Commissione europea PROCEDURE DI CERTIFICAZIONE MANUALE OPERATIVO (CERTIFICATION PRACTICE STATEMENT - CPS)

Transcript

1 COMMISSIONE EUROPEA DIREZIONE GENERALE PERSONALE E AMMINISTRAZIONE Direzione SPS - Servizio del protocollo e sicurezza Sicurezza informatica Commissione europea PROCEDURE DI CERTIFICAZIONE MANUALE OPERATIVO (CERTIFICATION PRACTICE STATEMENT - CPS) (Versione 1.0 del 25/02/2002) Edificio Jean Monnet, Rue Alcide de Gasperi, L-2920 Lussemburgo. Telefono: (352) Rue de la Loi 200, B-1049 Bruxelles / Wetstraat 200, B-1049 Bruxelles - Belgio. Telefono: (32-2)

2 Indice (Versione 1.0 del 25/02/2002) INTRODUZIONE Quadro generale Identificazione del documento Attori e domini applicativi Il certificatore Ufficio di registrazione (RA) Repositories Titolari Utente utilizzatore (Relying Party) Applicabilità Contatto DISPOSIZIONI GENERALI Obblighi Obblighi del certificatore Obblighi dell'ufficio di registrazione (RA) e dell'ufficio di registrazione locale (LRA) Obblighi del titolare (subscriber) Obblighi degli utenti utilizzatori Obblighi del Repository Responsabilità [da sottoporre alla revisione del servizio giuridico] Garanzie e limitazioni Limitazioni di responsabilità Altre condizioni Responsabilità finanziaria Indennizzi da parte degli utenti utilizzatori Rapporti fiduciari Interpretazione e applicazione Diritto applicabile Separazione, sopravvivenza, fusione, notifica Risoluzione delle controversie Tariffe Pubblicazione e Repository Pubblicazione d'informazioni CA

3 Frequenza di pubblicazione Controllo dell'accesso Repository Verifica delle procedure [da attuare] [soggetto a revisione dopo l'attuazione] Frequenza delle verifiche Identità/qualifiche del revisore del CA Rapporto del revisore con il CA sottoposto a verifica Attività sottoposte a revisione Provvedimenti presi in seguito ad una revisione Comunicazione dei risultati Riservatezza Tipi d'informazioni riservate Informazioni pubbliche Pubblicazione d'informazioni relative alla revoca di certificati Consegna agli ufficiali giudiziari Altre circostanze di pubblicazione delle informazioni Diritti di proprietà intellettuale IDENTIFICAZIONE E AUTENTICAZIONE Registrazione iniziale Tipi di nome Significato del nome Regole per l'interpretazione delle varie forme di nomi Unicità dei nomi Procedura di risoluzione delle controversie riguardanti i nomi Riconoscimento, autenticazione e ruolo dei marchi Metodo per dimostrare il possesso della chiave privata Autenticazione dell'identità di un organismo Autenticazione dell'identità di un individuo Autenticazione dell'affiliazione del titolare Autenticazione dell'identità del titolare Autenticazione di dispositivi o applicazioni Rinnovo periodico Rinnovo dopo la revoca Richiesta di revoca OPERATIVITÀ

4 4.1. Richiesta di certificato Rilascio del certificato Accettazione del certificato Sospensione e revoca dei certificati Motivi per la revoca di un certificato Chi può chiedere la revoca di un certificato Procedura per la richiesta di revoca [da attuare] [soggetta a revisione dopo l'attuazione] Periodo di dilazione per la richiesta di revoca Circostanze di sospensione Chi può richiedere la sospensione Procedura della richiesta di sospensione Limiti del periodo di sospensione Frequenza d'emissione della CRL Obbligo di controllo della CRL Revoca/possibilità di controllo on-line dell'autenticità Requisiti di controllo per la revoca on-line Altre forme di pubblicazione delle revoche Requisiti di controllo delle altre forme di pubblicazione delle revoche Disposizioni speciali in caso di compromissione della chiave Procedure di controllo della sicurezza [da attuare] [soggette a revisione dopo l'attuazione] Tipi d'eventi registrati Frequenza del trattamento del giornale di controllo Periodo di conservazione del giornale di controllo Protezione del giornale di controllo Procedure di salvataggio (backup) del giornale di controllo Sistema di raccolta dei giornali di controllo Notifica al soggetto che causa l'evento Valutazione della vulnerabilità Archivio delle registrazioni [da attuare] [soggetto a revisione dopo l'attuazione] Tipi di dati archiviati Periodo di conservazione dell'archivio Protezione dei dati dell'archivio Procedure di salvataggio dell'archivio

5 Sistema di raccolta dell'archivio Procedure per accedere e verificare le informazioni dell'archivio Rinnovo delle chiavi Procedure di gestione delle situazioni di compromissione del sistema o di disastri [da attuare] [soggetto a revisione dopo l'attuazione] Corruzione delle risorse informatiche, del software e/o dei dati Recupero chiavi Gestione dei disastri Cessazione delle operazioni del certificatore CONTROLLI DI SICUREZZA FISICI, PROCEDURALI E PERSONALI Controlli di sicurezza fisici Ubicazione e costruzione del sito Accesso fisico Energia e aria condizionata Esposizione all'acqua Prevenzione e protezione da incendi Conservazione dei supporti dei dati Smaltimento dei rifiuti Salvataggio (backup) esterno al sito [non applicabile] Controlli procedurali Ruoli di fiducia Numero di persone richieste per compito Identificazione e autenticazione per ogni ruolo Controlli di sicurezza del personale Passato, qualifiche, esperienza e requisiti d'autorizzazione Procedure di controllo del personale Requisiti di formazione Frequenza e requisiti degli aggiornamenti Rotazione delle mansioni Sanzioni per azioni non autorizzate Personale esterno Documentazione fornita al personale CONTROLLI DI SICUREZZA TECNICI Generazione ed installazione della coppia di chiavi Generazione della coppia di chiavi

