GUIDA OPERATIVA Autenticazione, firma digitale e cifratura dei messaggi di posta con la Smart Card del Sistema Universitario Piemontese INDICE 1. Introduzione...3 1.1 Premessa...3 1.2 Scopo del documento...3 1.3 Applicabilità...3 1.4 A chi si rivolge questo documento...3 2. Metodologia applicativa...4 3. Prerequisiti iniziali...5 4. Attivazione della Smart Card...6 4.1 Procedura...6 5. Cambio PIN...9 6. Sblocco PIN... 11 7. Installazione del programma Bit4id... 12 7.1 Aggiornare il programma Bit4id... 15 7.1.1 Scaricare il KIT CSP... 15 7.2 Installare il programma Bit4id dal KIT CSP... 16 8. Installazione del certificato root... 17 8.1 Browser Internet Explorer... 17 8.2 Browser Mozilla Firefox... 23 8.3 Configurare il browser Firefox... 28 9. Autenticazione al Portale Myunito con Smart-Card... 32 9.1 con Internet Explorer... 33 9.2 con Mozilla Firefox... 35 10. Predisporre il client di posta Thunderbird alla firma... 37 10.1 Procedura... 37 11. Predisporre il client di posta Outlook alla firma... 45 Segue Pagina 1 di 75
INDICE 12. Firmare i propri messaggi di posta elettronica... 51 12.1 Validità ed attendibilità... 51 12.2 Prerequisiti aggiornati... 51 12.3 Firmare i messaggi di posta con Thunderbird... 52 12.3.1 Procedura... 53 12.4 Gestione certificati di Mozilla Thunderbird... 55 12.4.1 Certificati altrui... 55 12.5 Firmare i messaggi di posta con Outlook... 58 12.5.1 Procedura... 58 14. Cifrare i propri messaggi di posta elettronica... 60 14.1 Cifrare i messaggi di posta con Mozilla Thunderbird... 60 14.1.1 Prerequisiti aggiornati... 60 14.1.2 Procedura... 60 14.1.3 Errore invio messaggio cifrato da Thunderbird... 62 14.2 Cifrare i messaggi di posta con Microsoft Outlook... 63 14.2.1 Prerequisiti aggiornati... 63 14.2.2 Procedura... 63 14.2.3 Errore invio messaggio cifrato da Outlook... 66 15. Firmare i propri documenti informatici... 67 15.1 Autenticità, Integrità, Non ripudio... 67 15.1.1 Autenticità... 67 15.1.2 Integrità... 67 15.1.3 Non ripudio... 67 15.2 Criteri... 67 15.3 Prerequisiti aggiornati... 68 15.4 Apporre la firma digitale a documenti e/o file... 68 16. Marcare i propri documenti informatici... 73 16.2 Prerequisiti aggiornati... 73 16.3 Associare una marca temporale ad un documento firmato... 74 Guida all'uso degli strumenti di Firma... 75 Pagina 2 di 75
1. Introduzione 1.1 Premessa Nell ambito di un progetto finanziato dalla Regione Piemonte, tutti gli studenti immatricolati presso il sistema universitario piemontese riceveranno dal proprio Ateneo una smart card unificata, che andrà a sostituire la tradizionale Athena Card e rappresenterà molto di più di un semplice documento di riconoscimento in ambito universitario. Infatti tale card, oltre a riportare la fotografia, i dati di iscrizione e personali, sarà dotata di un microprocessore innovativo in grado di contenere TUTTE le informazioni che solitamente sono distribuite su tessere differenti. 1.2 Scopo del documento Scopo del presente documento è descrivere in una guida operativa le procedure per la corretta gestione del Personal Identification Number PIN fornito da InfoCert insieme alla SmartCard del Sistema Universitario Piemontese. Gestire il codice PIN è necessario per il corretto utilizzo dei certificati digitali contenuti nel microchip della Smart Card, pertanto sono descritte anche le procedure necessarie all attivazione del servizio d autenticazione, le procedure d installazione, configurazione e d utilizzo dei software per gestire i certificati digitali 1.3 Applicabilità Il documento si applica alla realtà architetturale, sistemistica ed applicativa dell infrastruttura informatica dell Ateneo nell ottica di utilizzo dei servizi a portale, riservati agli studenti regolarmente iscritti, e di tutti i servizi applicativi che possono richiedere un autenticazione forte o la firma digitale della posta e dei documenti elettronici. 1.4 A chi si rivolge questo documento Il presente documento si rivolge a quanti devono e/o intendono utilizzare i certificati digitali, di autenticazione e firma contenuti nella propria Smart Card, descrivendo i passi necessari all attivazione del servizio d autenticazione, le procedure d installazione, configurazione e d utilizzo dei software per gestire i certificati digitali. Pagina 3 di 75
