Carta Nazionale dei Servizi Firma Digitale Camera di Commercio di Ferrara
CNS FD CNS Carta Nazionale dei Servizi Emessa da Pubbliche amministrazioni Emessa dal Sistema Camerale Emessa dalle ASL Firma Digitale Le carte emesse saranno CNS-FD CA - Certification Authority - Ente di Certificazione Ente di Certificazione Emette certificati RA - Registration Authority - Ente di Emissione La Camera di Commercio Certificato Corrispondenza fra nome del Titolare e chiavi crittografiche Contiene anche il nome dell'ente di Certificazione Periodo di validità
Utenti RAO oppure OdR Registration Authority Officer (operatore dell'ufficio di registrazione) OdR: Operatore di Registrazione MasterRAO Può creare altri OdR (o RAO) IR Incaricati al Riconoscimento Effettuano il riconoscimento de-visu del Titolare Non emettono carte Titolare (o Utente) Possessore del Dispositivo di firma e titolare del Certificato il cliente della cciaa per il quale viene emessa la Smart card Operatore del Centro servizi (che è vostro amico) Telefono: lo stesso del servizio Monitor
Smart card (colori)
Smart card (caratteristiche) Ha un chipset/processore crittografico (Athena) Dispositivo sicuro di firma Tre tentativi per il pin Tre tentativi per il puk Lettore di Smart card Installazione driver (sono inclusi nella procedura di primo accesso, facile) Accoglie le Smart card Nel processo di firma, di verifica dei documenti firmati, di generazione delle chiavi crittografiche
Smart card fustellata (colori)
Smart Card fustellata (caratteristiche) È fustellata, ritagliata Come la precedente, ma può diventare delle dimensioni di una scheda sim (Incard) Predisposta per essere inserita nel Token usb
Token usb
Token usb (caratteristiche) È un Lettore compatto in cui inserire il Dispositivo di firma (dimensioni sim ) È comodo, per il resto non cambia nulla È analogo a Lettore+Smart card
Scratch card
Scratch card (caratteristiche) Da grattare PIN, PUK, Codice utente Sostituisce la busta di carta con PIN e PUK Da conservare per operazioni da remoto Rilascio della Scratch card al Titolare Effettuato comunque al riconoscimento Anche quando si tratta di emissione differita - IR Il seriale deve essere trascritto nel modulo di richiesta (è l'unico numero visibile senza grattare) Permette che la carta nasca già attiva Non c'è da fare l'attivazione
Scratch card (i numeri) PIN Personal Identification Number - Codice di accesso alla smart card Può essere cambiato dal software di firma Personal Unlocking Key - Codice di sblocco della smart card Può essere cambiato dal software di firma Codice utente Codice personale di emergenza Da usare nelle operazioni da remoto sulla carta: Sospensione, Riattivazione, Revoca Contiene il codice utente Associa la Smart card al Titolare per le attività da remoto Per esempio nel caso di revoca per smarrimento della Carta
Il kit da consegnare al Titolare Pieghevole La Smart card La Scratch card (Il token usb) Condizioni generali di contratto
Riassunto oggetti Smart Card Lettore di Smart card Smart Card fustellata Per Token usb Token usb Scratch card Kit da consegnare al Titolare Cartellina e documenti Condizioni generali di contratto Modulo autodichiarazione Ricevuta smart card (che riporta il seriale)
Tipi di carte Firma digitale Chiavi crittografiche Chiavi asimmetriche: una pubblica, una privata CSR - Certificate Signing Request CRL - Certificate Revocation List OCSP - PKCS#11 Public-Key Cryptography Standards #11 il Lettore #10 il Certificato
CMS Card Management System È un'applicazione, fruibile via web, per gestire i Dispositivi. Si utilizza un sistema Windows con Internet Explorer È indipendente dal computer che utilizziamo È sicuro https://cns-camere.aruba.it/ SSL/HTTPS Secure Soket Layer - Hypertext Transfer Protocol over Secure Socket Layer Quando c'è il lucchetto SSL/TLS Transport Layer Security Invio delle password su connessione cifrata La sicurezza del sistema è importante!
