Lombardia Informatica S.p.A. Policy Certificati di Firma Digitale su CNS/CRS Codice documento: LISPA-CA-PRC#08 Revisione: 2.0 Stato: Data di revisione: 10/07/2013 AREA NOME Redatto da: DCO/SER/Area Servizi di Certificazione Digitale Doriana Pepoli Verificato da: DCO/SER/Area Servizi di Certificazione Digitale Luigi Bongiorni Approvato da: DCO/SER/Area Servizi di Certificazione Digitale Luigi Bongiorni
INDICE DEI CONTENUTI 1 STORIA DELLE MODIFICHE APPORTATE... 3 2 INTRODUZIONE... 4 2.1 SCOPO E CAMPO DI APPLICAZIONE DEL DOCUMENTO... 4 2.2 VALIDITÀ... 4 2.3 RIFERIMENTI NORMATIVI... 4 2.4 STANDARD DI RIFERIMENTO... 4 3 PROFILO DEL CERTIFICATO... 5 3.1.1 Attributi standard... 5 3.1.2 Estensioni... 6 4 INTEGRAZIONI AL MANUALE OPERATIVO... 7 LISPA-CA-PRC#08 Pagina 2 di 7
1 STORIA DELLE MODIFICHE APPORTATE Numero versione Data di emissione Sintesi delle variazioni 1.0 07/11/2012 Prima emissione 2.0 10/07/2013 Ricodificato il documento. Aggiornati i riferimenti normativi. Eliminato un refuso LISPA-CA-PRC#08 Pagina 3 di 7
2 INTRODUZIONE 2.1 Scopo e campo di applicazione del documento Questo documento è la policy dei certificati qualificati di firma digitale emessi da Lombardia Informatica in conformità al Manuale Operativo per il Servizio di Certificazione Digitale [5]. Questo documento, in particolare, descrive: il profilo del certificato; solo se applicabile, eventuali regole tecniche e/o organizzative aggiuntive o meglio dettagliate rispetto a quanto già descritto nel Manuale Operativo per il Servizio di Certificazione Digitale [5]. 2.2 Validità Questo documento ha validità per: Lombardia Informatica S.p.A. (certificatore) gli utenti titolari dei certificati del tipo qui descritto gli utenti utilizzatori dei certificati del tipo qui descritto gli organismi di registrazione che rilasciano i certificati del tipo qui descritto. 2.3 Riferimenti normativi [1] DPCM 22 febbraio 2013: Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71 (Gazzetta Ufficiale n.117 del 21 maggio 2013) e successive modifiche ed integrazioni [2] Deliberazione CNIPA 45/2009 del 21 maggio 2009: Regole per il riconoscimento e la verifica del documento informatico [3] D.lgs n 82/2005 [CAD]: Codice dell amministrazione digitale [4] D. lgs n 235/2010: Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69 [5] Manuale Operativo per il Servizio di Certificazione Digitale (codice documento LISPA-CA-PRC#01) [6] Determinazione Commissionale 69/2010: Modifiche alla Deliberazione 21 maggio 2009 n. 45 del Centro Nazionale per l Informatica nella pubblica Amministrazione, recante Regole per il riconoscimento e la verifica del documento informatico 2.4 Standard di riferimento I certificati descritti nel presente documento sono conformi agli standard di riferimento internazionali (X509), agli standard individuati dalla normativa italiana in materia di Firma Digitale ed agli standard dalla Commissione Europea. Per quanto concerne i dispositivi di firma si indica il CWA 14169 (March 2002): Secure Signature-Creation Devices EAL 4+ che definisce i requisiti ai quali deve aderire un dispositivo sicuro di firma per l utilizzo nella firma digitale. LISPA-CA-PRC#08 Pagina 4 di 7
3 PROFILO DEL CERTIFICATO Il profilo del certificato è quello descritto nella Deliberazione CNIPA n. 45/2009 [2]. Conformemente all art. 12, comma 5, lettera f) della Deliberazione CNIPA n. 45/2009 [2], l indicazione che il certificato è qualificato e che la chiave privata, corrispondente alla chiave pubblica presente nel certificato qualificato, risiede in un Dispositivo Sicuro per la Creazione di Firme è contenuta, rispettivamente, negli attributi id-etsi-qcs- QcCompliance (OID: 0.4.0.1862.1.1) ed id-etsi-qcs-qcsscd (OID 0.4.0.1862.1.4) presenti nell estensione qcstatements. L estensione non è marcata critica. L estensione CertificatePolicies (OID: 2.5.29.32) del certificato contiene l OID 