Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
TITOLO DOCUMENTO:
DigitalSign Guida VirtualP11 FSM-OTP
TIPO DOCUMENTO:
Manuale Utente
EMESSO DA:
IT Telecom s.r.l.
DATA EMISSIONE:
02/12/2010
N. ALLEGATI:
0
STATO:
Rilasciato
REDATTO:
F. Lappa
ITT
VERIFICATO:
M. Donatone
ITT
APPROVATO:
M. Donatone
ITT
LISTA DI DISTRIBUZIONE:
IT Telecom srl, Telecom Italia, Clienti Telecom Italia
TI
REGISTRO DELLE MODIFICHE
REVISIONE
0
Uso interno
DESCRIZIONE
EMISSIONE
Prima Redazione
02/12/2010
Tutti i diritti riservati
Pag. 1 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Sommario
Sommario .......................................................................................................................................... 2
1
Introduzione............................................................................................................................... 3
1.1 DigitalSign e i dispositivi di firma............................................................................... 3
1.2 L’autenticazione: concetti.......................................................................................... 3
1.3 Descrizione di Virtual P11 ......................................................................................... 4
1.3.1 Il PIN P11........................................................................................................ 4
1.3.2 Il PIN di Firma ................................................................................................. 5
2
Installazione e configurazione................................................................................................. 6
2.1 Configurazione .......................................................................................................... 6
2.1.1 Configurazione di uno slot, modalità FSM...................................................... 8
2.1.2 Configurazione di uno slot, modalità OTP.................................................... 10
2.2 Configurazione di DigitalSign .................................................................................. 11
3
Operazioni di firma ................................................................................................................. 12
3.1 Firma tramite il servizio FSM................................................................................... 12
3.2 Firma tramite il servizio OTP................................................................................... 15
Uso interno
Tutti i diritti riservati
Pag. 2 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
1 Introduzione
1.1 DigitalSign e i dispositivi di firma
DigitalSign è un software di firma digitale progettato per l’utilizzo combinato con dispositivi di firma
pienamente conformi con la normativa sulla firma digitale qualificata.
Fino a poco tempo fa le uniche tipologie di dispositivi effettivamente utilizzabili in questo contesto erano
smartcard o token USB.
Tali tipologie, in generale, dispongono di moduli di interfaccia verso il software applicativo basati sullo
standard PKCS#11, una libreria di funzioni per l’accesso alle informazioni memorizzate nei dispositivi e per
l’attivazione dei relativi servizi.
Oggi esistono sul mercato nuove forme di servizi di firma digitale, pensati per svincolare le attività di firma
dal possesso fisico di un dispositivo elettronico personale.
Questo genere di servizi si basa su un sistema server sul quale vengono concentrati un elevato numero di
chiavi e certificati corrispondenti ad altrettanti utenti, titolari dei certificati.
Un singolo utente si collegherà via Internet a questo server, si identificherà in modo sicuro, trasmetterà
l’impronta del documento da firmare ed otterrà in ritorno la firma digitale calcolata dal server stesso.
Scopo del Virtual P11 è consentire all’utente di un software sofisticato come DigitalSign di utilizzare un
servizio remoto di questo tipo come se operasse con una smartcard locale.
Questa particolare edizione del prodotto è progettata per operare congiuntamente ai sistemi di Firma
Remota di Telecom Italia.
1.2 L’autenticazione: concetti
La chiave privata per la firma digitale è un oggetto estremamente critico, sul piano della sicurezza. La
normativa stessa impone che l’uso di tale oggetto (quindi la possibilità di apporre una firma) debba essere
riservato esclusivamente al legittimo titolare.
Nell’ambito dei sistemi ad elevata sicurezza, si postula che un utente possa disporre in linea di principio di
tre distinte qualità:
- qualcosa che sono (elementi fisici dell’utente, rilevabili dai sistemi biometrici)
- qualcosa che ho (un oggetto ben identificabile nel possesso esclusivo dell’utente)
- qualcosa che so (un segreto personale, come una password o un PIN)
Una autenticazione forte, ossia un riconoscimento attendibile per l’uso di un oggetto sensibile come la
chiave privata di firma, deve basarsi su almeno due di queste qualità.
