...

Documento in formato

by user

on
Category: Documents
11

views

Report

Comments

Transcript

Documento in formato
SMART CARD
tecnologie ed applicazioni nella PA
Ing. Giovanni Manca
Dirigente CNIPA
Centro Nazionale per l’informatica nella pubblica amministrazione
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
AGENDA
• Descrizione generale della tecnologia
• Le funzionalità tecniche
• Sintesi dello scenario generale delle carte
• La CNS
• Aspetti generali
• Aspetti tecnici
• Aspetti organizzativi e di sicurezza
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
L’architettura generale (1)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
L’architettura generale (2)
Reset
Clock
0V
5V
n.c.
I/O
Seminario di studio CNIPA
I
N
T
E
R
F
A
C
C
I
A
INDIRIZZI
CPU
o
CPU
+
Co Pro
RAM
ROM
EEPROM
DATA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (1)
• La parte plastica (resistente, elastica, economica).
• Materiali più usati: PVC, ABS, Melinex, ecc.
• Il processore è di tipo CISC con clock a 5 Mhz (tipico).
• Le Java card portano verso architetture a 32 bit.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (2)
• ROM: Read Only Memory
• Contiene il sistema operativo della smart card e programmi “fissi”.
• Dimensione variabile tra 2k e 64k.
• Dopo la scrittura non è modificabile.
• PROM: Programmable Read Only Memory
• Contiene il numero seriale della smart card.
• Molto piccola. Generalmente appena 32/64 byte.
• EEPROM: Electrically Erasable Read Only Memory
• Memorizza informazioni variabili (tipo hard disk); capacità verso i 128k.
• Contiene le applicazioni e i dati.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (3)
• RAM: Random Access Memory
• Utilizzata per memorizzazioni temporanee.
• Si cancella quando si sfila la smart card (power off).
• Varia in genere tra i 128 byte e i 1024 byte.
• Interfaccia per Input/Output.
• Spesso la velocità del flusso dati è 9600 bit/sec.
• Vengono utilizzati due protocolli denominati T=0 e T=1
• Vengono raggiunte velocità di 115200 bit/sec
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (4)
• Le smart card da sole sono inutilizzabili. Necessitano di un lettore.
• In verità si tratta di un lettore/scrittore.
• I lettori sono di due tipi
• A inserzione
• Motorizzati (Utilizzati per gli ATM)
• Alcuni lettori sono dotati di un tastierino numerico per l’inserimento del PIN.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (1)
• Questi standard sono stati sviluppati per incoraggiare l’interoperabilità.
• Gli standard più importanti relativi alle smart card sono:
• ISO 7816 (al momento 11 parti + PKCS#15)
• EMV (Europay Mastercard Visa)
• GSM (Global System for Mobile communication)
• OCF (Open Card Foundation)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (2)
ISO 7816 Parte I:
• segue ISO 7810.
• Definisce le caratteristiche fisiche di una smart card.
•
•
•
•
•
Dimensioni fisiche.
Risposte ai raggi X e alla luce UV.
Resistenza meccanica.
Caratteristiche dei contatti elettrici.
Risposte ai campi elettromagnetici e alla elettricità statica.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (3)
ISO 7816 Parte II:
• segue ISO 7811.
• Questo documento descrive:
•
•
•
•
•
Le dimensioni dei contatti.
Il posizionamento dei contatti.
Il posizionamento dell’embossing (scritte in rilievo).
Il posizionamento della banda magnetica.
La struttura del chip.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (4)
ISO 7816 Parte III:
• Un documento cruciale.
• Questo documento descrive :
•
•
•
•
I protocolli di comunicazione.
Le funzioni dei vari contatti sulle smart card.
Le caratteristiche elettriche di base.
Struttura di ATR (Answer to Reset).
• I fornitori che si dichiarano conformi agli standard ISO 7816 sono
sostanzialmente conformi a queste parti I, II e III.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (5)
ISO 7816 Parte IV:
• Comandi per l’intercambiabilità.
• Questo documento descrive :
•
•
•
•
I comandi, i messaggi e le risposte tra la smart card e il terminale.
La struttura logica dei file e dei dati memorizzati.
I meccanismi di protezione dell’accesso agli stessi.
Il secure messaging.
• Le maggiori modifiche realizzate dai fornitori nell’ambito del protocollo
d’intesa 13 maggio 2003 sono state applicate in base a questo documento.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (6)
ISO 7816 Parte V, VI e VII:
• Procedure di registrazione e sistemi di numerazione (parte V).
• Definizione dei dati (parte VI).
• Definisce il formato dei dati e le regole di costruzione dei dati