6 Consegna della chiave privata Consegna della chiave pubblica all'emittente del certificato Consegna della chiave pubblica CA agli utenti Dimensioni delle chiave asimmetriche Generazione dei parametri della chiave pubblica Controllo della qualità dei parametri Hardware/software di generazione della chiave Utilizzi della chiave (X.509v3) Protezione della chiave privata Standard del modulo crittografico La supervisione da parte di diverse persone della chiave privata Affidamento della chiave privata a terzi Salvataggio (backup) della chiave privata Archiviazione della chiave privata Introduzione della chiave privata nel modulo crittografico Metodo d'attivazione della chiave privata Metodo di deattivazione della chiave privata Metodo di distruzione della chiave privata Altri aspetti relativi alla gestione della coppia di chiavi Archiviazione della chiave pubblica Periodo d'impiego delle chiavi pubbliche e private Dati d'attivazione Generazione ed installazione dei dati d'attivazione Protezione dei dati d'attivazione Altri aspetti dei dati d'attivazione Controlli di sicurezza del computer Requisiti tecnici specifici per la sicurezza del computer Valutazione della sicurezza computer Controlli di sicurezza del ciclo di vita Controlli dello sviluppo del sistema Controlli della gestione della sicurezza Controlli di sicurezza della rete Controlli del modulo crittografico PROFILI DEI CERTIFICATI E DELLE CRL Profilo dei certificati

7 Numero di versione Estensioni del certificato ID dell'oggetto dell'algoritmo Forme di nomi Limiti sui nomi Policy Object Identifier del certificato Impiego dell'estensione policy constraints Sintassi e semantica dei policy qualifiers Semantica d'elaborazione per la politica di certificazione critica Profilo CRL [Soggetto a revisione dopo l'attuazione] Numero di versione Estensioni CRL ed estensioni d'entrata CRL GESTIONE DELLE SPECIFICHE Procedure di modifica delle specifiche Modifiche non soggette a notifica Modifiche soggette a notifica Pubblicazione e notifica Procedure di approvazione del manuale operativo (CPS) ALLEGATI Acronimi Definizioni Documenti di riferimento

8 1. INTRODUZIONE Il presente manuale operativo è basato sul documento RFC 2527 che analizza a fondo la materia in oggetto. Il documento RFC 2527 fornisce un elenco esauriente dei punti da includere in un manuale operativo delle procedure di certificazione, noto comunemente come "Certification Practice Statement" (CPS). Nel presente documento si utilizzano le seguenti convenzioni: scrittura normale: attuato e operativo, corsivo: non ancora attuato, da sviluppare in futuro, testo tra parentesi quadre: da discutere. La Commissione europea utilizza un sistema di codifica a doppia chiave, noto come Public Key Infrastructure (PKI - infrastruttura a chiave pubblica), per garantire la sicurezza delle sue informazioni elettroniche. La PKI consiste in sistemi, prodotti e servizi che forniscono e gestiscono certificati X.509 per la crittografia a chiave pubblica. Il presente manuale operativo si prefigge lo scopo di descrivere le procedure di certificazione che il certificatore (CA - Certification Authority) della Commissione europea, denominato CommisSign, ha posto in essere per garantire l'affidabilità dei certificati a chiave pubblica rilasciati ai titolari. Il documento è stato elaborato per ottemperare alle disposizioni della politica di certificazione (Certificate policy (CP)) per l'infrastruttura europea a chiave pubblica (PKI). Il rapporto tra la politica di certificazione perseguita dalla Commissione europea in fatto di PKI e CommisSign definisce le politiche di quest'ultimo organismo ed il presente documento fornisci i particolari. Si consiglia agli utenti del presente documento di consultare la politica di certificazione (CP) per l'infrastruttura a chiave pubblica (PKI) della Commissione europea per ottenere informazioni sulle politiche soggiacenti al presente manuale operativo (CPS) del certificatore CommisSign Quadro generale Il presente manuale operativo recepisce specifiche e disposizioni del documento "Internet Engineering Task Force Public Key Infrastructure X.509 (IETF PKIX), Part 4, Certificate Policy and Certification Practice Statement Framework". Il manuale è destinato all'uso interno della Commissione europea. Esso si rivolge ad altri operatori che debbano valutare l'affidabilità del certificatore CommisSign e determinare se i certificati di CommisSign garantiscono gli standard richiesti per la sicurezza dell'informazione elettronica. Le procedure descritte nel presente manuale operativo corrispondono, se non specificato altrimenti, ad una sicurezza di livello medio. Man mano che la 8

9 Commissione aggiunge altri livelli di sicurezza, il presente documento sarà modificato per descrivere le nuove procedure adottate. Il manuale operativo (CPS) di CommisSign descrive la generazione, la gestione e l'impiego dei certificati a chiave pubblica X.509, versione 3 per le applicazioni che richiedono la comunicazione tra sistemi informatici in rete e quelle che richiedono l'integrità e la riservatezza delle informazioni elettroniche. Tali applicazioni includono, ma non si limitano a: posta elettronica; trasmissione d'informazioni UE fino al livello d'informazioni UE riservate incluso; sottoscrizione digitale di moduli elettronici. Si noti che nel presente documento con il termine "certificati X.509" s'intendono i certificati X.509, versione 3. I termini "PKI client software" o "PKI software" si riferiscono inoltre al software che offre la funzione PKI all'interno del dominio CommisSign. L'emissione di un certificato a chiave pubblica nel quadro del presente manuale operativo (CPS): non va utilizzata per proteggere le informazioni UE riservate, segrete ed estremamente segrete, non implica che il titolare abbia l'autorità di effettuare operazioni commerciali a nome della Commissione europea. Il garante PKI (PKI Policy Authority) della Commissione europea valuta il presente documento ed approva tutti i manuali operativi del certificatore all'interno della PKI (infrastruttura a chiave pubblica) della Commissione europea. Per quanto riguarda l'applicabilità, la struttura, l'interpretazione e la validità del presente manuale operativo, nonché la relativa politica di certificazione, il certificatore CommisSign è sottoposto alle norme della Commissione europea. Il garante PKI della Commissione europea è responsabile della gestione globale dell'infrastruttura a chiave pubblica (PKI) della Commissione europea. Esso definisce le politiche di operatività dell'infrastruttura a chiave pubblica della Commissione europea, garantisce che il certificatore CommisSign operi conformemente alle politiche e alle procedure definite nei relativi manuali operativi ed approva e gestisce inoltre gli accordi di certificazione (cross-certification). Il Collegio della Commissione europea è investito dell'autorità di decidere la strategia in questo campo. Il certificatore della Commissione europea ha il compito di generare e gestire i certificati a chiave pubblica X.509, versione 3 utilizzati dalla Commissione europea, conformemente alla politica di certificazione (CP) della Commissione europea e al presente manuale operativo. La Commissione europea si serve di un ufficio di registrazione (RA - Registration Authority) e un ufficio di registrazione locale (LRA - Local Registration Authority) per raccogliere informazioni, verificare l'identità dei richiedenti e concedere autorizzazioni, nonché per richiedere azioni relative alla gestione dei certificati a nome dei propri utenti. 9

10 1.2. Identificazione del documento Il presente documento costituisce il manuale operativo delle procedure di certificazione (CPS) del certificatore della Commissione europea. Le procedure qui descritte si conformano alla politica di sicurezza dell'infrastruttura a chiave pubblica (PKI) della Commissione europea Attori e domini applicativi Il certificatore Il manuale operativo (CPS) è stato elaborato per ottemperare alle prescrizioni di natura generale in tema di certificati a chiave pubblica della Commissione europea. All'interno dell'infrastruttura a chiave pubblica (PKI) della Commissione europea il certificatore è CommisSign. I servizi del certificatore CommisSign sono riservati all'uso interno della Commissione europea, possono essere utilizzati da organismi o individui esterni alla Commissione che hanno uno scambio di posta elettronica con la Commissione europea. Il certificatore CommisSign genera, firma e gestisce i certificati a chiave pubblica. Esso emette certificati per il personale della Commissione, escluse le persone che prestano occasionalmente i loro servizi alla Commissione. Il certificatore CommisSign comprende il personale responsabile dell'operatività globale del servizio di certificazione e quello responsabile del funzionamento e della manutenzione del server e del software CA. L'autorità operativa del certificatore (Operation Authority - OA) elabora e gestisce il manuale operativo e custodisce le chiavi (master key). L'autorità operativa controlla le operazioni dell'ufficio di registrazione (RA) nel dominio CA ed è sottoposta al garante PKI per le questioni riguardanti le modalità operative del certificatore. I funzionari CA sono responsabili dell'operazione e della gestione del server e del software CA. A CommisSign sono attribuite le seguenti mansioni: generare e firmare i certificati X.509 a chiave pubblica richiesti da titolari che fanno parte del personale della Commissione; pubblicare i certificati X.509 mediante il registro dei certificati (directory); modificare lo status di un certificato mediante CRL (lista dei certificati revocati); [non operativo] gestire l'operazione del certificatore conformemente alle disposizioni del presente manuale operativo (CPS); 10

11 approvare le nomine dei funzionari PKI; controllare le operazioni dell'ufficio di registrazione (RA) e dell'ufficio o di registrazione locale (LRA) nel dominio di sua competenza; risolvere eventuali conflitti tra i titolari utenti, il certificatore, l'ufficio di registrazione o l'ufficio di registrazione locale; richiedere la revoca di un certificato di un funzionario PKI o dell'ufficio di registrazione. All'occorrenza il presente manuale operativo distingue tra i vari utenti e ruoli all'interno del servizio del certificatore. Nei casi in cui non sia necessaria una tale distinzione il termine certificatore è utilizzato per riferirsi all'entità del certificatore nel suo insieme, software e operazioni inclusi. (* N.B.: gli accordi di certificazione (cross-certification) devono conformarsi al presente manuale operativo, nonché a qualsiasi altra prescrizione del garante PKI della Commissione europea. Qualsiasi accordo di certificazione tra gli utenti della Commissione e altri certificatori sarà conforme alle disposizioni del garante PKI della Commissione. Qualsiasi riconoscimento concordato con altri certificatori sarà documentato ed i relativi avvisi saranno messi a disposizione degli utenti della Commissione) Ufficio di registrazione (RA) L'ufficio di registrazione è responsabile della gestione degli utenti finali (end entity) per il certificatore della Commissione. Il certificatore si serve di un ufficio di registrazione centrale e di diversi uffici di registrazione locali (LRA). I termini RA/LRA si riferiscono agli individui all'interno della Commissione europea che detengono i privilegi RA/LRA ed eseguono le funzioni RA/LRA. L'ufficio di registrazione svolge le funzioni di: identificazione e verifica dell'identità amministrativa di chi richiede un certificato; generazione e modifica del SubjectName (codice identificativo del titolare) sul certificato; verifica del giornale di controllo e denuncia di eventi sospetti all'autorità operativa CA; e generazione di rapporti sullo status del titolare. L'ufficio di registrazione locale svolge le funzioni di: identificazione e verifica dell'identità fisica di chi richiede un certificato; verifica dell'autenticità della richiesta di certificato; 11