2. Metodologia applicativa La Smart card contiene due certificati che consentono di: autenticarsi ai siti web firmare e cifrare la propria posta elettronica Per potere utilizzare tali certificati alcuni programmi devono essere installati e opportunamente configurati; a tal proposito sono stati individuati tre passi da seguire in questa esatta sequenza: 1. Attivazione della Smart Card 2. Installazione del programma Bit4id 3. Installazione del certificato root Poiché il passo 3, Installazione del certificato root, differisce in funzione del browser di navigazione utilizzato: Internet Explorer o Mozilla Firefox, sono state redatte le rispettive guide operative contenute in due sezioni distinte, una per ciascuno dei due summenzionati programmi di navigazione ovvero quelli maggiormente utilizzati presso l Ateneo. IMPORTANTE: L installazione del certificato root è necessaria e deve essere ripetuta per ciascuno dei browsers utilizzati e per il programma di posta elettronica Mozilla Thunderbird come descritto in questa guida operativa. Al completamento del passo 3 saranno possibili le seguenti operazioni: A) autenticarsi alla propria pagina personale del Portale Myunito con la Smart-Card B) predisporre il client Mozilla Thunderbird (a firmare e cifrare la propria posta elettronica) B) predisporre il client Microsoft Outlook (a firmare e cifrare la propria posta elettronica) C) firmare i propri messaggi di posta elettronica D) cifrare i propri messaggi di posta elettronica E) firmare i propri documenti informatici F) marcare i propri documenti informatici Le operazioni C e D, firmare e cifrare i propri messaggi di posta elettronica, in questo documento sono riferite alla possibilità di apporre la firma digitale e cifrare il contenuto nei messaggi di posta composti con i due programmi client: Mozilla Thunderbird e Outlook attualmente più utilizzati in Ateneo ed anche per questi programmi sono state redatte le rispettive guide operative in due distinte sezioni di questo documento. Pagina 4 di 75
3. Prerequisiti iniziali Le postazioni oggetto delle procedure descritte in questo documento devono avere installato il lettore di Smart Card (ACR38 Smart Card Reader) ed il relativo software della InfoCert S.p.A. Dike Dike Util versione 4.0 (o superiore) tassativamente la versione 1.2.1 (o superiore) ricevuto in dotazione e contenuto nel cd: Smart Card Sistema Universitario Piemontese - Informazioni e applicazioni per l utilizzo. NOTA Assicurarsi d avere installato la versione 1.2.1 di Dike Util poiché, con alcune versioni meno recenti, la Smart Card (di tipo 1205) non viene riconosciuta dal programma. Il lettore di Smart Card deve essere collegato alla postazione (tramite una porta USB) con la Smart Card correttamente inserita al suo interno, ovvero: con il microchip dorato all interno del lettore e la foto visibile all esterno. I prerequisiti aumentano all avanzamento delle procedure. In seguito, quando necessario, si farà solo riferimento ai prerequisiti iniziali, descritti in questo paragrafo, in apposite sezioni intitolate: Prerequisiti aggiornati dove saranno elencati solo i prerequisiti aggiunti dall esatta sequenza di passi e procedure descritte in questo documento. Effettuare sempre gli aggiornamenti automatici proposti dai programmi software Dike e Dike Util della InfoCert S.p.A. (anche nel caso venga visualizzato un messaggio d errore). Quando, all apertura dei programmi summenzionati, viene visualizzata una richiesta d aggiornamento: Assicurarsi di essere connessi ad Internet Rispondere SI IMPORTANTE Per effettuare installazioni e/o aggiornamenti è necessario avere diritti amministrativi, ovvero la possibilità d installare software, sul computer in utilizzo e/o dotazione. Pagina 5 di 75
4. Attivazione della Smart Card L attivazione della Smart Card abilita l utente alle tipologie d utilizzo seguenti: autenticazione ai siti web firma e cifratura della posta elettronica Dopo l attivazione, indipendentemente dalla tipologia d utilizzo, durante la gestione dei certificati digitali forniti con la Smart Card, si possono verificare le necessità seguenti: o o Cambio PIN Sblocco PIN 4.1 Procedura Da Programmi > InfoCert S.p.A. aprire il programma Dike Util Fig. 1 Clic sul pulsante OK come in Fig. 1 Pagina 6 di 75
Selezionare ACS ACR38U 0 e cliccare su OK come in fig.2 Fig. 2 Si apre il programma Dike Util; assicurarsi che la propria Smart Card sia ben inserita, con il microchip dorato all interno del lettore e la foto visibile all esterno, quindi scegliere: Attivazione SmartCard come in fig.3 Fig. 3 Si apre una finestrella per l immissione del PIN come in fig. 4 Fig. 4 Pagina 7 di 75
Inserire, in entrambi i campi (PUK di firma e PIN), il codice PIN / PUK fornito da InfoCert nella busta sigillata allegata al fascicolo delle condizioni generali dei servizi di certificazione e cliccare sul pulsante OK come nell esempio in fig. 5 Fig. 5 Se in entrambi i campi è stato digitato correttamente il codice si otterrà il messaggio: Attivazione del PIN eseguita correttamente come nell esempio in fig. 6 Fig. 6 Cliccare quindi sul pulsante OK: la procedura è stata completata con successo. L attivazione è completata. NOTA IMPORTANTE: Nelle pagine successive, in questa guida, è descritto come gestire il cambio e l'eventuale sblocco del codice PIN, per evitare il blocco o ancor peggio la disattivazione dovuti ad errori di digitazione, si consiglia di prestare la massima attenzione nelle operazioni di cambio del codice e di custodire il PUK (Personal Unblock Key) originale ricevuto nella busta al pari di un qualsiasi altro codice ricevuto, ad esempio, con le carte bancomat o le carte di credito. Pagina 8 di 75
5. Cambio PIN Software necessario per effettuare il cambio PIN: DikeUtil Prima di effettuare il cambio PIN è importante sapere che la Smart Card è di tipo 1204 o 1205 ed è classificata come: Carta Nazionale dei Servizi abbreviato in CNS. Tale Smart Card possiede al suo interno due certificati differenti, per ogni certificato è possibile settare un codice PIN diverso. Al momento del rilascio, i codici (due di PIN e uno di PUK) corrispondono. Considerato che il codice PUK non può essere modificato e rimane sempre uguale, invece i codici PIN possono essere, attraverso l uso del software Dike Util: cambiati, continuando a mantenerli uguali tra loro oppure cambiati avendone due differenti. NOTA BENE: Si consiglia di mantenere i due codici PIN uguali tra loro (vale a dire un unico codice PIN utilizzabile per entrambi i certificati) in modo tale da utilizzare sempre un solo PIN per qualunque operazione si debba effettuare con la smart card. E quindi necessario impostare in PIN di firma il valore Un PIN. Clic sul pulsante PIN di Firma Pagina 9 di 75
Per modificare il PIN (8 cifre) di una Smart Card, dopo averla inserita nel lettore, scegliere la funzione Cambio PIN. Se è settato PIN di Firma in Un PIN è necessario digitare, in successione nei tre campi: una volta il PIN attuale (quello corrente) da modificare e due volte quello nuovo Se è settato PIN di Firma in Due PIN nella sezione PIN Carta CNS da modificare è necessario digitare una volta il PIN attuale e due volte quello nuovo. Nella sezione PIN Firma Digitale, è necessario digitare una volta il PIN attuale (uguale a quello digitato la prima volta nella sezione PIN Carta CNS) e due volte quello nuovo Sezione PIN Carta CNS Sezione PIN Firma Digitale In questo secondo caso, appena ultimata la procedura, i due codici PIN saranno diversi. Pagina 10 di 75