memorizzati sulla smart card e scambiati con il terminale.
• Comandi per interrogazioni strutturate.
• Definizione del SCQL (Structured Card Query Language).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (7)
ISO 7816 Parte VIII, IX e X:
• Comandi relativi alla sicurezza (parte VIII).
• Comandi addizionali e attributi di sicurezza (parte IX).
• Descrive il ciclo di vita della smart card con i relativi attributi di
sicurezza.
• Segnali elettrici e “Answer to Reset”.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (8)
• Lo standard EMV (2000) “Integrated Circuit Card Specification for Payment
Systems” è composto da quattro documenti.
•
•
•
•
1 : Application Independent ICC to Terminal Interface Requirements.
2 : Security and Key Management.
3 : Application Specification.
4 : Cardholder, Attendant, and Acquirer Interface Requirements.
• Approfondimenti disponibili su www.emvco.com
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (9)
• GSM: Global System for Mobile communication.
• La SIM card del telefono cellulare è una smart card.
• OCF: Open Card Framework
• rappresenta un’infrastruttura software di tipo object oriented per l’accesso alle
smart card.
• PKCS#15: Cryptographic Token Information Format Standard.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (10)
• Carte con lettori senza contatto (contactless).
• Utilizzate per situazioni di “transito” (skipass, trasporti, ecc.).
• La distanza carta-lettore può variare da pochi centimetri (carta di prossimità)
a qualche metro.
• Le normative di riferimento sono ISO 10536, 14443, 15693 (RFID).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principali applicazioni delle smart card
• Telefonia (SIM CARD ora anche Java)
• Carte debito/credito (EMV)
• Salute (NETLINK)
• Trasporti (ISO 14443)
• Controllo di accesso (Smart Logon)
• Supporto alla biometria (Match on Card)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Identificazione e Autenticazione in rete (1)
Funzioni di autenticazione
• Viene utilizzata l’autenticazione forte, in modalità challenge-response basata su
una PKI. Il certificato di autenticazione è a carico del circuito di emissione.
• E’ definita una pila “di interoperabilità”:
Application
Crypto middleware API
Cripto middleware (client/server)
PKCS #11 API
PKCS # 11 for RSA criptography
ISO 7816-4 , APDU commands
Client smart card device interface
ISO 7816-3, ATR & T=0/1 protocol
Smart card on board sw & o.s.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Identificazione e autenticazione in rete (2)
• Se il servizio richiede l’installazione nella carta di strutture dati particolari (in
generale EF in DF predefiniti) deve essere garantito un canale sicuro tra il
server e la carta utilizzando ad esempio meccanismi crittografici basati sulle
session key.
• Informazioni di revoca o sospensione mediante CRL o OCSP
• Con elevati numeri di carte emesse è indispensabile ripensare il modello di
gestione dei certificati revocati.
• E’ bene ricordare che i certificati revocati sono anche quelli delle smart card
guaste o danneggiate con l’uso.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Portabilità e interoperabilità (1)
• Accordo in fase di definizione con TUTTI i produttori di smart card
• Alcuni elementi tecnici:
 Alimentazione: 5 volt
 Protocollo: T=1 (asincrono a blocchi)
 Velocità: procedura ISO PPS da 115kbps (utilizzo del DIV secondo ISO
7816-3)
 ATR: da registrare a cura dell’emettitore
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Portabilità e interoperabilità (2)
• Modifica (verso gli standard ISO 7816) di alcune APDU
• Introduzione della APDU “CHANGE KEY DATA” per evitare la gestione
delle chiavi DES e RSA, in modo improprio, con il comando “CHANGE
REFERENCE DATA”.
• Utilizzo di “SECURE MESSAGING” o “Security officer PIN”.
• Nuovo manuale delle APDU allegato al protocollo d’intesa 13 maggio 2003.
• Due costruttori sono, al momento, conformi al protocollo. Altri rivendono la
tecnologia di questi.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Vincoli Sul File System Della Carta
 Quanto fatto per la CIE rimane inalterato (autenticazione e
Netlink).
• Bisogna porre dei vincoli per la firma digitale.
• PIN e PUK dedicati alla funzione
• Il file system subisce i vincoli derivanti dalla certificazione
necessario per disporre del “dispositivo sicuro per la creazione
della firma” previsto dalla direttiva 1999/93/CE.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Un esempio di file system
Organizzazione (Norma ISO 7816 - 4)
I dati sono organizzati in un file system
gerarchico.