12 Repositories Titolari verifica del SubjectName dell'utente; ricevimento e distribuzione di informazioni relative all'autorizzazione del titolare (subscriber); certificazione e gestione per gli utenti titolari (cioè attivazione, revoca/sospensione dei certificati); aggiornamento dei certificati, [revoca dei certificati e] gestione del servizio di recupero chiavi (key recovery) per gli utenti titolari. CommisSign si serve del registro dei certificati (directory) della Commissione europea per pubblicare e distribuire certificati, liste dei certificati revocati (CRL) [e liste di revoca dell'autorizzazione (ARL)]. La Direzione dell'informatica gestisce il registro dei certificati della Commissione europea. Tale registro è disponibile 24 ore al giorno ed offre un supporto operativo 12 ore al giorno, 5 giorni alla settimana. I titolari utilizzano chiavi private [generate e/o] certificate da CommisSign per le applicazioni approvate. I titolari fanno parte del personale della Commissione. Un certificato può essere rilasciato ad una mailbox attiva (indirizzo di posta elettronica). In questo caso l'individuo responsabile del titolare utente non umano deve applicare e mantenere il certificato per quest'entità. Il responsabile può delegare i propri diritti ad una seconda persona (come sostituto). I titolari possono inoltre utilizzare i certificati rilasciati da CommisSign per crittografare informazioni per altri titolari utenti e per verificarne la firma digitale (all'interno del dominio CommisSign, nonché nei domini soggetti ad accordi di certificazione). Di conseguenza anche i titolari sono utenti utilizzatori (relying parties). Nel presente manuale operativo il termine utente finale è utilizzato per indicare gli utenti in generale, titolari e utenti utilizzatori compresi. Nei casi in cui sia necessario operare una distinzione viene utilizzato il termine utente titolare (subscriber) per riferirsi ad un utente finale in quanto soggetto del certificato ed utente utilizzatore (relying party) per riferirsi ad un utente finale che verifica i certificati emessi da CommisSign Utente utilizzatore (Relying Party) L'utente utilizzatore (relying party) può essere il titolare di un certificato emesso da CommisSign oppure il titolare di un certificato di un certificatore esterno che [ha firmato un accordo di certificazione con] fa affidamento sui certificati emessi da CommisSign. I diritti e gli obblighi di un utente utilizzatore che è anche titolare di un certificato emesso da CommisSign sono illustrati nel presente manuale operativo. [I diritti e gli obblighi di un 12

13 Applicabilità utente utilizzatore che appartiene al dominio di un certificatore esterno sono oggetto di un accordo di certificazione tra i due enti certificatori]. Le procedure descritte nel presente manuale operativo si applicano a CommisSign e ai suoi amministratori, agli uffici di registrazione della Commissione europea e ai loro amministratori, al registro dei certificati utilizzato da CommisSign, agli utenti titolari di certificati emessi da CommisSign e agli utenti utilizzatori. Le prassi di certificazione di cui al presente manuale operativo sono adatte per impieghi come l'autenticazione elettronica, l'autorizzazione e l'integrità dei dati per le informazioni della Commissione europea, incluse le informazioni riservate (cfr. ICT Security Policy). Le procedure di certificazione qui descritte sono adatte all'impiego ai fini di riservatezza delle informazioni della Commissione europea, incluse le informazioni UE riservate ad accesso ristretto (cfr. ICT Security Policy). Le applicazioni vietate sono quelle indicate dal garante PKI della Commissione europea. In genere i certificati emessi non possono essere utilizzati: per le applicazioni che utilizzano o contengono informazioni UE riservate, UE segrete o UE molto segrete; per le applicazioni che non hanno alcuna pertinenza al lavoro della Commissione Contatto Il Servizio Protocollo e Sicurezza della Commissione europea è responsabile del presente manuale operativo. La persona da contattare è: Sig. Gérard BREMAUD CommisSign Operations Authority Servizio Protocollo e Sicurezza Edificio Jean Monnet B2/072 L-2920 LUSSEMBURGO 13

14 2. DISPOSIZIONI GENERALI 2.1. Obblighi Obblighi del certificatore Il certificatore CommisSign ottempera alle disposizioni della politica di sicurezza ICT, nonché a tutte le disposizioni del presente manuale operativo e alle norme europee e nazionali pertinenti. CommisSign ha l'obbligo di: elaborare, aggiornare e pubblicare un manuale operativo (CPS); fornire servizi di certificazione conformemente alle procedure di cui al presente manuale operativo; mettere a disposizione i servizi del server del certificatore sette giorni su sette, 24 ore al giorno, con la riserva di non garantire una disponibilità al 100% (la disponibilità può essere soggetta alla manutenzione o alla riparazione del sistema oppure a fattori che esulano dal controllo del certificatore); emettere certificati al personale della Commissione europea [e ad altri certificatori], conformemente alle procedure di cui al presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea; revocare, conformemente alle procedure di cui al presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea, i certificati su ricevimento di una richiesta valida; fornire servizi di recupero delle chiavi crittografiche, conformemente alle procedure di cui al presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea; redigere e pubblicare regolarmente liste dei certificati revocati (CRL) [e liste di revoca dell'autorizzazione (ARL)], conformemente al presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea; notificare gli utenti (ad es. gli utenti utilizzatori) dell'emissione/revoca di certificati consentendo l'accesso ai certificati, alle liste dei certificati revocati (CRL) [e alle liste di revoca dell'autorizzazione (ARL)] nel registro del certificatore CommisSign; garantire la conoscenza e l'ottemperanza alle prescrizioni del presente manuale operativo da parte dei titolari e degli uffici di registrazione del certificatore CommisSign mediante la pubblicazione del manuale operativo e della politica di certificazione X.509 per la PKI della Commissione europea ed assicurare il controllo degli uffici di registrazione nel dominio CommisSign; 14

15 garantire, in cooperazione con il garante PKI della Commissione europea, la correzione di eventuali irregolarità del certificatore o dell'ufficio di registrazione individuate da controllo; riferire al garante PKI lo stato dei provvedimenti correttivi. Il certificato del titolare è pubblicato nel registro dei certificati (directory) della Commissione europea non appena generato. In caso di revoca del certificato, esso viene iscritto alla lista dei certificati revocati (CRL), pubblicata nel registro dei certificati della Commissione europea. Mediante la pubblicazione di un certificato nel registro dei certificati (directory) della Commissione europea, il certificatore CommisSign certifica di aver rilasciato un certificato al titolare indicato e di aver verificato le informazioni contenute nel certificato conformemente alle disposizioni del presente manuale operativo, che sono state accettate dal titolare. Il certificatore CommisSign notifica i diritti del titolare e dell'utente utilizzatore a norma del presente manuale operativo mediante la pubblicazione del CPS e della politica di certificazione X.509 per la PKI della Commissione europea. Il certificatore CommisSign protegge le sue chiavi private conformemente alle disposizioni del capitolo 6 del presente manuale operativo. [Il certificatore CommisSign protegge le chiavi private che custodisce conformemente alle disposizioni dei capitoli 4 e 6 del presente manuale operativo]. La chiave di sottoscrizione del certificatore CommisSign è utilizzata per firmare i certificati e le liste dei certificati revocati (CRL) [Il certificatore CommisSign può rilasciare e firmare certificati basati su accordi di certificazione con altri certificatori (cross certificates) solo previa l'esplicita autorizzazione della autorità PKI della Commissione europea] Obblighi dell'ufficio di registrazione (RA) e dell'ufficio di registrazione locale (LRA) L'ufficio di registrazione e l'ufficio di registrazione locale della Commissione europea nel dominio del certificatore CommisSign sono tenuti a conformarsi alle disposizioni del presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea. L'ufficio di registrazione ha l'obbligo di: fornire i servizi RA ai rispettivi LRA. L'ufficio di registrazione è operativo durante il normale orario di lavoro della Commissione; garantire che i servizi RA siano conformi alle procedure del presente documento e alla politica di certificazione X.509 per la PKI della Commissione europea; 15

16 rispondere delle operazioni eseguite a nome del certificatore; informare i titolari dei diritti e degli obblighi del certificatore, dell'ufficio di registrazione e del titolare derivanti dal presente manuale operativo, dall'accordo di rilascio del certificato al titolare e da qualsiasi altro documento pertinente che descriva i termini e le condizioni d'impiego dei certificati. Quando l'ufficio di registrazione si collega al server del certificatore per elaborare una richiesta di certificato, esso certifica di aver autenticato l'identità del richiedente conformemente alle procedure di cui ai capitoli 3 e 4 del presente manuale operativo. Gli uffici di registrazione locale hanno l'obbligo di: verificare l'esattezza e l'autenticità delle informazioni fornite dai titolari sulla richiesta di certificato (gli LRA effettuano questa verifica a nome del certificatore CommisSign); [richiedere la revoca dei certificati di un titolare conformemente alle disposizioni del presente manuale operativo]; garantire che i servizi LRA siano conformi alle relative procedure del presente manuale operativo e alla politica di certificazione X.509 per la PKI della Commissione europea; rispondere delle operazioni effettuate a nome del certificatore; assumere la responsabilità di trattare le richieste di rilascio di certificato [e di revoca]; avvisare il titolare dell'approvazione della richiesta di certificato e informarlo se sono necessarie altre formalità. Ogni RA e LRA deve garantire la sicurezza delle proprie chiavi private conformemente alle disposizioni di sicurezza di cui al capitolo 6 del presente manuale operativo. L'uso delle chiavi private RA e LRA è consentito esclusivamente per il lavoro ufficiale della Commissione europea e ai soli fini autorizzati dalla politica di certificazione X.509 per la PKI della Commissione europea e dal presente manuale operativo Obblighi del titolare (subscriber) Nel dominio del certificatore CommisSign gli utenti finali sono sia titolari che utenti utilizzatori. In qualità di titolari essi hanno l'obbligo di: garantire al certificatore CommisSign e all'ufficio di registrazione l'esattezza e l'attualità delle informazioni indicate sui propri certificati, nonché delle altre informazioni d'identificazione e d'autenticazione; 16

