SMART CARD
tecnologie ed applicazioni nella PA
Ing. Giovanni Manca
Dirigente CNIPA
Centro Nazionale per l’informatica nella pubblica amministrazione
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
AGENDA
• Descrizione generale della tecnologia
• Le funzionalità tecniche
• Sintesi dello scenario generale delle carte
• La CNS
• Aspetti generali
• Aspetti tecnici
• Aspetti organizzativi e di sicurezza
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
L’architettura generale (1)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
L’architettura generale (2)
Reset
Clock
0V
5V
n.c.
I/O
Seminario di studio CNIPA
I
N
T
E
R
F
A
C
C
I
A
INDIRIZZI
CPU
o
CPU
+
Co Pro
RAM
ROM
EEPROM
DATA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (1)
• La parte plastica (resistente, elastica, economica).
• Materiali più usati: PVC, ABS, Melinex, ecc.
• Il processore è di tipo CISC con clock a 5 Mhz (tipico).
• Le Java card portano verso architetture a 32 bit.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (2)
•
ROM: Read Only Memory
• Contiene il sistema operativo della smart card e programmi “fissi”.
• Dimensione variabile tra 2k e 64k.
• Dopo la scrittura non è modificabile.
•
PROM: Programmable Read Only Memory
• Contiene il numero seriale della smart card.
• Molto piccola. Generalmente appena 32/64 byte.
•
EEPROM: Electrically Erasable Read Only Memory
• Memorizza informazioni variabili (tipo hard disk); capacità verso i 128k.
• Contiene le applicazioni e i dati.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (3)
•
RAM: Random Access Memory
• Utilizzata per memorizzazioni temporanee.
• Si cancella quando si sfila la smart card (power off).
• Varia in genere tra i 128 byte e i 1024 byte.
•
Interfaccia per Input/Output.
• Spesso la velocità del flusso dati è 9600 bit/sec.
• Vengono utilizzati due protocolli denominati T=0 e T=1
• Vengono raggiunte velocità di 115200 bit/sec
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Le componenti delle smart card (4)
•
Le smart card da sole sono inutilizzabili. Necessitano di un lettore.
•
In verità si tratta di un lettore/scrittore.
•
I lettori sono di due tipi
• A inserzione
• Motorizzati (Utilizzati per gli ATM)
•
Alcuni lettori sono dotati di un tastierino numerico per l’inserimento del PIN.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (1)
•
Questi standard sono stati sviluppati per incoraggiare l’interoperabilità.
•
Gli standard più importanti relativi alle smart card sono:
• ISO 7816 (al momento 11 parti + PKCS#15)
• EMV (Europay Mastercard Visa)
• GSM (Global System for Mobile communication)
• OCF (Open Card Foundation)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (2)
ISO 7816 Parte I:
•
segue ISO 7810.
•
Definisce le caratteristiche fisiche di una smart card.
•
•
•
•
•
Dimensioni fisiche.
Risposte ai raggi X e alla luce UV.
Resistenza meccanica.
Caratteristiche dei contatti elettrici.
Risposte ai campi elettromagnetici e alla elettricità statica.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (3)
ISO 7816 Parte II:
•
segue ISO 7811.
•
Questo documento descrive:
•
•
•
•
•
Le dimensioni dei contatti.
Il posizionamento dei contatti.
Il posizionamento dell’embossing (scritte in rilievo).
Il posizionamento della banda magnetica.
La struttura del chip.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (4)
ISO 7816 Parte III:
•
Un documento cruciale.
•
Questo documento descrive :
•
•
•
•
•
I protocolli di comunicazione.
Le funzioni dei vari contatti sulle smart card.
Le caratteristiche elettriche di base.
Struttura di ATR (Answer to Reset).
I fornitori che si dichiarano conformi agli standard ISO 7816 sono
sostanzialmente conformi a queste parti I, II e III.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (5)
ISO 7816 Parte IV:
•
Comandi per l’intercambiabilità.
•
Questo documento descrive :
•
•
•
•
•
I comandi, i messaggi e le risposte tra la smart card e il terminale.
La struttura logica dei file e dei dati memorizzati.
I meccanismi di protezione dell’accesso agli stessi.
Il secure messaging.
Le maggiori modifiche realizzate dai fornitori nell’ambito del protocollo
d’intesa 13 maggio 2003 sono state applicate in base a questo documento.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (6)
ISO 7816 Parte V, VI e VII:
• Procedure di registrazione e sistemi di numerazione (parte V).
• Definizione dei dati (parte VI).
• Definisce il formato dei dati e le regole di costruzione dei dati
memorizzati sulla smart card e scambiati con il terminale.
• Comandi per interrogazioni strutturate.
• Definizione del SCQL (Structured Card Query Language).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (7)
ISO 7816 Parte VIII, IX e X:
• Comandi relativi alla sicurezza (parte VIII).
• Comandi addizionali e attributi di sicurezza (parte IX).
• Descrive il ciclo di vita della smart card con i relativi attributi di
sicurezza.
• Segnali elettrici e “Answer to Reset”.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (8)
•
Lo standard EMV (2000) “Integrated Circuit Card Specification for Payment
Systems” è composto da quattro documenti.
•
•
•
•
1 : Application Independent ICC to Terminal Interface Requirements.
2 : Security and Key Management.
3 : Application Specification.
4 : Cardholder, Attendant, and Acquirer Interface Requirements.
•
Approfondimenti disponibili su www.emvco.com
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (9)
•
GSM: Global System for Mobile communication.
• La SIM card del telefono cellulare è una smart card.
•
OCF: Open Card Framework
• rappresenta un’infrastruttura software di tipo object oriented per l’accesso alle
smart card.
•
PKCS#15: Cryptographic Token Information Format Standard.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Gli standard delle smart card (10)
•
Carte con lettori senza contatto (contactless).
• Utilizzate per situazioni di “transito” (skipass, trasporti, ecc.).
• La distanza carta-lettore può variare da pochi centimetri (carta di prossimità)
a qualche metro.
• Le normative di riferimento sono ISO 10536, 14443, 15693 (RFID).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principali applicazioni delle smart card
•
Telefonia (SIM CARD ora anche Java)
•
Carte debito/credito (EMV)
•
Salute (NETLINK)
•
Trasporti (ISO 14443)
•
Controllo di accesso (Smart Logon)
•
Supporto alla biometria (Match on Card)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Identificazione e Autenticazione in rete (1)
Funzioni di autenticazione
• Viene utilizzata l’autenticazione forte, in modalità challenge-response basata su
una PKI. Il certificato di autenticazione è a carico del circuito di emissione.
• E’ definita una pila “di interoperabilità”:
Application
Crypto middleware API
Cripto middleware (client/server)
PKCS #11 API
PKCS # 11 for RSA criptography
ISO 7816-4 , APDU commands
Client smart card device interface
ISO 7816-3, ATR & T=0/1 protocol
Smart card on board sw & o.s.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Identificazione e autenticazione in rete (2)
•
Se il servizio richiede l’installazione nella carta di strutture dati particolari (in
generale EF in DF predefiniti) deve essere garantito un canale sicuro tra il
server e la carta utilizzando ad esempio meccanismi crittografici basati sulle
session key.
•
Informazioni di revoca o sospensione mediante CRL o OCSP
• Con elevati numeri di carte emesse è indispensabile ripensare il modello di
gestione dei certificati revocati.
• E’ bene ricordare che i certificati revocati sono anche quelli delle smart card
guaste o danneggiate con l’uso.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Portabilità e interoperabilità (1)
•
Accordo in fase di definizione con TUTTI i produttori di smart card
•
Alcuni elementi tecnici:
Ž Alimentazione: 5 volt
Ž Protocollo: T=1 (asincrono a blocchi)
Ž Velocità: procedura ISO PPS da 115kbps (utilizzo del DIV secondo ISO
7816-3)
Ž ATR: da registrare a cura dell’emettitore
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Portabilità e interoperabilità (2)
•
Modifica (verso gli standard ISO 7816) di alcune APDU
•
Introduzione della APDU “CHANGE KEY DATA” per evitare la gestione
delle chiavi DES e RSA, in modo improprio, con il comando “CHANGE
REFERENCE DATA”.
•
Utilizzo di “SECURE MESSAGING” o “Security officer PIN”.
•
Nuovo manuale delle APDU allegato al protocollo d’intesa 13 maggio 2003.
•
Due costruttori sono, al momento, conformi al protocollo. Altri rivendono la
tecnologia di questi.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Vincoli Sul File System Della Carta
Ž Quanto fatto per la CIE rimane inalterato (autenticazione e
Netlink).
• Bisogna porre dei vincoli per la firma digitale.
• PIN e PUK dedicati alla funzione
• Il file system subisce i vincoli derivanti dalla certificazione
necessario per disporre del “dispositivo sicuro per la creazione
della firma” previsto dalla direttiva 1999/93/CE.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Un esempio di file system
Organizzazione (Norma ISO 7816 - 4)
I dati sono organizzati in un file system
gerarchico.
‰
Master File (MF) è la “root” del file
system, ed è selezionato automaticamente al
reset.