Master File (MF) è la “root” del file
system, ed è selezionato automaticamente al
reset.
MF
EF 0
EF n
DF 0
EF 00
Elementary File (EF) sono I “repository”
dei dati.
Dedicated File (DF) sono le “directory”
del file system e possono contenere sia DF
che “EF”. Esse consentono di installare più
di un’applicazione all’interno della Smart
Card.
Seminario di studio CNIPA
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
Smart card tecnologie e applicazioni nella PA – G. Manca
Librerie crittografiche PKCS#11 (1)

Le PKCS#11 sono delle Application Programming Interface
(API) che interfacciano dispositivi crittografici ovvero
dispositivi che memorizzano chiavi e sviluppano calcoli
crittografici.

Forniscono una interfaccia standard che è indipendente dal
dispositivo crittografico per cui sono state sviluppate.

Rendono le applicazioni in cui la crittografia è trattata con
queste API largamente indipendenti dai dispositivi.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Librerie crittografiche PKCS#11 (2)

Vincolano all’utilizzo del dispositivo crittografico per cui
sono state sviluppate ovvero non consentono a smart card
di differenti fornitori di poter operare sulla stessa
piattaforma applicativa.

Questo dipende da APDU proprietarie o da file system
specifici.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Sintesi dello scenario generale

Carta d’Identità Elettronica (CIE)

Permesso di Soggiorno Elettronico (PSE)

Carta Nazionale dei Servizi (CNS)

Carta multiservizi del dipendente (CMD)

Tessera Sanitaria (TS)

Codice Fiscale (CF)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
La situazione legislativa

DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).
Regolamento concernente la diffusione della carta
nazionale dei servizi, a norma dell’articolo 27, comma 8,
lettera b), della legge 16 gennaio 2003, n.3.

Regole tecniche per l’emissione della CNS approvate dal
Gruppo di lavoro interministeriale e diramate per
l’acquisizione dei pareri istituzionali.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali della CNS

“il documento rilasciato su supporto informatico per
consentire l’accesso per via telematica ai servizi erogati
dalle pubbliche amministrazioni”.

“La carta nazionale dei servizi, in attesa della carta
d’identità elettronica, è emessa al fine di anticiparne le
funzioni di accesso ai servizi in rete delle pubbliche
amministrazioni”.

La CNS non identifica a vista.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi tecnici generali della CNS (1)

I microchip di CIE e CNS sono funzionalmente omogenei.

La CNS deve contenere un certificato di autenticazione, le
cui caratteristiche sono stabilite dalle regole tecniche,
rilasciato da un certificatore accreditato.

I dati identificativi della CNS sono verificati tramite il
sistema informativo del Centro Nazionale per i Servizi
Demografici (Min. Interno).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi tecnici generali della CNS (2)

Le strutture dati sanitarie (facoltative per i comuni privi di
specifici accordi con le Regioni) sono conformi alle
specifiche Nelink.

La CNS può contenere le informazioni per la firma digitale.

La CNS può essere utilizzata anche per i pagamenti
informatici tra soggetti privati e pubbliche amministrazioni.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali organizzativi (1)

Tutte le PP.AA. che erogano servizi in rete devono
garantirne l’accesso ai titolari di CIE/CNS.

La CNS riporta impresso, sul dorso, la dicitura “CARTA
NAZIONALE DEI SERVIZI”.

L’amministrazione può disporre la revoca.

Le informazioni anagrafiche relative alle carte CNS sono
allineate con il sistema INA-SAIA (Indice Nazionale delle
Anagrafi).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali organizzativi (2)

Il codice fiscale del titolare della CNS deve essere
“verificato”.

La CNS non contiene dati sanitari ma consente di usufruire
del SSN.

“I dati personali forniti ai fini dell’accesso a servizi,
compreso il codice fiscale, sono utilizzabili unicamente con
le modalità tecniche necessarie per identificare
l’interessato e per verificare la sua legittimazione al
servizio”.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Requisiti di sicurezza dei produttori

Sicurezza specifica per le chiavi Netlink

Le regole tecniche prevedono delle policy generali per lo
stabilimento di produzione e per le fasi di creazione della
carta (embedding) e inizializzazione e prepersonalizzazione.

Le PP.AA. dovranno prevedere dei processi di vigilanza
sulla produzione.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Per maggiori informazioni:
www.cnipa.gov.it
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Fly UP