17 utilizzare i certificati esclusivamente per i fini autorizzati dalla Commissione europea, conformemente alla politica di certificazione applicabile e al presente manuale operativo; garantire la sicurezza delle chiavi private custodendole su disco rigido, [su smartcard] o su dischetto, a seconda delle regole della DG in questione; rimuovere il dispositivo della chiave privata dal computer se non in uso, nei casi in cui le chiavi private siano custodite su dischetto [ o smartcard]; portare con sé il dispositivo della chiave privata oppure conservarlo in un contenitore sicuro, chiuso a chiave, nei casi in cui le chiavi private siano custodite su dischetto[ o smartcard], proteggere la propria password conformemente alle norme di sicurezza ICT; informare l'ufficio di registrazione locale entro 48 ore di qualsiasi variazione delle informazioni contenute sul proprio certificato o sulla richiesta di certificato; informare l'ufficio di registrazione locale entro 8 ore di qualsiasi sospetto di compromissione di una o entrambe le chiavi private; prendere tutte le precauzioni necessarie per garantire la riservatezza e l'integrità della chiave, nonché per prevenirne lo smarrimento, la modifica o l'uso non autorizzato. I titolari ottemperano alle prescrizioni relative al rilascio dei certificati seguendo le procedure descritte nel presente manuale operativo. [Firmando la richiesta di certificato (o di rilascio, revoca o recupero) il titolare garantisce al certificatore CommisSign e all'ufficio di registrazione RA che qualsiasi informazione presentata al certificatore o all'ufficio di registrazione è completa ed esatta.] Ai titolari è consentito utilizzare le proprie chiavi private unicamente nell'ambito del lavoro della Commissione europea e ai soli fini autorizzati dalla politica di sicurezza per la PKI della Commissione europea e dal presente manuale operativo Obblighi degli utenti utilizzatori Nel dominio del certificatore CommisSign gli utenti finali comprendono gli utenti titolari e gli utenti utilizzatori. Gli utenti utilizzatori hanno l'obbligo di: limitare l'uso dei certificati emessi dal certificatore CommisSign ai soli fini autorizzati dalla politica di certificazione X.509 per la PKI della Commissione europea e dal presente manuale operativo; 17

18 verificare la validità dei certificati, anche mediante la consultazione della lista dei certificati revocati CRL [ e alla lista di revoca di autorizzazione ARL], [tenendo conto di qualsiasi estensione critica]. [(La verifica della validità del certificato è conforme alla procedura di convalidazione del percorso di certificazione di cui alla raccomandazione "ITU-T X.509 Information Technology Open Systems Interconnection The Directory: Authentication Framework ISO/IEC (1997)").]; accettare e utilizzare i certificati solo se viene stabilito un percorso valido tra l'utente utilizzatore e il titolare del certificato. Prima di utilizzare un certificato l'utente deve assicurarsi che esso sia adatto all'uso prescelto, informandosi in merito alla politica e al manuale operativo che disciplinano il rilascio del certificato in questione. Gli utenti utilizzatori devono verificare la firma del certificatore CommisSign e la data di scadenza sul certificato prima di utilizzare la relativa chiave pubblica. L'utente è inoltre responsabile della verifica della firma digitale del titolare prima di accettare dati firmati elettronicamente. Se tale verifica viene effettuata automaticamente da un processo crittografico e il hardware/software è installato sulla workstation dell'utente, quest'ultimo deve assicurarsi di usare software compatibile. Prima di utilizzare un certificato l'utente deve verificare lo stato del certificato consultando la lista attuale dei certificati revocati (CRL). L'utente deve inoltre verificare la firma digitale della CRL per assicurarsi che essa sia stata firmata dal certificatore CommisSign Obblighi del Repository [I certificati di autenticazione CommisSign, il manuale operativo, le liste dei certificati revocati (CRL) [e i certificati dei titolari] sono disponibili agli utenti utilizzatori conformemente alle procedure di cui al capitolo 4.4. Frequenza dell'emissione della CRL del presente manuale operativo.] 2.2. Responsabilità [da sottoporre alla revisione del servizio giuridico] [Poiché i servizi del certificatore CommisSign e dell'ufficio di registrazione sono forniti dalla Commissione europea, le responsabilità connesse ad entrambi i servizi sono unite nel presente manuale operativo. Il certificatore CommisSign, l'ufficio di registrazione, l'ufficio di registrazione locale e la Commissione europea non assumono alcuna responsabilità per l'eventuale impiego dei certificati PKI della Commissione europea o delle chiavi associate pubblica/privata per scopi diversi da quelli descritti nella politica di certificazione per la PKI della Commissione europea e nel presente manuale operativo Garanzie e limitazioni Il certificatore CommisSign e l'ufficio di registrazione s'impegnano a: 18

19 fornire servizi di certificazione conformi alla politica di certificazione X.509 per la PKI della Commissione europea e al presente manuale operativo; eseguire le procedure d'identificazione e autenticazione conformemente alle disposizioni del capitolo 3 del presente manuale operativo; offrire servizi di gestione delle chiavi, inclusi l'emissione, la pubblicazione, la revoca e l'aggiornamento dei certificati conformemente alla politica di certificazione X.509 per la PKI della Commissione europea e al presente manuale operativo. La Commissione europea e il suo personale non offrono garanzie o condizioni, esplicite o implicite, diverse da quelle espressamente indicate nella politica di certificazione per la PKI della Commissione europea e nel presente manuale operativo Limitazioni di responsabilità La Commissione europea, il certificatore CommisSign e gli uffici di registrazione non assumono alcuna responsabilità per danni: dovuti all'interruzione del servizio CA o RA a seguito di guerra, calamità naturale o forza maggiore; incorsi nel periodo tra il momento in cui un certificato è revocato e la prossima pubblicazione programmata della lista dei certificati revocati (CRL); dovuti all'utilizzo non autorizzato dei certificati emessi dal certificatore CommisSign o ad impieghi diversi da quelli consentiti dalla politica di certificazione X.509 per la PKI della Commissione europea e dal presente manuale operativo; causati dall'utilizzo fraudolento o negligente dei certificati e/o delle CRL [e/o ARL] emessi dal certificatore CommisSign; dovuti alla diffusione di informazioni personali contenute nei certificati e nelle liste dei certificati revocati. Il certificatore CommisSign e gli uffici di registrazione non assumano alcuna garanzia od obbligo di nessun tipo: essi non garantiscono la commerciabilità, l'idoneità ad uno scopo specifico o la correttezza delle informazioni fornite (ad eccezione del fatto che tali informazioni provengano da una fonte autorizzata). Non assumono inoltre alcuna responsabilità per la negligenza e la mancanza di cautela ragionevole da parte dei titolari e degli utenti utilizzatori. La Commissione europea, il certificatore CommisSign, gli uffici di registrazione e gli uffici di registrazione locale non s'impegnano ad indennizzare in alcun modo eventuali danni causati da fatti illeciti, contratti o qualsiasi servizio connesso all'emissione, utilizzo o affidamento sul 19

