La tecnologia e le applicazioni delle
smart card nell’e-government
Ing. Giovanni Manca
Centro nazionale per l’informatica nella pubblica amministrazione
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Gli elementi che compongono la Smart Card:

Microcircuito

Sistema operativo (maschera)
Microcircuito+Sistema operativo=SmartCard
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il Microcircuito
Reset
Clock
0V
5V
n.c.
I/O
CNIPA – 18 giugno 2004
I
N
T
E
R
F
A
C
E
ADDRESSES
CPU
or
CPU
+
Co Pro
RAM
ROM
EEPROM
DATA
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il Sistema Operativo
Il Sistema operativo è mascherato nella memoria ROM e
sovrintende alle seguenti funzioni:




Gestione del protocollo di comunicazione;
Gestione del protocollo logico (APDU);
Gestione dello SmartCard File System;
Sicurezza:


Sicurezza fisica (protezione degli “oggetti di sicurezza”
contenuti nella SmartCard);
Sicurezza logica (criteri di accesso ai file ed agli oggetti di
sicurezza).
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La norma ISO 7816






Parte prima e seconda per le caratteristiche fisiche
e la posizione dei contatti elettrici
parte terza per le caratteristiche elettriche ed il
protocollo di trasmissione
Parte quarta per la definizione dei comandi
applicativi,la struttura dei
file,le modalità di
accesso ed i diritti di accesso
Parte quinta per le procedure di registrazione degli
“Application Identifiers” (AID)
Parte ottava per la formalizzazione degli aspetti
inerenti la sicurezza
Parte nona per la gestione del ciclo di vita i criteri
di accesso ecc.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo di comunicazione (1)
Il protocollo di comunicazione è definito dalla norma
ISO 7816 parte terza:
Le implementazioni del protocollo prevedono:
–
–
modalità T=0 (asincrono a carattere)
modalità T=1 (asincrono a blocchi)
Il protocollo di comunicazione è gestito dall’insieme “driver e
SmartCard reader”.
Il livello di sofisticazione del driver dipende dal livello di
sofisticazione del firmware del lettore.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo di comunicazione (2)
(Lo standard PC/SC)
ICC-Aware Application
IFD:= Interface Device (SmartCard reader)
ICC:= Integrated Circuit Card
ICC Service Provider
ICC Resources Manager
IFD Handler Interface : Scope of this Part 3
Spex di riferimento
IFD
Handler
IFD
Handler
IFD
Handler
I/O Device
Driver
I/O Device
Driver
I/O Device
Driver
Fornito con lo IFD
I/O Channel
Spex di riferimento conformi alla
norma ISO 7816-3
È garantita l’interoperabilità
tra lettori PC/SC e
SmartCard conformi a
ISO 7816-3
CNIPA – 18 giugno 2004
PS/2
Interface
Device
RS 232
Interface
Device
IFD
Subsystem
USB
Interface
Device
Interface between IFD and ICC : Scope of Part 2
ICC
ICC
ICC
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (1)
Application Protocol Data Unit (APDU)


Costituisce la modalità con cui, tramite il protocollo di comunicazione,
sono inviati alla Smart Card i comandi applicativi
È disciplinato dalla parte quarta della norma ISO 7816
È strutturato nel seguente modo:
Field
Description
Length (by)
Class byte (CLA)
1
Instruction byte (INS)
1
Parameter bytes (P1-P2)
2
Le field
Command data field length (Nc)
0,1 or 3
Command data field
Absent for Nc=0 else a Nc byte string
Nc
Le field
Data responce legth if present (Ne)
0,1,2 or 3
Response field
May be absent, if present Nr bytes (0<Nr<=Ne)
Nr
Response trailer
Status bytes (SW1-SW2)
2
Command header
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (2)
Tipologie di comandi APDU




Comandi di tipo amministrativo
– Create File, Invalidate File, Delete File …..
– Put Data (per settare gli attributi dei file e degli oggetti di
sicurezza)
– Change Reference Data (amministrazione del PIN)
Comandi di utilizzo del File System
– Select File
– Read, Update,Append
Comandi di identificazione ed autenticazione
– Verify PIN, Get Challenge, External Auth., Internal Auth. ..
Comandi crittografici
– MSE (Manage Security Environment)
– PSO (Perform Security Operation)