Nel caso di una smartcard l’autenticazione è basata su:
- il possesso della carta (qualcosa che ho)
- la conoscenza di un PIN (qualcosa che so)
Nel caso del sistema di Firma Sicura Mobile di Telecom Italia – una delle modalità supportate dal Virtual
P11 – l’autenticazione passa per la chiamata, tramite il proprio cellulare, di uno specifico numero telefonico
e la digitazione di alcune informazioni sul cellulare stesso.
Anche in questo caso sussistono le due qualità:
- il possesso di una SIM card preregistrata (qualcosa che ho)
Uso interno
Tutti i diritti riservati
Pag. 3 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
-
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
la conoscenza di un PIN (qualcosa che so)
Lo stesso servizio viene offerto da Telecom Italia anche con una modalità alternativa, non basata sul
cellulare, ma su un dispositivo generatore di One Time Password (OTP), un piccolo oggetto (chiamato
hardware authenticator), che mostra sul proprio display una sequenza infinita di numeri, apparentemente
casuali ma in effetti legati allo specifico esemplare:
immagine tratta da documentazione online di RSA®
In questo caso l’utente non dovrà usare il proprio cellulare, ma digitare il numero mostrato dal generatore
entro un breve lasso di tempo (un valore mostrato dal display è valido per meno di un minuto).
L’autenticazione, in questo caso, è basata su:
- il possesso di un generatore di OTP preregistrato (qualcosa che ho)
- la conoscenza di un PIN (qualcosa che so)
1.3 Descrizione di Virtual P11
Virtual P11 è un modulo software (una DLL) che può essere visto da DigitalSign al pari di qualunque
altro modulo PKCS#11, ma svolge i propri servizi senza interconnettersi con alcun dispositivo hardware. Si
collega invece via Internet – tramite un canale criptato – con il server remoto che eroga il servizio FSM o
OTP.
Il sistema supporta slot multipli.
Uno slot (che nel caso di un normale modulo PKCS#11 destinato a interfacciare smartcard corrisponderebbe
ad un lettore nel quale possa essere inserita fisicamente una diversa carta) corrisponde ad un diverso
profilo, ossia un set di chiavi private/certificato utilizzabile dall’utente.
Un singolo utente del Virtual P11 può disporre di molteplici slot, proprio come potrebbe avere diverse
smartcard.
1.3.1 Il PIN P11
Lo standard PKCS#11, che – lo ricordiamo – è pensato per supportare l’interfacciamento con un dispositivo
fisico di firma, prevede che il dispositivo si ponga in stato di Logon tramite l’inserimento di un PIN e che certe
funzioni del dispositivo stesso (come l’uso della chiave privata) siano accessibili solo dallo stato di Logon.
Uso interno
Tutti i diritti riservati
Pag. 4 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Nel caso del servizio FSM il nostro Virtual P11 funziona in modo diverso, perché si connette con il server
di firma solo quando è veramente necessario, lasciando al front-end il compito di effettuare l’autenticazione
effettiva dell’utente (tramite il cellulare e la fornitura di alcune informazioni aggiuntive).
Per questa ragione l’introduzione di un ulteriore livello di protezione locale – come il PIN necessario a
mettere in stato di Logon il PKCS#11 – sarebbe considerata, in generale, fastidiosa e superflua.
Virtual P11, nella modalità FSM, consente all’utente di scegliere: per default non usa il PIN PKCS#11,
impostandolo ad un valore convenzionale “00000000” che DigitalSign produce automaticamente senza
richiederlo all’utente.
Ma se l’utente lo desidera può impostare uno specifico PIN a livello del singolo slot, usato anche per cifrare
le informazioni di configurazione. Questo può essere utile nel caso la stessa macchina sia utilizzata da
diversi utenti, con la possibilità ipotetica che un utente possa utilizzare maliziosamente il cellulare o il
generatore OTP di un collega.
Diverso è il caso del servizio basato su OTP: non esistendo un “numero di telefono” per fare una preautenticazione il Logon al dispositivo di firma si emula con un effettivo Logon al servizio remoto, utilizzando
un codice OTP.
1.3.2 Il PIN di Firma
Come già introdotto nella sezione dedicata all’autenticazione, il semplice possesso di una specifica SIM card
cellulare o di uno specifico generatore OTP non è sufficiente ad effettuare un’autenticazione forte dell’utente
che intende apporre una firma digitale: l’autenticazione deve completarsi con l’immissione di un dato
“segreto” di cui solo il legittimo titolare può essere al corrente.