20 Altre condizioni certificato PKI della Commissione europea o la relativa coppia di chiave pubblica/privata. I titolari e gli utenti utilizzatori non hanno alcun diritto di risarcimento per danni dovuti all'uso improprio o fraudolento della PKI della Commissione europea. Il certificatore CommisSign e gli uffici di registrazione inoltre non fungono da intermediari per le operazioni tra titolari e utenti utilizzatori. Le richieste di risarcimento nei confronti del certificatore CommisSign e/o degli uffici di registrazione devono dimostrare che il certificatore, o l'ufficio di registrazione, non ha ottemperato alle prescrizioni della politica di certificazione X.509 per la PKI della Commissione europea e del presente manuale operativo.] [Non applicabile.] 2.3. Responsabilità finanziaria Indennizzi da parte degli utenti utilizzatori Non applicabile Rapporti fiduciari Il fatto di emettere il certificato (CommisSign) oppure di offrire assistenza per l'emissione del certificato (ufficio di registrazione) non significa che la Commissione europea, il certificatore o l'ufficio di registrazione fungono da agente, fiduciario, amministratore o altro rappresentante del titolare, degli utenti utilizzatori od altri che utilizzano la PKI della Commissione europea Interpretazione e applicazione Diritto applicabile Le norme europee e nazionali disciplinano l'applicazione, l'elaborazione, l'interpretazione e la validità del presente manuale operativo Separazione, sopravvivenza, fusione, notifica La separazione o la fusione può comportare cambiamenti al campo d'azione, alla gestione e/o all'operatività del certificatore CommisSign. In tal caso potrebbe risultare necessario modificare la politica di certificazione X.509 per la PKI della Commissione europea e il presente manuale operativo. Le modifiche delle procedure operative devono conformarsi alle disposizioni amministrative di cui al capitolo 8 del presente manuale operativo Risoluzione delle controversie Qualsiasi controversia relativa alla gestione delle chiavi e dei certificati tra la Commissione europea e un organismo o individuo esterno alla Commissione europea sarà risolta mediante l'appropriato meccanismo di 20

21 risoluzione dei conflitti. Se la questione non può essere composta in via amichevole, essa sarà sottoposta all'arbitrato del garante PKI della Commissione europea (PA). All'interno del dominio del certificatore CommisSign saranno riferiti all'autorità operativa (OA) del certificatore CommisSign le controversie tra utenti della Commissione europea, vale a dire tra un titolare e un utente utilizzatore, oppure tra gli utenti della Commissione europea e il certificatore o l'ufficio di registrazione Tariffe Non applicabile Pubblicazione e Repository Pubblicazione d'informazioni CA Il certificatore CommisSign pubblica: i certificati di autenticazione (root certificate) CommiSign su un sito Web; copie del [la Politica di sicurezza ICT per la Commissione europea] e del presente manuale operativo su un sito Web; tutti i certificati a chiave pubblica emessi dal certificatore CommisSign nel registro dei certificati (directory) della Commissione europea; la più recente lista dei certificati a chiave pubblica revocati (CRL) da parte del certificatore CommisSign nel registro dei certificati della Commissione europea e su un sito Web; [la lista più recente di revoca di autorizzazione (ARL) del certificatore esterno, effettuata da parte del garante PKI della Commissione, nel registro dei certificati (directory) della Commissione europea] Frequenza di pubblicazione Una volta attivato il sistema, i certificati emessi dal certificatore CommisSign sono pubblicati una volta al giorno nel registro dei certificati (directory) della Commissione europea. I certificati revocati sono iscritti nella lista dei certificati revocati (CRL), pubblicata conformemente alle disposizioni del capitolo 4.4. Frequenza d'emissione della CRL del presente manuale operativo. [In caso di revoca di certificati emessi in base ad accordi di certificazione, il certificato revocato è iscritto alla lista di revoca dell'autorizzazione (ARL), pubblicata conformemente alle disposizioni del capitolo 4.4. Frequenza d'emissione della CRL del presente manuale operativo.] Controllo dell'accesso Il manuale operativo del certificatore CommisSign e la politica di certificazione della Commissione europea possono essere consultati sul sito 21

22 Repository Web. Solo il personale del certificatore CommisSign ha il diritto di modificare i documenti. [I certificati e le CRL possono essere consultati sul registro dei certificati (directory) della Commissione europea. Solo il certificatore CommisSign ha i privilegi di lettura/scrittura e di soppressione.] Il repository dei certificati e delle CRL [e delle ARL] emessi dal certificatore CommisSign è fornito dal sistema del registro dei certificati (directoy) della Commissione europea. [Il protocollo utilizzato per accedere al registro è il Lightweight Directory Access Protocol (LDAP) versione 2, come specificato nel Request for Comment (RFC) 1777 Lightweight Directory Access Protocol (1995). Il protocollo LDAP versione 2 è utilizzato mediante trasporto TCP, definito al capitolo 3.1 del RFC ] [Per le richieste e i risultati trasmessi in LDAP gli attributi definiti in X.500 sono codificati utilizzando le stringhe definite in RFC 1778 "String Representation of Standard Attribute Syntaxes (1995)". Queste codifiche a stringa sono basate sulle definizioni degli attributi di cui a X.500 (1988). Le stringhe seguenti sono quindi per certificati della versione 1 e per le liste dei certificati revocati della versione 1: usercertificate (RFC 1778 capitolo 2.25) CACertificate (RFC 1778 capitolo 2.26) authorityrevocationlist, (RFC 1778 capitolo 2.27) certificaterevocationlist, (RFC 1778 capitolo 2.28) crosscertificatepair, (RFC 1778 capitolo 2.29) Poiché il presente manuale operativo utilizza certificati di versione 3 e liste di revoca di versione 2, come definito in X.509, la codifica a stringa RFC 1778 degli attributi non è appropriato. Per questo motivo questi attributi sono codificati utilizzando una sintassi simile alla sintassi Undefined del capitolo 2.1 del RFC 1778: i valori degli attributi sono codificati come se fossero valori del tipo OCTET STRING, in cui il valore string della codifica è la codifica DER del valore stesso.] Il repository del presente manuale operativo e della politica di certificazione della Commissione europea sono un sito Web che è accessibile da [TBD URL da assegnare] Verifica delle procedure [da attuare] [soggetto a revisione dopo l'attuazione] Frequenza delle verifiche Una verifica formale e completa delle operazioni del certificatore CommisSign è effettuata su base annuale. 22