6. Sblocco PIN IMPORTANTE Per effettuare lo sblocco del PIN è necessario conoscere il PUK della propria carta CNS (sempre uguale alle ultime 8 cifre del codice d emergenza) che è riportato, alla voce PIN/PUK, nella busta dei codici allegata alla documentazione InfoCert ricevuta in dotazione con la Smart Card. Per sbloccare il PIN (8 cifre) di una Smart Card, dopo averla inserita nel lettore, scegliere la funzione Sblocco PIN. Nella finestra che si aprirà, è necessario compilare tutti e 6 i campi considerando che il PUK è sempre lo stesso sia per la parte CNS che per la parte Firma Digitale e si trova nella busta di InfoCert che vi è stata consegnata in fase di rilascio della Smart Card. Per quanto riguarda i due pin nuovi, se volete mantenerli sincronizzati (come è all inizio) allora dovrete mettere in tutti e 4 i restanti campi lo stesso valore, diversamente potrete gestire le due parti in modo distinto, mettendo due PIN differenti, uno in CNS e uno in Firma Digitale. Inserire il codice PUK che si trova nella busta (sempre lo stesso) Pagina 11 di 75
7. Installazione del programma Bit4id In questa sezione è descritta l installazione del programma Bit4id (Cryptographic Service Provider CSP Servizi Crittografici) necessario per predisporre il lettore di Smart Card alla comunicazione con i programmi di posta e navigazione elettronica. L installazione del software summenzionato corrisponde al secondo passo della sequenza per predisporre il software all attivazione delle operazioni possibili con i certificati digitali. L installazione richiede i diritti di amministratore, si effettua dal percorso: D:\ Installazione\WindowsCSP\bit4id_ipki_1.1.7.1.exe dove D:\ è il lettore cd rom e/o dvd con inserito il cd: Smart Card Sistema Universitario Piemontese - Informazioni e applicazioni per l utilizzo Tale cd ha l etichetta: ilprogettosc ed è stato ricevuto in dotazione con la Smart Card: Pagina 12 di 75
Al percorso: \Installazione\WindowsCSP\ si trova il file bit4id_ipki_1.1.7.1.exe Doppio clic sull icona del file: bit4id_ipki_1.1.7.1.exe Avanti > Pagina 13 di 75
Mettere il segno di spunta ad Accetto le condizioni e scegliere Installa ATTENZIONE: è richiesto il riavvio del sistema! Eseguire il riavvio del sistema operativo richiesto dal programma per completare l installazione Pagina 14 di 75
7.1 Aggiornare il programma Bit4id 7.1.1 Scaricare il KIT CSP Se si desidera aggiornare il programma Bit4id: Universal Middleware for Incard alla versione 1.1.8.9 proseguire come segue: Collegarsi alla pagina: https://www.firma.infocert.it/installazione/certificato3.php NOTA: I numeri di serie delle Smart Card del Sistema Universitario Piemontese iniziano con 1204 o 1025 Scaricare il file in archivio compresso: KIT CSP 1.1.8.9a.zip o una versione superiore. Aprire quindi l archivio compresso appena scaricato per individuare ed editare il file leggimi.pdf contenuto all interno Pagina 15 di 75
7.2 Installare il programma Bit4id dal KIT CSP NOTA: se necessario, prima rimuovere tutti i programmi e i certificati come indicato nel file leggimi.pdf Seguendo le istruzioni contenute nel file leggimi.pdf si esegue il file: bit4id_ipki_1.1.8.9a-infocert.exe che installa il programma Bit4id Universal Middleware for Incard 1.1.8.9 Scegliere Avanti > Accetto condizioni Avanti > Fine (Si ripetono i passi d installazione della versione 1.1.7.1) Eseguire il riavvio del sistema operativo richiesto dal programma per completare l installazione. Pagina 16 di 75