Questo dato è il PIN di Firma, un codice che viene fornito all’utente in fase di registrazione.
Nelle operazioni di firma remota mediante il servizio FSM l’utente dovrà digitare questo PIN sulla tastiera del
cellulare.
Nelle operazioni basate sul generatore OTP l’utente potrà inserire il PIN di firma durante l’operazione stessa
di firma, oppure può configurarlo stabilmente nello slot.
Uso interno
Tutti i diritti riservati
Pag. 5 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
2 Installazione e configurazione
L’installazione avviene semplicemente lanciando l’apposito setup, che si presenta come un singolo
eseguibile del tipo:
ds‐fsm‐otp‐p11‐xyz.exe Al termine dell’installazione viene proposto di passare automaticamente alla configurazione:
Lasciando selezionata la casella Configura si aprirà direttamente la schermata di Configurazione.
2.1 Configurazione
Oltre alla possibilità di accedere alla configurazione subito dopo l’installazione, come illustrato nella sezione
precedente, si può anche operare direttamente da DigitalSign: si operi sul menu Dispositivo di Firma →
Configurazione, quindi si scelga il profilo CompEd FSM module:
Uso interno
Tutti i diritti riservati
Pag. 6 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
A questo punto si agisca sul bottone Configura:
Questa schermata contiene diversi parametri:
•
•
•
•
Uso interno
FSM endpoint – è un indirizzo Internet che corrisponde al servizio a cui collegarsi per
utilizzare la modalità Firma Sicura Mobile.
In generale possono esistere diversi server che erogano il servizio agli utenti, alcuni per
scopi di test ed altri di produzione. L’utente dovrebbe ottenere dal fornitore l’indirizzo
effettivo da impostare in questo campo.
OTP endpoint – del tutto analogo al precedente, è l’indirizzo Internet del server a cui
collegarsi per il servizio di firma remota basato su OTP (in generale i due servizi sono
erogati da server diversi). Anche questo valore va richiesto al fornitore.
Timeout connessione (ms) – è il valore del timeout tollerato prima di considerare abortita
una sessione. Il valore di default è pari a 30 secondi (espresso in millisecondi).
Verifica certificato server SSL – istruisce il sistema a verificare la validità del certificato
SSL del server cui ci si collega.
Ovviamente la connessione tra il Virtual P11 ed il server remoto avviene su un canale
sicuro, attraverso il protocollo SSL; in condizioni normali questa opzione dovrebbe essere
attivata, perché la verifica del certificato del server consente di assicurare l’originalità del
server stesso. Tuttavia i server di test in generale non montano certificati “ufficiali” e questa
Tutti i diritti riservati
Pag. 7 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
•
•
•
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
verifica non verrebbe superata.
L’utente configurerà l’opzione in modo appropriato al contesto effettivo.
Nascondi Errori UI – fa sì che i messaggi di errore generati dal sistema PKCS#11 non
vengano presentati a video, ma soltanto tramite l’interfaccia programmatica. DigitalSign
quindi interpreterà tali errori come se venissero da un sottosistema smartcard, quindi
probabilmente in modo non sempre coerente con il particolare contesto di utilizzo di Virtual
P11.
Opzioni Proxy – questo pannello permette di impostare la configurazione per il
collegamento ad Internet: la configurazione automatica istruisce il sistema ad utilizzare la
configurazione già effettuata per Internet Explorer; nessun proxy dispone alla connessione
diretta ad Internet; usa proxy permette di accedere ad una ulteriore schermata di
configurazione di un proxy aziendale (da operare secondo le istruzioni dell’amministratore di
rete).
Configurazione Log – questo parametro consente di impostare un particolare file su cui
effettuare la registrazione delle attività del Virtual P11.
La schermata mostra poi una tabella (inizialmente vuota) contenente la lista degli slot già definiti.
Uno slot, nell’ambito del PKCS#11, rappresenta un diverso dispositivo connesso allo stesso modulo di
interfaccia. Per esempio, un computer che avesse due o più lettori di smartcard, potrebbe avere diverse
carte inserite. I diversi slot corrisponderebbero ai diversi lettori capaci di accogliere diverse smartcard.
