A.A. 2014/15 Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni http://tlc.diee.unica.it/ Nell ambito del Corso di Diritto dell Informatica e delle Nuove Tecnologie Docente: Massimo Farina m.farina@unica.it Cagliari 27 Ottobre 2014 - Slide a cura di Massimiliano Corda Halley Sardegna S.r.l. Certificatore Rao Consulente Privacy
La Firma Digitale è l equivalente informatico di una tradizionale firma apposta su carta. La sua funzione è quella di attestare la validità, la veridicità e la paternità di un documento, come una lettera, un atto, un messaggio o, in generale, qualunque file di dati (testo, immagini, musica, ecc.). Come tale, non va confusa con altri oggetti omofoni definiti genericamente elettronici, come ad esempio la firma autografa scansionata e conservata come immagine. 2
La Firma Digitale è infatti il risultato di una procedura informatica basata su un sistema di codifica crittografica a chiavi asimmetriche (una pubblica e una privata, esse sono l insieme della coppia di chiavi, quella pubblica e quella privata, che viene utilizzata per la creazione e la verifica della Firma Digitale, e attribuita a un solo titolare.), che consente: la sottoscrizione di un documento informatico; la verifica, da parte dei destinatari, dell identità del soggetto firmatario; la sicurezza della provenienza del documento; la certezza che l informazione contenuta nel documento non sia stata alterata. 3
Deve essere in possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di direzione e controllo delle banche. Tali requisiti si estendono anche ai legali rappresentanti. La forma giuridica prevista è quella di società di capitali ed il capitale sociale deve essere pari o superiore a 6,5 milioni di. 4
Se rilascia certificati qualificati, deve comunicare preventivamente all Agenzia per l Italia Digitale la sussistenza dei requisiti di onorabilità, nonché requisiti di: affidabilità tecnica, organizzativa ed economica; competenza del personale; procedure di gestione; sicurezza e anticontraffazione dei certificati. Deve accreditarsi presso AID iscrivendosi in un apposito albo (http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatoriattivi ). 5
Il Produttore di dispositivi crittografici è tenuto a garantire i seguenti aspetti del processo di certificazione: produzione di chip secondo gli standard previsti dalla normativa; conservazione dei chip e embedding; inizializzazione elettrica; procedure di invio dei lotti di smart card o token usb inizializzati al certificatore. 6
il RAO (Addetto all Uffcio di Registrazione) identifica il titolare e le condizioni di sussistenza di un titolo/ruolo; registra i dati del titolare sull applicativo per il rilascio dei certificati; richiede l emissione dei certificati su Business Key o smart card; consegna al titolare il dispositivo, la cartellina contenente le condizioni generali di contratto e i codici di sicurezza. La richiesta del rilascio di un certificato implica la necessità di riconoscere il titolare. 7
Prevede la presenza fisica del Titolare (non è ammessa delega) e si basa sul controllo di un documento di identità valido (art.35 TU, D.P.R. 28/12/2000, n.445)ed eventualmente dell attestazione del ruolo nell Organizzazione. Il RAO richiede l emissione del certificato. All interno del dispositivo di firma, in un area protetta indenne dalla formattazione, viene generata la coppia delle chiavi asimmetriche. Il RAO, con la digitazione del PIN, sottoscrive la richiesta di emissione del certificato. dopo gli opportuni controlli, l Ente Certificatore genera il certificato e ne permette il salvataggio sul dispositivo il Certificato emesso è inserito nel Registro dei Certificati ma viene reso pubblico solo su esplicita richiesta del Titolare. 8
E una persona fisica, maggiorenne, dotata di codice fiscale o identificativo equivalente (https://en.wikipedia.org/wiki/national_identification_number) E identificato come il possessore della chiave privata corrispondente alla chiave pubblica contenuta nel certificato. Per questo motivo, la firma digitale generata con la chiave privata della coppia è attribuita al titolare. 9
PROVVEDE ALL IDENTIFICAZIONE DELLA PERSONA CHE RICHIEDE IL CERTIFICATO Direttamente o attraverso strutture collegate, si accerta delle generalità del richiedente del certificato. 10
RILASCIA IL CERTIFICATO Direttamente o attraverso strutture collegate, genera il certificato e lo mette a disposizione del titolare. 11
INFORMA IL TITOLARE Rende disponibile e mantiene aggiornata la documentazione on-line per i titolari. 12
PROVVEDE ALLA TEMPESTIVA REVOCA E SOSPENSIONE DEL CERTIFICATO, SE RICHIESTO O NECESSARIO Mette a disposizione del Titolare o del Terzo Interessato gli strumenti per revocare/sospendere il certificato. 13