23 Il garante PKI può chiedere in qualsiasi momento, e a sua discrezione, una verifica delle operazioni del certificatore. Il certificatore CommisSign si riserva il diritto di richiedere ispezioni e verifiche periodiche di qualsiasi servizio dell'ufficio di registrazione all'interno del dominio del certificatore CommisSign per confermare che esso operi conformemente alle prassi e alle procedure di sicurezza prescritte dal presente manuale operativo Identità/qualifiche del revisore del CA Il garante PKI deve approvare qualsiasi persona o organismo che effettua una verifica del certificatore. L'attività principale del revisore è la verifica delle attività dei certificatori oppure la verifica della sicurezza dei sistemi d'informazione. Egli deve dimostrare di possedere una significativa esperienza con le tecnologie PKI e crittografiche e nell'operazione del relativo software PKI, nonché una buona conoscenza delle politiche e delle regole della Commissione europea Rapporto del revisore con il CA sottoposto a verifica Il revisore approvato dal garante PKI e il certificatore CommisSign sono due entità separate nella struttura della Commissione europea Attività sottoposte a revisione La verifica riguarda l'applicazione da parte del certificatore CommisSign e dell'ufficio di registrazione delle prassi tecniche, procedurali e personali descritte nel presente manuale operativo. Alcune attività sottoposte a revisione sono: identificazione ed autenticazione; funzioni/servizi operativi; controlli di sicurezza fisici, procedurali e personali; controlli di sicurezza tecnici Provvedimenti presi in seguito ad una revisione Tre provvedimenti sono possibili in caso di irregolarità: (1) continuare le operazioni come d'abitudine, (2) continuare le operazioni ma ad un livello di garanzia della sicurezza più basso, (3) sospendere le operazioni. Se vengono individuate irregolarità il revisore, insieme al garante PKI della Commissione europea, decide quale provvedimento prendere. La decisione si basa sulla gravità delle irregolarità, sui rischi e sul disaggio causato agli utenti dei certificati. 23

24 Se viene preso il provvedimento 1 o 2, il garante PKI e l'autorità operativa (OA) della Commissione europea hanno la responsabilità di garantire che vengano prese misure correttive entro 30 giorni. Alla fine di questo periodo, o prima con l'approvazione del garante PKI e del revisore, l'équipe di revisione effettua una seconda verifica. Se alla seconda verifica non sono ancora state corrette le irregolarità, il revisore decide se prendere un provvedimento più severo (provvedimento n. 3). Se viene preso il provvedimento 3, tutti i certificati emessi dal certificatore CommisSign, inclusi i certificati degli utenti finali e i certificati basati su accordi di certificazione tra certificatori, sono revocati prima della sospensione del servizio. Il garante PKI della Commissione europea e l'autorità operativa (OA) del certificatore della Commissione europea devono informare il revisore settimanalmente dello stato di avanzamento delle misure correttive. Il garante PKI e il revisore decidono insieme la data della nuova verifica. Se le irregolarità sono considerate corrette alla seconda verifica il certificatore CommisSign può riattivare il servizio ed emettere nuovi certificati ai titolari e ai certificatori esterni, a seconda delle condizioni specificate nei singoli accordi di certificazione Comunicazione dei risultati I risultati della verifica annuale vengono comunicati al garante PKI della Commissione europea, al certificatore CommisSign e ad ogni responsabile della sicurezza dell'informazione dei LRA. Nel caso del provvedimento 2, il garante PKI della Commissione europea insieme al revisore decide se i titolari dei certificati devono essere informati o no. Nel caso del provvedimento 3 il garante PKI della Commissione europea garantisce che tutti gli utenti siano informati. I titolari sono informati di qualsiasi irregolarità tramite posta elettronica se possibile. Per i titolari che non dispongono di un indirizzo di posta elettronica, una nota informativa è consegnata mediante il servizio postale interno della Commissione europea. Il metodo e il livello di dettaglio della notifica dei risultati della verifica ai certificatori che hanno accordi di certificazione con CommisSign sono definiti dagli accordi di certificazione firmati dalle due parti. Se non è specificato nell'accordo di certificazione, non viene effettuata alcuna comunicazione dei risultati all'esterno della Commissione europea Riservatezza Sono riservate tutte le informazioni che non sono considerate di pubblico dominio da parte del garante PKI della Commissione europea Tipi d'informazioni riservate La chiave privata di sottoscrizione di ogni titolare è considerata riservata ed è destinata esclusivamente a quel titolare specifico. Il certificatore CommisSign e l'ufficio di registrazione non hanno accesso a queste chiavi. 24