In questo contesto “virtuale”, dove non esistono veri e propri lettori, usiamo il concetto di slot per gestire
diversi profili, ciascuno dei quali corrisponde ad una coppia di chiavi e relativo certificato.
In generale ce ne basterà uno, ma non esiste un limite predefinito.
-
Per creare il primo slot si agisce sul bottone Aggiungi
Per modificare i parametri dello slot selezionato si usa Modifica
Per eliminare del tutto la configurazione di uno slot si usa Rimuovi
La casella Abilita PIN consente all’utente di abilitare l’uso del PIN P11, si veda la sezione relativa.
2.1.1 Configurazione di uno slot, modalità FSM
Quando si Aggiunge o Modifica uno slot compare una schermata di questo tipo:
Uso interno
Tutti i diritti riservati
Pag. 8 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Vediamo il significato di questi campi, la maggior parte dei quali è significativa solo nel’ambito dello standard
PKCS#11:
•
•
•
•
•
•
•
•
Uso interno
Nome – è il nome simbolico assegnato allo slot, che DigitalSign mostrerà poi nella lista dei
“lettori” disponibili. Si può usare qualunque nome, ma nel caso si pianifichi di avere più di
uno slot sarà bene usare nomi significativi che consentano di distinguerli a colpo d’occhio.
Descrizione – in questo campo il sistema imposta automaticamente una descrizione del
modulo PKCS#11 virtuale.
Label – questo è un campo ispezionabile nell’ambito delle funzioni PKC#11; il sistema
compone automaticamente un contenuto calcolato in base al codice fiscale ed al numero di
cellulare.
Model – è un campo a sola lettura che identifica il modulo PKCS#11 in esecuzione
Serial – anche questo è un campo ispezionabile nell’ambito delle funzioni PKC#11; il
sistema compone automaticamente un contenuto calcolato in base al codice fiscale ed al
numero di cellulare; si raccomanda di lasciare il valore impostato automaticamente, anche
se è possibile editare il valore, soprattutto a scopi di test e sperimentazione.
Mode – è la modalità di funzionamento dello slot.
Può essere FSM – Firma Sicura Mobile, per il caso dell’autenticazione via telefono
cellulare, che corrisponde a questa sezione della documentazione, oppure OTP – One Time
Password nel caso di autenticazione basata su dispositivo OTP, descritto nella prossima
sezione.
NOTA importante: l’utente, in generale, non è libero di scegliere a piacimento l’una o l’altra
modalità; il servizio erogato da Telecom Italia a particolari clienti può essere
contrattualizzato in una sola o entrambe le modalità. L’utente deve richiedere a Telecom
Italia i dettagli specifici per la configurazione del proprio caso.
Codice Fiscale – il codice fiscale dell’utente è un parametro fondamentale, usato – con il
numero del cellulare – per la pre-autenticazione al servizio: le richieste di servizio inoltrate
dal Virtual P11 al server vengono accettate o rifiutate secondo che la coppia di valori sia
effettivamente registrata, quindi è importante inserire correttamente questo valore.
Numero Cellulare – questo valore (sempre inserito con il prefisso internazionale +39) è
usato, con il codice fiscale, per la pre-autenticazione. Inoltre è essenziale che si imposti lo
stesso numero fornito in sede di registrazione ed erogazione del certificato, perché l’utente
viene riconosciuto solo se la chiamata avviene dal numero registrato.
Tutti i diritti riservati
Pag. 9 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
2.1.2 Configurazione di uno slot, modalità OTP
Se l’utente sceglie di configurare uno slot in modalità OTP vedrà una schermata leggermente diversa da
quella illustrata nella sezione precedente:
La sola differenza rispetto al caso precedente è la mancanza del numero di telefono, che in questo caso non
è applicabile.
Uso interno
Tutti i diritti riservati
Pag. 10 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
2.2 Configurazione di DigitalSign
Per far funzionare DigitalSign con il Virtual P11 (ossia per firmare usando il servizio FSM o OTP anziché
una smartcard locale) occorre configurare manualmente la scelta del modulo PKCS#11, perché il
riconoscimento automatico della smartcard inserita, ovviamente, non può funzionare.