CMS Cosa può fare sui Dispositivi Emissione Sospensione Riattivazione Revoca Cosa può fare sugli utenti Creazione Titolare (durante l'emissione) Creazione IR Creazione RAO - OdR Disattivazione utenti
Preparazione della postazione di lavoro Preparazione all'emissione Installare i driver oppure File Protector Collegare DUE lettori Uno per l'autenticazione dell'operatore Uno per la carta da emettere Deve generare le chiavi crittografiche Deve ospitare il certificato Gli IR devono collegare un solo lettore Non emettono carte Necessario l'accesso a Internet Almeno ai server dei certificati Per raggiungere la CA
Primo accesso Utilizzare Internet Explorer Installare il software richiesto da IE Inserire la propria carta per l'autenticazione Inserire il PIN Il menù sulla sinistra cambia col tipo di utente Operatore del Centro Servizi Master RAO RAO IR
Riconoscimento Può farlo il RAO ma può farlo anche l'ir Deve essere fatto di persona (De visu) Né delega Né da remoto Implicazioni legali Di tipo penale Modulo dell'autodichiarazione Responsabilizza il Titolare Devono coincidere con quelli scritti nel CMS Desresponsabilizzano il RAO o l'ir È semplice, ma delicato e importante
Procedure RAO - OdR Emissione della Carta Decentrata o Centralizzata Decentrata immediata o decentrata differita Differita telematica oppure cartacea Sospensione È a tempo, anche se non deve essere specificata nessuna durata della sospensione È annullabile con la Riattivazione Riattivazione Si può fare ovviamente solo su carte Sospese Rinnovo (fra tre anni) Promemoria automatico al Titolare per email Fatto autonomamente dal Titolare dal CMS Revoca È definitiva, la carta non è più riattivabile
Esercitazione pratica sul CMS Emissione di una carta Stampa del modulo di richiesta Tre copie: Camera, CA, Titolare Stampa della ricevuta Stampa sulla Smart card del nome del Titolare Preparazione del kit Sospensione e riattivazione Creazione di nuovi operatori (RAO, IR)
Stampante Sulla Smart card deve essere stampato il nome del Titolare Matica Chica www.maticasystem.com
Software per il Titolare Se ha il Token usb, il software di firma è incluso Se ha la Smart card, il software è File Protector (scaricabile) Firma file multipli e cartelle intere È possibile continuare a utilizzare Dike Scaricare dal sito Infocert i driver aggiuntivi (per le carte Athena) File Protector li ha tutti, ed è un ottimo software di firma Proviamolo
Token usb (software incluso) Niente da installare, i driver sono inclusi Semplice da utilizzare (e da portare in giro) Si firma trascinando sull'immagine Gestione della carta Marca temporale Si può cambiare il PIN e il PUK Provate a usarlo, così sapete rispondere alle eventuali domande dei vostri utenti
Assistenza Per i Titolari Sito web www.card.infocamere.it Numero verde 800 500 000 Per le Camere (i RAO) c'è il servizio Monitor Già in uso
www.card.infocamere.it Assistenza ai titolari delle carte Introduzione al tema e spiegazioni Manuali e guide Scaricamento del software Sospensione e riattivazione in autonomia Per telefono Via web
Configurazione postazioni RAO...e IR telematici). Sul CMS Verificare che si raggiunga https://cns-camere.aruba.it Verificare che Internet Explorer abbia i cookies abilitati Al primo accesso si installano i driver in automatico Riavviare Explorer e Windows
Alcuni consigli È utile inserire l'url del cms tra i preferiti di explorer Provare il primo accesso con una vera cns Si può settare, in Explorer, la privacy intranet per considerare il sito cms come sito in rete locale e non come un sito internet qualunque Si può fare una prova di stampa cognome e nome sulla plastica della smart card (in casi particolari anche prove di registrazione e rilascio).
Altri software Verifica l'installazione di Adobe Reader Per la sola stampa dei moduli non serve che AR sia recentissimo...ma è sempre meglio avere programmi aggiornati Con AR si possono fare anche verifiche di firma PDF È necessario aggiungere l'elenco delle CA italiane accreditate Altrimenti fa la verifica formale ma non trova i server di revoca http://www.adobe.com/it/security/italiandigsig.html http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati
Software di firma (per il Titolare) Installare File Protector Download da sito www.card.infocamere.it unzip, lancia setup.exe, ok a tutte le domande riavvio stazione di lavoro Prova file protector può essere utile memorizzare password e impostare autologin settare proxy per internet per la verifica della crl
Altri controlli Verifica raggiungimento crl per verifica firma (con nuovi certificati) da: file protector Dike sw del token usb Aggiornare Dike per eventuali utilizzi incrociati il vecchio dike 4 dà problemi con i certificati dei nuovi dispositivi Aggiornare a Dike 5 Attenzione: mai (mai!) usare Dike Util per cambiare pin e puk sui nuovi dispositivi: si possono disallineare i certificati Dal sito Infocert installare i driver per la carta sanitaria della Regione Lombardia Per avere i driver Athena anche su Dike DI NORMA: Carte Vecchie > Software Dike Carte Nuove > File Protector
Verifiche:test e questionario Test di verifica per RAO Nome, cognome, Camera, Data Questionario di gradimento Per la valutazione del corso Anonimo