8. Installazione del certificato root 8.1 Browser Internet Explorer Collegarsi al sito InfoCert alla pagina: https://www.firma.infocert.it/installazione/certificato.php individuare e cliccare il link al certificato: certificato CA InfoCert Servizi di Certificazione [CER - 1 KB] (vedi figura sottostante): Pagina 17 di 75
Scegliere apri: Scegliere installa: Pagina 18 di 75
Nelle finestre successive scegliere: Avanti > Scegliere Mettere tutti i certificati nel seguente archivio e poi Sfoglia Pagina 19 di 75
Selezionare Autorità di certificazione fonti attendibili poi OK Avanti > Pagina 20 di 75
Clic su Fine Clic su OK Pagina 21 di 75
Chiudere la finestra certificato cliccando su OK: L installazione del certificato root è completata. Pagina 22 di 75
8.2 Browser Mozilla Firefox Collegarsi al sito InfoCert alla pagina: https://www.firma.infocert.it/installazione/certificato.php nella sezione 1 individuare e cliccare con il pulsante destro del mouse il link al certificato certificato CA InfoCert Servizi di Certificazione [CER - 1 KB] (vedi figura sottostante): Pagina 23 di 75
Scegliere: Salva destinazione con nome Salvare il file InfoCert_Servizi_di_Certificazione.cer in un percorso a scelta: Pagina 24 di 75
Dal menu Strumenti > Opzioni Nella finestra opzioni scegliere Avanzate > Cifratura e Mostra certificati: Pagina 25 di 75
Scegliere la scheda Autorità e fare clic su Importa: Individuare il percorso dove è stato scaricato in precedenza il file del certificato: InfoCert_Servizi_di_Certificazione.cer selezionare il file e scegliere Apri Pagina 26 di 75
Mettere il segno di spunta per la fiducia nelle tre caselle e cliccare OK OK L installazione del certificato root è completata. Pagina 27 di 75
8.3 Configurare il browser Firefox Dal menu Strumenti > Opzioni Nella finestra opzioni scegliere Avanzate > Cifratura > Dispositivi di sicurezza Pagina 28 di 75
Scegliere carica Si apre la finestra Carica dispositivo PKCS#11 Scegliere un nome per il modulo (nell esempio Smart Card) poi Sfoglia Pagina 29 di 75
Individuare il file bit4ipki.dll che si trova in C:\WINDOWS\SYSTEM32 selezionarlo e fare clic su apri Clic su OK nella finestra Carica dispositivo PKCS#11 OK Pagina 30 di 75
OK Cliccare su OK anche nella finestra Opzioni La configurazione del browser è completata. Pagina 31 di 75
9. Autenticazione al Portale Myunito con Smart-Card In questa sezione sono descritte le modalità per effettuare l operazione A menzionata nella sezione Metodologia applicativa di questo documento, ovvero l autenticazione forte per l accesso all area Myunito. Quando lo studente deve accedere all area personale del Portale d Ateneo, denominata Myunito, sono previste due distinte tipologie d accesso: 1. Accesso fornendo le credenziali, nome utente e password, ricevute al momento dell immatricolazione (vedere: http://www.unito.it/documenti/bussola_studente_v3.pdf ) 2. Autenticazione a mezzo certificato digitale rilasciato da InfoCert Tenuto conto della tipologia d accesso: o o al punto 1 viene fornito supporto come indicato alla pagina: http://www.unito.it/istruzioni_studenti.htm al punto 2 si seguono le istruzioni contenute nelle pagine successive di questo documento. Per comunicazioni sullo stato del servizio di autenticazione tramite Smart-Card vedere: http://www.unito.it/istruzioni_smartcard.htm Successivi aggiornamenti, del presente documento, e ulteriori documenti relativi alla Smart Card saranno resi disponibili per il download all indirizzo seguente: http://www.unito.it/smartcard_istruzioni_studenti.htm Pagina 32 di 75
9.1 con Internet Explorer Collegarsi alla home page del portale: http://www.unito.it/ Cliccare sulla scritta Accedi con Smart-Card (come indicato dalla freccia) Si aprirà la finestra Scelta certificato digitale segue.. Pagina 33 di 75
Verificare che il codice fiscale corrisponda al proprio quindi cliccare su OK Inserire il proprio PIN di otto cifre indicato nella busta ricevuta in dotazione con la Smart Card Si aprirà la propria home page Myunito: la procedura è stata completata. Pagina 34 di 75
