Comments
Description
Transcript
Documento in formato
SMART CARD tecnologie ed applicazioni nella PA Ing. Giovanni Manca Dirigente CNIPA Centro Nazionale per l’informatica nella pubblica amministrazione Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca AGENDA • Descrizione generale della tecnologia • Le funzionalità tecniche • Sintesi dello scenario generale delle carte • La CNS • Aspetti generali • Aspetti tecnici • Aspetti organizzativi e di sicurezza Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca L’architettura generale (1) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca L’architettura generale (2) Reset Clock 0V 5V n.c. I/O Seminario di studio CNIPA I N T E R F A C C I A INDIRIZZI CPU o CPU + Co Pro RAM ROM EEPROM DATA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (1) • La parte plastica (resistente, elastica, economica). • Materiali più usati: PVC, ABS, Melinex, ecc. • Il processore è di tipo CISC con clock a 5 Mhz (tipico). • Le Java card portano verso architetture a 32 bit. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (2) • ROM: Read Only Memory • Contiene il sistema operativo della smart card e programmi “fissi”. • Dimensione variabile tra 2k e 64k. • Dopo la scrittura non è modificabile. • PROM: Programmable Read Only Memory • Contiene il numero seriale della smart card. • Molto piccola. Generalmente appena 32/64 byte. • EEPROM: Electrically Erasable Read Only Memory • Memorizza informazioni variabili (tipo hard disk); capacità verso i 128k. • Contiene le applicazioni e i dati. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (3) • RAM: Random Access Memory • Utilizzata per memorizzazioni temporanee. • Si cancella quando si sfila la smart card (power off). • Varia in genere tra i 128 byte e i 1024 byte. • Interfaccia per Input/Output. • Spesso la velocità del flusso dati è 9600 bit/sec. • Vengono utilizzati due protocolli denominati T=0 e T=1 • Vengono raggiunte velocità di 115200 bit/sec Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (4) • Le smart card da sole sono inutilizzabili. Necessitano di un lettore. • In verità si tratta di un lettore/scrittore. • I lettori sono di due tipi • A inserzione • Motorizzati (Utilizzati per gli ATM) • Alcuni lettori sono dotati di un tastierino numerico per l’inserimento del PIN. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (1) • Questi standard sono stati sviluppati per incoraggiare l’interoperabilità. • Gli standard più importanti relativi alle smart card sono: • ISO 7816 (al momento 11 parti + PKCS#15) • EMV (Europay Mastercard Visa) • GSM (Global System for Mobile communication) • OCF (Open Card Foundation) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (2) ISO 7816 Parte I: • segue ISO 7810. • Definisce le caratteristiche fisiche di una smart card. • • • • • Dimensioni fisiche. Risposte ai raggi X e alla luce UV. Resistenza meccanica. Caratteristiche dei contatti elettrici. Risposte ai campi elettromagnetici e alla elettricità statica. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (3) ISO 7816 Parte II: • segue ISO 7811. • Questo documento descrive: • • • • • Le dimensioni dei contatti. Il posizionamento dei contatti. Il posizionamento dell’embossing (scritte in rilievo). Il posizionamento della banda magnetica. La struttura del chip. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (4) ISO 7816 Parte III: • Un documento cruciale. • Questo documento descrive : • • • • I protocolli di comunicazione. Le funzioni dei vari contatti sulle smart card. Le caratteristiche elettriche di base. Struttura di ATR (Answer to Reset). • I fornitori che si dichiarano conformi agli standard ISO 7816 sono sostanzialmente conformi a queste parti I, II e III. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (5) ISO 7816 Parte IV: • Comandi per l’intercambiabilità. • Questo documento descrive : • • • • I comandi, i messaggi e le risposte tra la smart card e il terminale. La struttura logica dei file e dei dati memorizzati. I meccanismi di protezione dell’accesso agli stessi. Il secure messaging. • Le maggiori modifiche realizzate dai fornitori nell’ambito del protocollo d’intesa 13 maggio 2003 sono state applicate in base a questo documento. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (6) ISO 7816 Parte V, VI e VII: • Procedure di registrazione e sistemi di numerazione (parte V). • Definizione dei dati (parte VI). • Definisce il formato dei dati e le regole di costruzione dei dati memorizzati sulla smart card e scambiati con il terminale. • Comandi per interrogazioni strutturate. • Definizione del SCQL (Structured Card Query Language). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (7) ISO 7816 Parte VIII, IX e X: • Comandi relativi alla sicurezza (parte VIII). • Comandi addizionali e attributi di sicurezza (parte IX). • Descrive il ciclo di vita della smart card con i relativi attributi di sicurezza. • Segnali elettrici e “Answer to Reset”. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (8) • Lo standard EMV (2000) “Integrated Circuit Card Specification for Payment Systems” è composto da quattro documenti. • • • • 1 : Application Independent ICC to Terminal Interface Requirements. 2 : Security and Key Management. 3 : Application Specification. 4 : Cardholder, Attendant, and Acquirer Interface Requirements. • Approfondimenti disponibili su www.emvco.com Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (9) • GSM: Global System for Mobile communication. • La SIM card del telefono cellulare è una smart card. • OCF: Open Card Framework • rappresenta un’infrastruttura software di tipo object oriented per l’accesso alle smart card. • PKCS#15: Cryptographic Token Information Format Standard. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (10) • Carte con lettori senza contatto (contactless). • Utilizzate per situazioni di “transito” (skipass, trasporti, ecc.). • La distanza carta-lettore può variare da pochi centimetri (carta di prossimità) a qualche metro. • Le normative di riferimento sono ISO 10536, 14443, 15693 (RFID). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principali applicazioni delle smart card • Telefonia (SIM CARD ora anche Java) • Carte debito/credito (EMV) • Salute (NETLINK) • Trasporti (ISO 14443) • Controllo di accesso (Smart Logon) • Supporto alla biometria (Match on Card) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Identificazione e Autenticazione in rete (1) Funzioni di autenticazione • Viene utilizzata l’autenticazione forte, in modalità challenge-response basata su una PKI. Il certificato di autenticazione è a carico del circuito di emissione. • E’ definita una pila “di interoperabilità”: Application Crypto middleware API Cripto middleware (client/server) PKCS #11 API PKCS # 11 for RSA criptography ISO 7816-4 , APDU commands Client smart card device interface ISO 7816-3, ATR & T=0/1 protocol Smart card on board sw & o.s. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Identificazione e autenticazione in rete (2) • Se il servizio richiede l’installazione nella carta di strutture dati particolari (in generale EF in DF predefiniti) deve essere garantito un canale sicuro tra il server e la carta utilizzando ad esempio meccanismi crittografici basati sulle session key. • Informazioni di revoca o sospensione mediante CRL o OCSP • Con elevati numeri di carte emesse è indispensabile ripensare il modello di gestione dei certificati revocati. • E’ bene ricordare che i certificati revocati sono anche quelli delle smart card guaste o danneggiate con l’uso. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Portabilità e interoperabilità (1) • Accordo in fase di definizione con TUTTI i produttori di smart card • Alcuni elementi tecnici: Alimentazione: 5 volt Protocollo: T=1 (asincrono a blocchi) Velocità: procedura ISO PPS da 115kbps (utilizzo del DIV secondo ISO 7816-3) ATR: da registrare a cura dell’emettitore Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Portabilità e interoperabilità (2) • Modifica (verso gli standard ISO 7816) di alcune APDU • Introduzione della APDU “CHANGE KEY DATA” per evitare la gestione delle chiavi DES e RSA, in modo improprio, con il comando “CHANGE REFERENCE DATA”. • Utilizzo di “SECURE MESSAGING” o “Security officer PIN”. • Nuovo manuale delle APDU allegato al protocollo d’intesa 13 maggio 2003. • Due costruttori sono, al momento, conformi al protocollo. Altri rivendono la tecnologia di questi. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Vincoli Sul File System Della Carta Quanto fatto per la CIE rimane inalterato (autenticazione e Netlink). • Bisogna porre dei vincoli per la firma digitale. • PIN e PUK dedicati alla funzione • Il file system subisce i vincoli derivanti dalla certificazione necessario per disporre del “dispositivo sicuro per la creazione della firma” previsto dalla direttiva 1999/93/CE. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Un esempio di file system Organizzazione (Norma ISO 7816 - 4) I dati sono organizzati in un file system gerarchico. Master File (MF) è la “root” del file system, ed è selezionato automaticamente al reset. MF EF 0 EF n DF 0 EF 00 Elementary File (EF) sono I “repository” dei dati. Dedicated File (DF) sono le “directory” del file system e possono contenere sia DF che “EF”. Esse consentono di installare più di un’applicazione all’interno della Smart Card. Seminario di studio CNIPA EF 0n DF n DF n0 EF n0 EF n00 EF n0n EF nn Smart card tecnologie e applicazioni nella PA – G. Manca Librerie crittografiche PKCS#11 (1) Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici. Forniscono una interfaccia standard che è indipendente dal dispositivo crittografico per cui sono state sviluppate. Rendono le applicazioni in cui la crittografia è trattata con queste API largamente indipendenti dai dispositivi. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Librerie crittografiche PKCS#11 (2) Vincolano all’utilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a smart card di differenti fornitori di poter operare sulla stessa piattaforma applicativa. Questo dipende da APDU proprietarie o da file system specifici. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Sintesi dello scenario generale Carta d’Identità Elettronica (CIE) Permesso di Soggiorno Elettronico (PSE) Carta Nazionale dei Servizi (CNS) Carta multiservizi del dipendente (CMD) Tessera Sanitaria (TS) Codice Fiscale (CF) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca La situazione legislativa DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004). Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n.3. Regole tecniche per l’emissione della CNS approvate dal Gruppo di lavoro interministeriale e diramate per l’acquisizione dei pareri istituzionali. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali della CNS “il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni”. “La carta nazionale dei servizi, in attesa della carta d’identità elettronica, è emessa al fine di anticiparne le funzioni di accesso ai servizi in rete delle pubbliche amministrazioni”. La CNS non identifica a vista. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi tecnici generali della CNS (1) I microchip di CIE e CNS sono funzionalmente omogenei. La CNS deve contenere un certificato di autenticazione, le cui caratteristiche sono stabilite dalle regole tecniche, rilasciato da un certificatore accreditato. I dati identificativi della CNS sono verificati tramite il sistema informativo del Centro Nazionale per i Servizi Demografici (Min. Interno). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi tecnici generali della CNS (2) Le strutture dati sanitarie (facoltative per i comuni privi di specifici accordi con le Regioni) sono conformi alle specifiche Nelink. La CNS può contenere le informazioni per la firma digitale. La CNS può essere utilizzata anche per i pagamenti informatici tra soggetti privati e pubbliche amministrazioni. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali organizzativi (1) Tutte le PP.AA. che erogano servizi in rete devono garantirne l’accesso ai titolari di CIE/CNS. La CNS riporta impresso, sul dorso, la dicitura “CARTA NAZIONALE DEI SERVIZI”. L’amministrazione può disporre la revoca. Le informazioni anagrafiche relative alle carte CNS sono allineate con il sistema INA-SAIA (Indice Nazionale delle Anagrafi). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali organizzativi (2) Il codice fiscale del titolare della CNS deve essere “verificato”. La CNS non contiene dati sanitari ma consente di usufruire del SSN. “I dati personali forniti ai fini dell’accesso a servizi, compreso il codice fiscale, sono utilizzabili unicamente con le modalità tecniche necessarie per identificare l’interessato e per verificare la sua legittimazione al servizio”. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Requisiti di sicurezza dei produttori Sicurezza specifica per le chiavi Netlink Le regole tecniche prevedono delle policy generali per lo stabilimento di produzione e per le fasi di creazione della carta (embedding) e inizializzazione e prepersonalizzazione. Le PP.AA. dovranno prevedere dei processi di vigilanza sulla produzione. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Per maggiori informazioni: www.cnipa.gov.it Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca