SMART CARD tecnologie ed applicazioni nella PA Ing. Giovanni Manca Dirigente CNIPA Centro Nazionale per l’informatica nella pubblica amministrazione Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca AGENDA • Descrizione generale della tecnologia • Le funzionalità tecniche • Sintesi dello scenario generale delle carte • La CNS • Aspetti generali • Aspetti tecnici • Aspetti organizzativi e di sicurezza Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca L’architettura generale (1) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca L’architettura generale (2) Reset Clock 0V 5V n.c. I/O Seminario di studio CNIPA I N T E R F A C C I A INDIRIZZI CPU o CPU + Co Pro RAM ROM EEPROM DATA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (1) • La parte plastica (resistente, elastica, economica). • Materiali più usati: PVC, ABS, Melinex, ecc. • Il processore è di tipo CISC con clock a 5 Mhz (tipico). • Le Java card portano verso architetture a 32 bit. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (2) • ROM: Read Only Memory • Contiene il sistema operativo della smart card e programmi “fissi”. • Dimensione variabile tra 2k e 64k. • Dopo la scrittura non è modificabile. • PROM: Programmable Read Only Memory • Contiene il numero seriale della smart card. • Molto piccola. Generalmente appena 32/64 byte. • EEPROM: Electrically Erasable Read Only Memory • Memorizza informazioni variabili (tipo hard disk); capacità verso i 128k. • Contiene le applicazioni e i dati. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (3) • RAM: Random Access Memory • Utilizzata per memorizzazioni temporanee. • Si cancella quando si sfila la smart card (power off). • Varia in genere tra i 128 byte e i 1024 byte. • Interfaccia per Input/Output. • Spesso la velocità del flusso dati è 9600 bit/sec. • Vengono utilizzati due protocolli denominati T=0 e T=1 • Vengono raggiunte velocità di 115200 bit/sec Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Le componenti delle smart card (4) • Le smart card da sole sono inutilizzabili. Necessitano di un lettore. • In verità si tratta di un lettore/scrittore. • I lettori sono di due tipi • A inserzione • Motorizzati (Utilizzati per gli ATM) • Alcuni lettori sono dotati di un tastierino numerico per l’inserimento del PIN. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (1) • Questi standard sono stati sviluppati per incoraggiare l’interoperabilità. • Gli standard più importanti relativi alle smart card sono: • ISO 7816 (al momento 11 parti + PKCS#15) • EMV (Europay Mastercard Visa) • GSM (Global System for Mobile communication) • OCF (Open Card Foundation) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (2) ISO 7816 Parte I: • segue ISO 7810. • Definisce le caratteristiche fisiche di una smart card. • • • • • Dimensioni fisiche. Risposte ai raggi X e alla luce UV. Resistenza meccanica. Caratteristiche dei contatti elettrici. Risposte ai campi elettromagnetici e alla elettricità statica. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (3) ISO 7816 Parte II: • segue ISO 7811. • Questo documento descrive: • • • • • Le dimensioni dei contatti. Il posizionamento dei contatti. Il posizionamento dell’embossing (scritte in rilievo). Il posizionamento della banda magnetica. La struttura del chip. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (4) ISO 7816 Parte III: • Un documento cruciale. • Questo documento descrive : • • • • • I protocolli di comunicazione. Le funzioni dei vari contatti sulle smart card. Le caratteristiche elettriche di base. Struttura di ATR (Answer to Reset). I fornitori che si dichiarano conformi agli standard ISO 7816 sono sostanzialmente conformi a queste parti I, II e III. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (5) ISO 7816 Parte IV: • Comandi per l’intercambiabilità. • Questo documento descrive : • • • • • I comandi, i messaggi e le risposte tra la smart card e il terminale. La struttura logica dei file e dei dati memorizzati. I meccanismi di protezione dell’accesso agli stessi. Il secure messaging. Le maggiori modifiche realizzate dai fornitori nell’ambito del protocollo d’intesa 13 maggio 2003 sono state applicate in base a questo documento. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (6) ISO 7816 Parte V, VI e VII: • Procedure di registrazione e sistemi di numerazione (parte V). • Definizione dei dati (parte VI). • Definisce il formato dei dati e le regole di costruzione dei dati memorizzati sulla smart card e scambiati con il terminale. • Comandi per interrogazioni strutturate. • Definizione del SCQL (Structured Card Query Language). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (7) ISO 7816 Parte VIII, IX e X: • Comandi relativi alla sicurezza (parte VIII). • Comandi addizionali e attributi di sicurezza (parte IX). • Descrive il ciclo di vita della smart card con i relativi attributi di sicurezza. • Segnali elettrici e “Answer to Reset”. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (8) • Lo standard EMV (2000) “Integrated Circuit Card Specification for Payment Systems” è composto da quattro documenti. • • • • 1 : Application Independent ICC to Terminal Interface Requirements. 2 : Security and Key Management. 3 : Application Specification. 4 : Cardholder, Attendant, and Acquirer Interface Requirements. • Approfondimenti disponibili su www.emvco.com Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (9) • GSM: Global System for Mobile communication. • La SIM card del telefono cellulare è una smart card. • OCF: Open Card Framework • rappresenta un’infrastruttura software di tipo object oriented per l’accesso alle smart card. • PKCS#15: Cryptographic Token Information Format Standard. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Gli standard delle smart card (10) • Carte con lettori senza contatto (contactless). • Utilizzate per situazioni di “transito” (skipass, trasporti, ecc.). • La distanza carta-lettore può variare da pochi centimetri (carta di prossimità) a qualche metro. • Le normative di riferimento sono ISO 10536, 14443, 15693 (RFID). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principali applicazioni delle smart card • Telefonia (SIM CARD ora anche Java) • Carte debito/credito (EMV) • Salute (NETLINK) • Trasporti (ISO 14443) • Controllo di accesso (Smart Logon) • Supporto alla biometria (Match on Card) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Identificazione e Autenticazione in rete (1) Funzioni di autenticazione • Viene utilizzata l’autenticazione forte, in modalità challenge-response basata su una PKI. Il certificato di autenticazione è a carico del circuito di emissione. • E’ definita una pila “di interoperabilità”: Application Crypto middleware API Cripto middleware (client/server) PKCS #11 API PKCS # 11 for RSA criptography ISO 7816-4 , APDU commands Client smart card device interface ISO 7816-3, ATR & T=0/1 protocol Smart card on board sw & o.s. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Identificazione e autenticazione in rete (2) • Se il servizio richiede l’installazione nella carta di strutture dati particolari (in generale EF in DF predefiniti) deve essere garantito un canale sicuro tra il server e la carta utilizzando ad esempio meccanismi crittografici basati sulle session key. • Informazioni di revoca o sospensione mediante CRL o OCSP • Con elevati numeri di carte emesse è indispensabile ripensare il modello di gestione dei certificati revocati. • E’ bene ricordare che i certificati revocati sono anche quelli delle smart card guaste o danneggiate con l’uso. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Portabilità e interoperabilità (1) • Accordo in fase di definizione con TUTTI i produttori di smart card • Alcuni elementi tecnici: Alimentazione: 5 volt Protocollo: T=1 (asincrono a blocchi) Velocità: procedura ISO PPS da 115kbps (utilizzo del DIV secondo ISO 7816-3) ATR: da registrare a cura dell’emettitore Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Portabilità e interoperabilità (2) • Modifica (verso gli standard ISO 7816) di alcune APDU • Introduzione della APDU “CHANGE KEY DATA” per evitare la gestione delle chiavi DES e RSA, in modo improprio, con il comando “CHANGE REFERENCE DATA”. • Utilizzo di “SECURE MESSAGING” o “Security officer PIN”. • Nuovo manuale delle APDU allegato al protocollo d’intesa 13 maggio 2003. • Due costruttori sono, al momento, conformi al protocollo. Altri rivendono la tecnologia di questi. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Vincoli Sul File System Della Carta Quanto fatto per la CIE rimane inalterato (autenticazione e Netlink). • Bisogna porre dei vincoli per la firma digitale. • PIN e PUK dedicati alla funzione • Il file system subisce i vincoli derivanti dalla certificazione necessario per disporre del “dispositivo sicuro per la creazione della firma” previsto dalla direttiva 1999/93/CE. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Un esempio di file system Organizzazione (Norma ISO 7816 - 4) I dati sono organizzati in un file system gerarchico. Master File (MF) è la “root” del file system, ed è selezionato automaticamente al reset. Elementary File (EF) sono I “repository” dei dati. Dedicated File (DF) sono le “directory” del file system e possono contenere sia DF che “EF”. Esse consentono di installare più di un’applicazione all’interno della Smart Card. Seminario di studio CNIPA MF EF 0 EF n DF 0 EF 00 EF 0n DF n DF n0 EF n0 EF n00 EF n0n EF nn Smart card tecnologie e applicazioni nella PA – G. Manca Librerie crittografiche PKCS#11 (1) z Le PKCS#11 sono delle Application Programming Interface (API) che interfacciano dispositivi crittografici ovvero dispositivi che memorizzano chiavi e sviluppano calcoli crittografici. z Forniscono una interfaccia standard che è indipendente dal dispositivo crittografico per cui sono state sviluppate. z Rendono le applicazioni in cui la crittografia è trattata con queste API largamente indipendenti dai dispositivi. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Librerie crittografiche PKCS#11 (2) z Vincolano all’utilizzo del dispositivo crittografico per cui sono state sviluppate ovvero non consentono a smart card di differenti fornitori di poter operare sulla stessa piattaforma applicativa. z Questo dipende da APDU proprietarie o da file system specifici. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Sintesi dello scenario generale z Carta d’Identità Elettronica (CIE) z Permesso di Soggiorno Elettronico (PSE) z Carta Nazionale dei Servizi (CNS) z Carta multiservizi del dipendente (CMD) z Tessera Sanitaria (TS) z Codice Fiscale (CF) Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca La situazione legislativa z DPR 2 marzo 2004, n.117 (GURI del 6 maggio 2004). Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n.3. z Regole tecniche per l’emissione della CNS approvate dal Gruppo di lavoro interministeriale e diramate per l’acquisizione dei pareri istituzionali. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali della CNS z “il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni”. z “La carta nazionale dei servizi, in attesa della carta d’identità elettronica, è emessa al fine di anticiparne le funzioni di accesso ai servizi in rete delle pubbliche amministrazioni”. z La CNS non identifica a vista. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi tecnici generali della CNS (1) z I microchip di CIE e CNS sono funzionalmente omogenei. z La CNS deve contenere un certificato di autenticazione, le cui caratteristiche sono stabilite dalle regole tecniche, rilasciato da un certificatore accreditato. z I dati identificativi della CNS sono verificati tramite il sistema informativo del Centro Nazionale per i Servizi Demografici (Min. Interno). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi tecnici generali della CNS (2) z Le strutture dati sanitarie (facoltative per i comuni privi di specifici accordi con le Regioni) sono conformi alle specifiche Nelink. z La CNS può contenere le informazioni per la firma digitale. z La CNS può essere utilizzata anche per i pagamenti informatici tra soggetti privati e pubbliche amministrazioni. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali organizzativi (1) z Tutte le PP.AA. che erogano servizi in rete devono garantirne l’accesso ai titolari di CIE/CNS. z La CNS riporta impresso, sul dorso, la dicitura “CARTA NAZIONALE DEI SERVIZI”. z L’amministrazione può disporre la revoca. z Le informazioni anagrafiche relative alle carte CNS sono allineate con il sistema INA-SAIA (Indice Nazionale delle Anagrafi). Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Principi generali organizzativi (2) z Il codice fiscale del titolare della CNS deve essere “verificato”. z La CNS non contiene dati sanitari ma consente di usufruire del SSN. z “I dati personali forniti ai fini dell’accesso a servizi, compreso il codice fiscale, sono utilizzabili unicamente con le modalità tecniche necessarie per identificare l’interessato e per verificare la sua legittimazione al servizio”. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Requisiti di sicurezza dei produttori z Sicurezza specifica per le chiavi Netlink z Le regole tecniche prevedono delle policy generali per lo stabilimento di produzione e per le fasi di creazione della carta (embedding) e inizializzazione e prepersonalizzazione. z Le PP.AA. dovranno prevedere dei processi di vigilanza sulla produzione. Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca Per maggiori informazioni: www.cnipa.gov.it Seminario di studio CNIPA Smart card tecnologie e applicazioni nella PA – G. Manca