9.2 con Mozilla Firefox Con la Smart Card inserita nel lettore collegarsi alla home page del portale: http://www.unito.it/ Cliccare sulla scritta Accedi con Smart-Card (come indicato dalla freccia): Pagina 35 di 75
Inserire il proprio PIN di otto cifre indicato nella busta ricevuta in dotazione con la Smart Card e premere OK Il certificato da scegliere dovrà corrispondere al proprio, cliccare su OK (in caso questa richiesta venga ulteriormente ripetuta: cliccare nuovamente su OK) Si aprirà la propria home page Myunito: la procedura è stata completata. Pagina 36 di 75
10. Predisporre il client di posta Thunderbird alla firma In questa sezione è descritta l'operazione B: predisporre il programma di posta Mozilla Thunderbird all utilizzo del certificato di firma digitale presente sulla Smart-Card d Ateneo, ovvero rendere possibile la comunicazione del programma con il lettore di Smart Card Premessa a titolo informativo: il certificato di sottoscrizione (vedi nell esempio in figura) è quello che viene riportato sulla smart card con il nome scritto in chiaro (NOME COGNOME) e serve per firmare i documenti, mentre quello di autenticazione (riportato sulla Smart Card con il codice fiscale) serve per la firma della posta e autenticazione portale. Esempio di lettura dei certificati: Sottoscrizione Autenticazione Per approfondimenti vedere i punti 9 e 10 nelle FAQ Generali sulla Firma Digitale all indirizzo: https://www.firma.infocert.it/utilita/generali.php 10.1 Procedura Aprire il client di posta Thunderbird, dal menu Strumenti scegliere Impostazioni account: Pagina 37 di 75
Scegliere la voce Sicurezza dell account personale Cliccare sul pulsante Dispositivi di sicurezza Pagina 38 di 75
Cliccare su carica Inserire un nome a scelta nel campo Nome modulo e cliccare su sfoglia caricando il file bit4ipki.dll che si trova in C:\WINDOWS\SYSTEM32 (cliccare poi su Apri, OK e ancora su OK lasciando aperta la finestra Impostazioni Account ) Pagina 39 di 75
Inserire la Smart Card (che deve essere già stata attivata attraverso il programma Dike Util) e cliccare sulla voce Seleziona nella sezione Firma Digitale, si aprirà la finestra sotto riportata nella quale bisognerà inserire il PIN (8 cifre) della Smart Card e scegliere OK Si aprirà un pop up con la scelta del certificato, attenzione a scegliere, dal menù a tendina quello denominato CNS:CNS User Certificate [xx:xx:xx] e cliccare su OK Scegliere OK nella finestra sotto riportata Pagina 40 di 75
Al termine del passo 7 le sezioni Firma Digitale e Cifratura non saranno più vuote, ma conterranno la dicitura CNS:CNS User Certificate Lasciare la finestra Impostazioni account aperta Pagina 41 di 75
Cliccare su Visualizza certificati: Si apre la finestra Gestione Certificati, scegliere la scheda Autorità: Pagina 42 di 75
Scegliere Importa: Nella casella Nome file incollare il seguente indirizzo: https://www.firma.infocert.it/pdf/infocert_servizi_di_certificazione.cer Inserito l indirizzo scegliere Apri Pagina 43 di 75
Si apre la finestra Download certificato, mettere i tre segni di spunta come in figura: Cliccare su OK anche nella finestra Impostazioni account: la procedura è terminata. Per ulteriori informazioni: https://www.firma.infocert.it/installazione/certificato2.php Pagina 44 di 75
11. Predisporre il client di posta Outlook alla firma Dal menu Strumenti > scegliere Opzioni Si apre la finestra Opzioni: Scegliere la scheda Protezione Pagina 45 di 75
Mettere il segno di spunta ad Aggiungi la firma digitale ai messaggi in uscita quindi scegliere Impostazioni Si apre la finestra Cambia impostazioni di protezione: Pagina 46 di 75