ASSICURA LA PRECISA DETERMINAZIONE DI DATA E ORA DI RILASCIO, REVOCA E SOSPENSIONE Garantisce la precisa rendicontazione temporale delle operazioni svolte 14
REGISTRA TUTTE LE INFORMAZIONI RELATIVE AL CERTIFICATO PER 20 ANNI Mantiene la memoria di tutte le operazioni inerenti la vita del certificato 15
I DATI DEL TITOLARE SONO REGISTRATI NEL DB DEL CERTIFICATORE L attivazione del PIN è propedeutica all utilizzo del dispositivo di firma I codici richiesti per l attivazione, PIN e PUK, sono contenuti nella cartellina ERC (consegnati al momento dell attivazione) Il Titolare attiva il suo dispositivo di firma personalizzando il PIN. Il Titolare modifica il PIN, il PUK rimane immodificato. Nella cartellina è contenuto un ulteriore codice di sicurezza, l Emergency Request Code, necessario per la sospensione on-line del certificato. 16
In condizioni standard il certificato digitale ha una validità di 3 anni. La revoca o la sospensione modificano la validità del certificato anticipandola e ne comportano l inserimento nella lista dei certificati revocati e sospesi, esse rendono le firme apposte dopo la pubblicazione della CRL(istanze di richiesta) non valide. La sospensione ha carattere di temporaneità, la revoca è un processo definitivo. La revoca o la sospensione dei certificati possono essere richiesti da: Titolare Certificatore Terzo Interessato (chi riceve un documento firmato digitalmente, ovviamente dovrà dimostrare il perché della richiesta) 17
La revoca di un certificato può essere richiesta a causa di: chiave privata compromessa, ovvero smarrimento del dispositivo di firma, perdita della segretezza della chiave o del PIN dispositivo di firma non funzionante modifica dei dati del Titolare presenti nel certificato disdetta mancato rispetto del Manuale Operativo La sospensione di un certificato può essere richiesta a causa di: necessità di interrompere la validità del certificato dubbi sulla validità del certificato dubbi sull opportunità di una richiesta di revoca 18
Al termine del periodo di sospensione richiesto, la validità del certificato viene ripristinata automaticamente poiché il certificato è rimosso dalla lista di revoca e sospensione. Un certificato sospeso può essere revocato. Non è possibile anticipare il ripristino della validità di un certificato prima che termini il suo periodo di sospensione. In condizioni standard il certificato digitale ha una validità di 3 anni. La procedura di rinnovo del certificato permette di prorogare per ulteriori 3 anni la validità del certificato purché venga eseguita prima della data di fine validità del certificato. Superata questa data, il rinnovo non è più consentito; il titolare deve chiedere l emissione di un nuovo certificato. Al momento del rinnovo viene generata una nuova coppia di chiavi ed un nuovo certificato. I certificati scaduti restano archiviati per 20 anni. 19
CERTIFICATO DI SOTTOSCRIZIONE Permette di apporre una firma digitale attribuendo valore legale al documento. E generato seguendo indicazioni e standard normati. CERTIFICATO DI SOTTOSCRIZIONE CON RUOLO Permette di apporre una firma digitale attribuendo valore legale al documento. E generato seguendo indicazioni e standard normati. Indica funzioni, titoli o abilitazioni professionali e poteri di rappresentanza del titolare. CERTIFICATO DI AUTENTICAZIONE Permette di autenticarsi ai siti web e di firmare messaggi di posta elettronica. Non è standardizzato. CERTIFICATO DI AUTENTICAZIONE CNS Permette di autenticarsi ai siti web e di Firmare messaggi di posta elettronica Rilasciato dalla PA, è generato seguendo indicazioni e standard normati. 20
FIRMA DIGITALE: Business Key (chiavetta USB - strumento ideato per rendere l'utilizzo della firma digitale semplice ed intuitivo) SMART CARD: dotata di chip (necessita di un lettore di smart card). FIRMA REMOTA: per effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card virtuale. MARCHE TEMPORALI: per associare ad uno o più documenti informatici una evidenza certa di data e ora (riferimento temporale certificato). 21
A.A. 2014/15 Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni http://tlc.diee.unica.it/ Grazie per l attenzione http://www.diricto.it/ http://ict4forensics.diee.unica.it/
Contratto telematico e commercio elettronico Licenza Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o o o o Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; di modificare quest opera; Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell opera nei modi indicati dall autore o da chi ti ha dato l opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l opera. Noncommerciale. Non puoi usare quest opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest opera, o se la usi per crearne un altra, puoi distribuire l opera risultante solo con una licenza identica o equivalente a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra 23