‰
Elementary File (EF) sono I “repository”
dei dati.
‰
Dedicated File (DF) sono le “directory”
del file system e possono contenere sia DF
che “EF”. Esse consentono di installare più
di un’applicazione all’interno della Smart
Card.
Seminario di studio CNIPA
MF
EF 0
EF n
DF 0
EF 00
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
Smart card tecnologie e applicazioni nella PA – G. Manca
Librerie crittografiche PKCS#11 (1)
z
Le PKCS#11 sono delle Application Programming Interface
(API) che interfacciano dispositivi crittografici ovvero
dispositivi che memorizzano chiavi e sviluppano calcoli
crittografici.
z
Forniscono una interfaccia standard che è indipendente dal
dispositivo crittografico per cui sono state sviluppate.
z
Rendono le applicazioni in cui la crittografia è trattata con
queste API largamente indipendenti dai dispositivi.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Librerie crittografiche PKCS#11 (2)
z
Vincolano all’utilizzo del dispositivo crittografico per cui
sono state sviluppate ovvero non consentono a smart card
di differenti fornitori di poter operare sulla stessa
piattaforma applicativa.
z
Questo dipende da APDU proprietarie o da file system
specifici.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Sintesi dello scenario generale
z
Carta d’Identità Elettronica (CIE)
z
Permesso di Soggiorno Elettronico (PSE)
z
Carta Nazionale dei Servizi (CNS)
z
Carta multiservizi del dipendente (CMD)
z
Tessera Sanitaria (TS)
z
Codice Fiscale (CF)
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
La situazione legislativa
z
DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004).
Regolamento concernente la diffusione della carta
nazionale dei servizi, a norma dell’articolo 27, comma 8,
lettera b), della legge 16 gennaio 2003, n.3.
z
Regole tecniche per l’emissione della CNS approvate dal
Gruppo di lavoro interministeriale e diramate per
l’acquisizione dei pareri istituzionali.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali della CNS
z
“il documento rilasciato su supporto informatico per
consentire l’accesso per via telematica ai servizi erogati
dalle pubbliche amministrazioni”.
z
“La carta nazionale dei servizi, in attesa della carta
d’identità elettronica, è emessa al fine di anticiparne le
funzioni di accesso ai servizi in rete delle pubbliche
amministrazioni”.
z
La CNS non identifica a vista.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi tecnici generali della CNS (1)
z
I microchip di CIE e CNS sono funzionalmente omogenei.
z
La CNS deve contenere un certificato di autenticazione, le
cui caratteristiche sono stabilite dalle regole tecniche,
rilasciato da un certificatore accreditato.
z
I dati identificativi della CNS sono verificati tramite il
sistema informativo del Centro Nazionale per i Servizi
Demografici (Min. Interno).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi tecnici generali della CNS (2)
z
Le strutture dati sanitarie (facoltative per i comuni privi di
specifici accordi con le Regioni) sono conformi alle
specifiche Nelink.
z
La CNS può contenere le informazioni per la firma digitale.
z
La CNS può essere utilizzata anche per i pagamenti
informatici tra soggetti privati e pubbliche amministrazioni.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali organizzativi (1)
z
Tutte le PP.AA. che erogano servizi in rete devono
garantirne l’accesso ai titolari di CIE/CNS.
z
La CNS riporta impresso, sul dorso, la dicitura “CARTA
NAZIONALE DEI SERVIZI”.
z
L’amministrazione può disporre la revoca.
z
Le informazioni anagrafiche relative alle carte CNS sono
allineate con il sistema INA-SAIA (Indice Nazionale delle
Anagrafi).
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Principi generali organizzativi (2)
z
Il codice fiscale del titolare della CNS deve essere
“verificato”.
z
La CNS non contiene dati sanitari ma consente di usufruire
del SSN.
z
“I dati personali forniti ai fini dell’accesso a servizi,
compreso il codice fiscale, sono utilizzabili unicamente con
le modalità tecniche necessarie per identificare
l’interessato e per verificare la sua legittimazione al
servizio”.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Requisiti di sicurezza dei produttori
z
Sicurezza specifica per le chiavi Netlink
z
Le regole tecniche prevedono delle policy generali per lo
stabilimento di produzione e per le fasi di creazione della
carta (embedding) e inizializzazione e prepersonalizzazione.
z
Le PP.AA. dovranno prevedere dei processi di vigilanza
sulla produzione.
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Per maggiori informazioni:
www.cnipa.gov.it
Seminario di studio CNIPA
Smart card tecnologie e applicazioni nella PA – G. Manca
Scarica

Seminario CNIPA Smart Card - Agenzia per l`Italia digitale