Inserire un valore per la casella Nome impostazione di protezione: In corrispondenza della casella Certificato firma premere il pulsante Scegli Se la propria Smart Card è correttamente inserita nel lettore, si apre la finestra Selezione certificato: Selezionare il certificato contrassegnato dal proprio codice fiscale e scegliere Visualizza certificato Pagina 47 di 75
Scegliere la scheda Attendibilità Nella scheda Attendibilità selezionare l opzione Considera il certificato Attendibile OK Pagina 48 di 75
La finestra Selezione certificato è rimasta aperta: cliccare OK Nella finestra Cambia impostazioni di protezione : Lasciare o mettere il segno di spunta ad Invia certificati, per consentire l invio del proprio certificato allegato ai messaggi, può servire quando s intende cifrare la posta poiché, in tal caso, il destinatario deve necessariamente avere il certificato del mittente per decifrare i messaggi. Pagina 49 di 75
La finestra Opzioni è rimasta aperta: OK. La procedura è così completata. Pagina 50 di 75
12. Firmare i propri messaggi di posta elettronica In questa sezione sono descritti i passi necessari per cifrare e firmare i propri messaggi da inviare con i programmi di posta elettronica più diffusi in questo Ateneo. 12.1 Validità ed attendibilità Affinché la firma apposta ad un messaggio venga riconosciuta come valida ed attendibile è necessario che il destinatario abbia installato il certificato root della InfoCert tra quelli delle Autorità di certificazione fonti attendibili, abbia inoltre inserito il certificato del mittente, e dato fiducia allo stesso, come illustrato più avanti in questa guida, nella sezione: Gestione certificati di Mozilla Thunderbird. 12.2 Prerequisiti aggiornati Oltre a quanto in elenco nella sezione: 3. Prerequisiti iniziali, per portare a termine correttamente le operazioni di firma e cifratura dei propri messaggi di posta elettronica è necessario avere completato i seguenti passi: Attivazione della Smart Card Installazione del programma Bit4id Installazione del certificato root e le operazioni: Predisporre il client Mozilla Thunderbird Predisporre il client Microsoft Outlook Pagina 51 di 75
12.3 Firmare i messaggi di posta con Thunderbird NOTA: Operazione preliminare da effettuare solo al primo invio di un messaggio di posta firmato Aprire il client di posta Mozilla Thunderbird, dal menu Strumenti scegliere Impostazioni account quindi cliccare, a sinistra, su Sicurezza Verificare che siano valorizzati i campi delle sezioni: Firma digitale e Cifratura ATTENZIONE: il segno di spunta nella casella Apponi una firma digitale ai messaggi indica al programma di firmare tutti i messaggi di posta in uscita, si consiglia di togliere o comunque di lasciare vuota tale casella (è possibile scegliere di volta in volta quando firmare i propri messaggi) a meno che si abbia intenzione d inviare sempre il proprio certificato. Per approfondimenti vedere i punti 9 e 10 nelle FAQ Generali sulla Firma Digitale all indirizzo: https://www.firma.infocert.it/utilita/generali.php Pagina 52 di 75
12.3.1 Procedura Comporre il messaggio al quale si desidera apporre la firma digitale; quando il messaggio è pronto per essere spedito accertarsi che la Smart Card sia correttamente inserita nell apposito lettore quindi scegliere da Sicurezza > Apponi firma digitale Verificare, scegliendo nuovamente Sicurezza, che sia presente il segno di spunta su Apponi firma digitale Premere il pulsante Invia Pagina 53 di 75
Apparirà la finestra per l immissione del PIN: Immettere il proprio PIN e scegliere OK Nella cartella della propria posta inviata: selezionare il messaggio appena spedito che, se correttamente firmato, dovrà essere contrassegnato da un icona raffigurante una busta chiusa con un sigillo di ceralacca come nella figura seguente: La presenza di tale icona attesta la validità della firma e quindi la correttezza formale dell operazione appena effettuata. Pagina 54 di 75