PSO_CDS (Compute Digital Signature)
PSO_Encrypt/Decrypt
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il protocollo logico (2)
Alcuni esempi
Select Elementary File (EF)
Read Binary
CLA
‘00’
CLA
‘00’
INS
‘A4’ = SELECT FILE
INS
‘B0’ = READ BINARY
P1
‘02’ (Select by File Identifier (FID))
P1,P2
‘0000’
P2
‘00’
Lc
‘02’ = Length of subsequent data field
Lc
Empty
Data field
FID of (Elementary File)
Datafield
Empty
Le
Empty
Le
‘xx’ length of data to be read
Data field
Empty
SW1-SW2
‘9000’ or specific status bytes
CNIPA – 18 giugno 2004
Data field
Selected EF Data
SW1-SW2
‘9000’ or specific status bytes
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Il File System nella Smart Card
MF
Organizzazione (Norma ISO 7816 - 4)
I dati sono organizzati in un file system
gerarchico.
EF 0
EF n


Master File (MF) è la “root” del file
system, ed è selezionato
automaticamente al reset.
DF 0
EF 00
Elementary File (EF) sono I “repository”
dei dati.
EF 0n
DF n

Dedicated File (DF) sono le “directory”
del file system e possono contenere sia
DF che “EF”. Esse consentono di
installare più di un’applicazione
all’interno della Smart Card.
CNIPA – 18 giugno 2004
DF n0
EF n0
EF n00
EF n0n
EF nn
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
I file elementari (EF)
Transparent
EF
Transparent Elementary File:
l
File non formattato;
l
l’accesso ai dati è per offset e lunghezza.
Linear Fixed
EF
Linear Fixed Elementary File:
l
File organizzato a record di lunghezza fissa;
l
l’accesso ai dati è per numero di record.
Linear Variable Elementary File:
l
File organizzato a record di lunghezza
variabile;
l
l’accesso ai dati è per numero di record.
Linear Variable
EF
Cyclic EF
Cyclic Elementary File:
l
File organizzato a record di lunghezza fissa;
l
l’accesso in lettura è per numero di record
l
la scrittura è sul record successivo all’ultimo
record aggiornato
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Modalità di navigazione del File System
Consentito
MF
Non consentito
direttamente
EF 0
EF n
DF 0
EF 00
EF 0n
DF n
DF n0
EF n0
EF n00
EF n0n
EF nn
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Modalità di selezione


Selezione tramite File Identifier (FID)
– il campo dati del comando di selezione è il File Identifier
– è possibile selezionare EF o DF sotto la directory corrente (pe:EFn da
MF, DFn da MF, DFn0 da DFn)
Selezione tramite Path
– il campo dati del comando di selezione è costituito dai FID del percorso
di selezione
– per selezionare EFn0n da MF il campo dati del comando di selezione
contiene :


DFn FID, DF0n FID, EFn0n FID
NOTA:il FID è costituito da 2 byte che possono essere scelti a
piacere con i seguenti limiti:
–
3F00 riservato a MF, 3FFF riservato a Selection by Path quando la DF
corrente è ignota, 2F00 riservato a EF_Dir (vedere Direct Application
Selection), 2F01 riservato ad EF_ATR e 2F02 riservato ad EF-GDO
(vedere applicazione Netlink)
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Selezione diretta dei DF
(Norma ISO 7816 - 4 e 5)
MF
Consentito
EF 0
Non consentito
EF N
DF 0
EF 00
EF 0N
DF N
CNIPA – 18 giugno 2004
DF N0
DF N00
EF N0
EF N00
EF NN
EF N0N
EF N000
EF N00N
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Selezione diretta dei DF






Questo comando consente di selezionare direttamente una
Directory senza conoscere il File Identifier e l’intero percorso di
selezione
Il comando di selezione ha come campo dati l’Application
Identifier (AID)
Gli AID delle Directory selezionabili direttamente ed i percorsi
di selezione sono memorizzati nel File 2F00 (EF-DIR)
Gli AID devono essere richiesti all’ISO in conformità alla norma
7816-5
Questo comando è utilizzato da terminali che gestiscono più
tipologie di smart card (p.e. terminali ATM e POS)
Il terminale legge EF-DIR, verifica se contiene AID noti e
seleziona le applicazioni
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza

L’obiettivo della sicurezza è la custodia
dei dati contenuti nelle smart card.

