: mailbox per Punto di accesso ricevute di presa in Il punto di accesso carico accerta l identità del mittente ed effettua i controlli Ricevuta formali di accettazione sul messaggio in ingresso xml xml Ricevuta di presa in carico Punto di ricezione xml xml xml Messaggio di trasporto Verifica la correttezza del messaggio in ingresso: -messaggio di trasporto -validità della firma xml Mailbox mittente xml xml Ricevuta di consegna Punto di consegna xml Verifica che sia un messaggio di trasporto Mailbox destinatario xml ISTI - CNR 47

48 Posta Elettronica Certificata Interazione tra dominio convenzionale (mittente) e dominio di PEC (destinatario) Dominio mittente (posta convenzionale) Dominio ricevente (PEC) Punto di ricezione -Messaggio Anomalia di trasporto Utente mittente Messaggio di posta non certificata xml Punto di consegna xml Mailbox destinatario xml ISTI - CNR 48

49 Posta Elettronica Certificata Interazione tra dominio di PEC (mittente) e dominio convenzionale (destinatario) Dominio mittente Punto di accesso Il punto di accesso accerta l identità del mittente ed effettua i controlli Ricevuta formali di accettazione sul messaggio in ingresso xml xml xml Messaggio di trasporto Dominio ricevente (posta convenzionale) xml Utente destinatario Mailbox mittente ISTI - CNR 49

50 Posta Elettronica Certificata (PEC) Messaggio originale Messaggio di trasporto Intestazione e indirizzi Corpo del messaggio { Intestazione e indirizzi: From: [mittente originale] <posta-certificata@dominio-pec> Reply-to: [mittente originale] Subject: POSTA-CERTIFICATA: [subject originale] X-transport: posta-certificata Parte testo descrittiva Dati di certificazione XML Intestazione e indirizzi Corpo del messaggio Firma elettronica avanzata ISTI - CNR 50

51 Messaggio di trasporto esempio parte descrittiva Esempio di parte descrittiva: Messaggio di posta certificata Il giorno 26/11/2004 alle ore 16:21:23 (+0100) il messaggio "Test I1-16:20" è stato inviato da indirizzato a: Il messaggio originale è incluso in allegato. Identificativo messaggio: gio: ISTI - CNR 51

52 Messaggio di trasporto dati di certificazione Dati di certificazione XML (continua esempio) Content-type: application/xml; name=daticert.xml; charset=utf-8 Content-transfer-encoding: quoted-printable <?xml version=3d"1.0" encoding=3d"utf-8"?> <postacert tipo=3d"posta-certificata" errore=3d"nessuno"> <intestazione> <destinatari t</destinatari> <destinatari destinatari> <oggetto>test I1-16:20</oggetto> </intestazione> <dati> <gestore>isti - CNR</gestore> <data zona=3d"+0100"> <giorno>26/11/2004</giorno> <ora>16:21:23</ora> </data> <identificativo>41a749f @mx3.isti.cnr.it</identificati= vo> </dati> </postacert> ISTI - CNR 52

53 Ricevuta di consegna Ricevuta di consegna Date: [data di consegna] From: To: [mittente messaggio originale] Subject: CONSEGNA: [subject originale] X-transport: avvenuta-consegna Parte testo descrittiva Dati di certificazione XML Intestazione e indirizzi del messaggio originale Corpodel messaggiooriginale Firma elettronica avanzata ISTI - CNR 53

54 Posta Elettronica Certificata (PEC) I gestori sono registrati in un indice dei gestori di posta certificata Per ciascun gestore tale indice include: Descrizione del gestore Certificato pubblico in formato X.509X Lista dei domini di PEC gestiti Indirizzo mailbox per ricevute di presa in carico Le suddette informazioni sono distribuite attraverso un server LDAP L o attraverso file LDIF (scaricabile via HTTPS). ISTI - CNR 54

55 Posta Elettronica Certificata (PEC) Le norme tecniche in fase di emanazione potranno risultare modificate rispetto a quelle della sperimentazione, con l introduzione di: direttive per azioni in caso di rilevamento di virus informatico nuove direttive sugli avvisi di mancata consegna (gestione di eventi enti a tempo) obbligo del canale sicuro (SSL) tra tutti i sistemi ricevuta di consegna breve (non contiene il messaggio originale, sostituito con hash degli allegati). ISTI - CNR 55

56 Piattaforma ISTI PMDF-PEC PEC Modulo ISTI PMDF-PEC: PEC: Modulo aggiuntivo al prodotto PMDF (versione 6.2 e successive) Composto da 4 moduli: PECACCEPT (punto di accesso: : ricevuta di accettazione, messaggio di trasporto, firma digitale) PECRECEIVE (punto di ricezione: : ricevuta di presa in carico, verifica firma, messaggio anomalia di trasporto) PECRECEIPT (ricevute di consegna/errore, parsing delle DSN in formato NOTARY, firma digitale) PECDELIVERY (gateway tra sistema PEC e mailbox-store locale o remoto) PECDELIVERY e PECRECEIPT costituiscono il punto di consegna Ambiente di sviluppo S.O. OpenVMS (versione e successive) Linguaggio C Librerie OpenSSL PMDF API ISTI - CNR 56

57 PEC e DSN Le norme tecniche (sperimentali) non danno indicazione sul trasporto (a livello envelope) ) delle richieste di Delivery Service Notification e dell identificativo dell envelope envelope (envelope id) RFC 3461, 3462, 3463, 3464 (NOTARY) La soluzione PMDF-PEC PEC rispetta lo standard, inoltrando tali richieste verso i destinatari, se il sistema di trasporto è in grado g di trattarle, o generando la DSN per segnalare l instradamento del messaggio verso un sistema non in grado di soddisfare tali richieste. Esempio: il mittente che ha richiesto la DSN per eventi di tipo SUCCESS potrà ricevere un doppia ricevuta di consegna: una di tipo standard Internet una di tipo PEC ISTI - CNR 57

58 Informazioni utili Schema di decreto Linee guida per l utilizzo della Firma Digitale Network Security with OpenSSL John Viega, Matt Messier & Pravir Chandra O REILLY Secure Programming Cookbook for C and C++ - John Viega & Matt Messier O REILLY ISTI - CNR 58