12.4 Gestione certificati di Mozilla Thunderbird 12.4.1 Certificati altrui Per attivare correttamente la ricezione e la spedizione di messaggi firmati e cifrati è necessario gestire i certificati dei destinatari di tali messaggi. I passi che seguono descrivono la gestione dei certificati altrui dal programma client di posta elettronica Mozilla Thunderbird Aprire il client di posta Thunderbird, dal menu Strumenti scegliere Impostazioni account: Scegliere la voce Sicurezza dell account personale Pagina 55 di 75
Cliccare sul pulsante Visualizza certificati Si apre la finestra Gestione Certificati, scegliere la scheda Certificati altrui Pagina 56 di 75
Selezionare il certificato che si vuole gestire e scegliere Modifica Modificare le impostazioni di affidabilità contrassegnando: Dai fiducia all autenticità di questo certificato quindi scegliere OK Ripetere la procedura, per ciascun certificato dei destinatari di posta firmata e cifrata Pagina 57 di 75
12.5 Firmare i messaggi di posta con Outlook 12.5.1 Procedura Comporre il messaggio al quale si desidera apporre la firma digitale; quando il messaggio è pronto per essere spedito accertarsi che la Smart Card sia correttamente inserita nell apposito lettore quindi cliccare sull icona raffigurante la busta con la coccarda come in figura: All invio del messaggio viene richiesto l inserimento del PIN: Pagina 58 di 75
Inserire il proprio PIN e poi cliccare OK Nella cartella della posta inviata aprire il messaggio appena inviato: Un icona, raffigurante una coccarda giallo-rossa, deve essere presente nel riquadro dell intestazione: selezionarla con il tasto sinistro del mouse Si apre la finestra Firma digitale: valida Tale finestra attesta la correttezza formale dell operazione appena effettuata. Pagina 59 di 75
14. Cifrare i propri messaggi di posta elettronica 14.1 Cifrare i messaggi di posta con Mozilla Thunderbird 14.1.1 Prerequisiti aggiornati Per potere inviare correttamente un messaggio di posta cifrato è prerequisito essenziale il possesso di un certificato valido ed attendibile del destinatario. Quando si intende scambiare posta cifrata per la prima volta è necessario richiedere al corrispondente destinatario l invio di un messaggio di posta elettronica firmato. Ottenuto il messaggio di posta firmato è necessario portare a termine la procedura: Gestione certificati di Mozilla Thunderbird, una tantum, per ciascun destinatario, come indicato nella sezione: 12.5.1 Certificati altrui. 14.1.2 Procedura Comporre il messaggio che si desidera inviare cifrato; quando il messaggio è pronto per essere spedito accertarsi che la Smart Card sia correttamente inserita nell apposito lettore quindi scegliere da Sicurezza (pulsante nero) > Cifra questo messaggio È consigliabile scegliere unitamente anche Apponi firma digitale Pagina 60 di 75
Verificare, scegliendo nuovamente Sicurezza, che sia presente il segno di spunta su Cifra questo messaggio ed eventualmente anche su Apponi firma digitale Premere il pulsante Invia Apparirà la finestra per l immissione del PIN: Pagina 61 di 75
Immettere il proprio PIN e scegliere OK Nella cartella della propria posta inviata selezionando il messaggio appena spedito che dovrà essere contrassegnato, da un icona raffigurante una busta chiusa con un sigillo di ceralacca ed un icona raffigurante un lucchetto, come nella figura seguente: La presenza di tali icone attesta la validità della firma e della cifratura e quindi la correttezza formale dell operazione appena effettuata. 14.1.3 Errore invio messaggio cifrato da Thunderbird L errore, generalmente, è causato dall invio di un messaggio di posta cifrato ad un destinatario del quale non si possiede il certificato necessario per la crittografia. Soluzione: richiedere al destinatario l invio di un messaggio firmato, eseguire la procedura sopradescritta e provare nuovamente ad inviare il messaggio cifrato Pagina 62 di 75