1.3.6.1.4.1.7790.1.4.23 che identifica la policy del certificato con la relativa URL. L estensione non è marcata critica. Il certificato è valido da un minimo di 2 anni ad un massimo di 6 anni a partire dalla data di emissione. Il certificato può contenere un limite di valore nell attributo id-etsi-qcs-qclimitvalue (OID: 0.4.0.1862.1.2). Il certificato può contenere i seguenti limiti d uso: I titolari fanno uso del certificato solo per le finalità di lavoro per le quali esso è rilasciato. The certificate holder must use the certificate only for the purposes for which it is issued. L utilizzo del certificato è limitato ai rapporti con (indicare il soggetto). The certificate may be used only for relations with the (declare the subject). 3.1.1 Attributi standard Attributi X.509v3 Significato Valore Version Indica la versione del formato del certificato implementata della specifica ITU T X.509 V3 Serial Number Numero di serie che identifica univocamente il certificato Numero di serie del certificato Signature Algorithm Specifica l algoritmo utilizzato dalla CA per firmare il certificato; SHA256 witn RSA Issuer È il nome distintivo dell autorità di certificazione che ha emesso il certificato, fornito secondo lo standard di naming X.500: Country (c): individua il paese di appartenenza della CA che emette il certificato Organization (O): Individua l organizzazione o l ente di appartenenza della CA che emette il certificato Organization unit (OU): individua l eventuale unità organizzativa dell organizzazione che emette il certificato Common Name (CN): individua il nome della CA C= IT O= Lombardia Informatica S.p.A. OU= Servizio di certificazione CN= Servizio di Certificazione per la Firma Digitale CA2 Validity Period Specifica la data e l ora di inizio e fine validità del certificato. Questo campo si compone degli elementi NotBefore e NotAfter Il certificato di sottoscrizione è valido da un minimo di 2 anni ad un massimo di 6 anni a partire dalla data di emissione Subject public Key Info Contiene il valore della chiave pubblica del possessore del certificato, l algoritmo con cui tale chiave viene usata e la sua lunghezza RSA (1024 bit)+chiave LISPA-CA-PRC#08 Pagina 5 di 7
3.1.2 Estensioni Estensioni X.509v3 Critica/non Critica Significato Valore Key Usage CRITICA Specifica le finalità per le quali la chiave viene utilizzata NonRepudiation Certificate Policies Specifica la policy di riferimento del certificato ed il sito di distribuzione del manuale operativo [1] Criterio certificato: Identificatore criterio = 1.3.6.1.4.1.7790.1.4.23 [1,1] Informazioni sulla definizione del criterio: ID definizione criterio=cps Definizione: http://www.lispa.it/ca/cps [1,2] Informazioni sulla definizione del criterio: ID definizione criterio=notifica utente Definizione: Testo avviso=<limite d uso> CRL Distribution Points L estensione indica dove reperire la CRL URL=ldap://ldap.crs.lombardia.it/cn=C DP1,ou=CRL CA Firma Digitale 2,o=Lombardia Informatica S.p.A.,c=IT?certificateRevocationList URL=http://ca.lispa.it/CAFD2/CDP1 Authority Key Identifier Seleziona una chiave tra quelle utilizzate dal certificatore Identificatore della chiave Subject Key Identifier Seleziona una chiave fra quelle a disposizione del titolare Identificatore della chiave 1. Questo è un Certificato Qualificato conforme agli Annex I e II della Direttiva EU 1999/93/CE qcstatements 0.4.0.1862.1.1 0.4.0.1862.1.2 <opzionale> 0.4.0.1862.1.3 0.4.0.1862.1.4 2. Questo certificato riporta un limite nel valore massimo della transazione in cui il certificato può essere usato: EUR <limite di valore> 3. Questo certificato riporta un periodo di "retention" da parte della CA pari a 20 anni 4. La chiave pubblica certificata risiede in un Dispositivo Sicuro per la Creazione di Firme (SSCD) LISPA-CA-PRC#08 Pagina 6 di 7
4 INTEGRAZIONI AL MANUALE OPERATIVO Nessuna. LISPA-CA-PRC#08 Pagina 7 di 7