Come già visto prima, in fase di configurazione degli slot, si operi sul menu Dispositivo di Firma →
Configurazione, quindi si scelga il profilo CompEd FSM module (probabilmente sarà già selezionato).
Stavolta però sarà possibile scegliere, dalla lista dei Lettori, lo slot configurato:
Da questo momento le operazioni di firma digitale verranno indirizzate al servizio configurato con lo slot
scelto.
Uso interno
Tutti i diritti riservati
Pag. 11 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
3 Operazioni di firma
A questo punto non resta che firmare un documento.
3.1 Firma tramite il servizio FSM
Vogliamo apporre la nostra firma digitale ad un documento, usando il servizio Firma Sicura Mobile.
Come di consueto apriremo in DigitalSign il documento da firmare, quindi agiremo sul comando di firma
appropriato, in questo caso Aggiungi Firma PAdES. Vedremo la schermata di conferma e posizionamento
firma:
DigitalSign effettuerà automaticamente a pre-autenticazione al servizio di Firma Sicura Mobile usando i
valori di codice fiscale e numero telefonico impostati in configurazione, quindi presenterà una finestra di
dialogo di questo tipo (l’effettivo numero verde da chiamare può variare secondo il contesto)
Uso interno
Tutti i diritti riservati
Pag. 12 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
:
L’utente deve prendere il proprio cellulare ed effettuare una chiamata al numero telefonico indicato:
Al telefono risponde un operatore automatico che invita a digitare il codice di sessione anch’esso riportato
nella finestra di dialogo visualizzata (8007 in questo esempio). Questo codice è generato automaticamente
dal sistema, sempre diverso da sessione a sessione, serve a collegare la chiamata in corso con una
specifica operazione di firma:
Appena inserito il codice di sessione, la schermata sul video chiede di inserire, sempre sul telefono, il PIN di
firma, cioè il codice segreto in possesso del titolare del certificato:
Uso interno
Tutti i diritti riservati
Pag. 13 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Anche la voce chiede di digitare sul cellulare lo stesso valore. Non appena l’utente esegue la richiesta la
procedura si conclude con l’apposizione della firma:
Uso interno
Tutti i diritti riservati
Pag. 14 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
3.2 Firma tramite il servizio OTP
Vogliamo apporre la nostra firma digitale ad un documento, usando il servizio di Firma Remota basato su
OTP.
Rispetto alla modalità FSM, descritta nella sezione precedente, il servizio basato su OTP richiede una
esplicita autenticazione, prima dell’effettivo processo di firma. Ma poi l’operazione di firma richiederà una
esplicita autenticazione per firmare: in sostanza l’utente dovrà immettere due diversi codici OTP, anche se
poi potrà produrre diverse firme senza immettere nuovi codici.
L’utente può richiedere a DigitalSign di effettuare un Logon al dispositivo di firma, altrimenti tale logon
verrà espressamente richiesto al momento della firma. In questo esempio assumiamo di trovarci nel secondo
caso.
Come di consueto apriremo in DigitalSign il documento da firmare, quindi agiremo sul comando di firma
appropriato, in questo caso Aggiungi Firma PAdES.
Per prima cosa il sistema ci chiederà un’autenticazione al servizio, presentando questa immagine:
Noi avremo in mano il nostro generatore, leggeremo il valore dal display e lo digiteremo nel campo dati,
quindi faremo click sul bottone OK.
DigitalSign mostrerà la schermata di conferma e posizionamento firma:
Uso interno
Tutti i diritti riservati
Pag. 15 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Dopo aver impostato tutti i parametri specifici della firma confermeremo con OK; DigitalSign richiederà di
immettere un nuovo codice OTP ed il PIN segreto per avviare la procedura effettiva di firma:
Dopo l’immissione corretta dei dati richiesti (si ricorda che non può essere usato il codice OTP già utilizzato
in fase di LOGIN, è indispensabile leggere e digitare un nuovo codice) DigitalSign completa l’operazione di
firma:
Uso interno
Tutti i diritti riservati
Pag. 16 di 17
Titolo:
DigitalSign Guida VirtualP11 FSM-OTP
Uso interno
Tutti i diritti riservati
Codice:
CERTQUAL.IT.DPMU102570
Stato:
Rilasciato
Revisione
0
Pag. 17 di 17