Questo obiettivo è perseguito tramite:
CNIPA – 18 giugno 2004
 sicurezza
fisica
 sicurezza
logica
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica (1)
La sicurezza fisica è l’insieme delle contromisure
messe in atto per proteggere le informazioni da
attacchi condotti tramite:



l’utilizzo improprio dell’interfaccia elettrica;
azioni fisiche volte a guadagnare il controllo
diretto del microprocessore;
analisi dell’assorbimento elettrico .
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica (2)
Le principali contromisure
 Sensori
che rilevano la marginatura della tensione
di alimentazione
 Sensori che rilevano la marginatura del clock
 Sensori di temperatura di esercizio
 Sensori ottici
Questi accorgimenti proteggono dall’utilizzo improprio
dell’interfaccia elettrica e da azioni fisiche volte a
guadagnare il controllo diretto del microprocessore
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica
La gestione dei sensori
Hang Routine NOP
HALT
JMP-1
Sensors Register
Intrusion Events
CNIPA – 18 giugno 2004
OS Code
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza fisica
Analisi dell’assorbimento elettrico
Questo tipo di attacco tende a mettere in relazione le
variazioni di assorbimento elettrico, dovute alla
commutazione dei “transistor”, con i processi svolti dal
microprocessore.
Una contromisura efficace adottata dai costruttori di
Smart Card consiste nel disaccoppiare il “clock”
fornito all’interfaccia dal “clock” del microprocessore
e variarne in modo casuale la frequenza durante
processi di calcolo interno
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica
La sicurezza logica controlla l’accesso alle
informazioni contenute nella smart card tramite:
•
•
•
•
codici personali di accesso alle informazioni (PIN);
processi di autenticazione realizzati con tecniche
crittografiche simmetriche o asimmetriche;
funzioni che consentono di rendere non
modificabili ed accessibili in sola lettura alcuni
dati;
funzioni che consentono di rendere non esportabili
gli oggetti di sicurezza (chiavi e codici di accesso).
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza Logica
(Gli oggetti della sicurezza)
PIN


Consente di verificare il possesso della della Smart Card,
ad esso possono essere associate condizioni di accesso
ai file e condizioni di utilizzo degli oggetti di sicurezza
Possono essere definiti più PIN
Chiavi crittografiche simmetriche ed asimmetriche



Consentono di realizzare processi di autenticazione
Ai processi di autenticazione possono essere vincolate le
condizioni di accesso ai file
Le chiavi possono essere usate anche per produrre
crittografia da utilizzare all’esterno della Smart Card (p.e.
Firma Digitale)
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Le condizioni di accesso
Sono attributi dei Files e degli oggetti di sicurezza;definiscono le
condizioni di accesso per tipologia di comando
AC_EF
Tipo di
BSO
Comandi
AC_DF
operazioni
protetti
BSO
Tipo di
operazioni
Comandi protetti
ALW
Read
ReadBinary
PIN
Update
PutData_OCI
Update
UpdateBin
PIN
Admin
PutData_FCI
AutKey
&PIN
PIN
Create
CreateFile
NEV
Admin
PutData_FCI
BSO
Tipo di
operazioni
Comandi protetti
PIN
USE
PSO_CDS
NEV
Change
ChangeReference Data
PIN
GenKey
GenerateKeyPair
CNIPA – 18 giugno 2004
AC_BSO Kpri
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica
(Le condizioni di accesso)
MF
PIN
EF 0
•PIN
EF N
•Auth.
Auth. Key
DF 0
•PIN o Auth
EF 00
•Pin e Auth.
EF 0N
DF N
PIN
DF N0
EF N0
EF N00
EF N0N
Auth. Key
EF NN
BSO_Kpri
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica
(Autenticazione)
HPC
Sys
PDC
GET CHALLENGE
<RND.HPC>
INT AUTH <RND.HPC>
<E(IK.PDC.AU,
RND.HPC)>
EXT AUTH <SN.PDC,
E(IK.PDC.AU,
RND.HPC)>
OK
GET CHALLENGE
<RND.PDC>
INT AUTH RND.PDC,
SN.PDC)>
<E(IK.PDC.AU, RND.PDC)>
EXT AUTH
<E(IK.PDC.AU,
RND.PDC)>
OK
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Sicurezza logica
Le Smart Card come motori crittografici
Le Smart Card supportano algoritmi simmetrici (DES e 3 DES) e
algoritmi asimmetrici (RSA) che utilizzano gli oggetti di
sicurezza tramite comandi APDU


Gli oggetti di sicurezza sono utilizzabili se è settato l’ambiente
di sicurezza tramite il comando MSE (Manage Security
Environment)
La crittografia è sviluppata per mezzo del comando PSO xxx
(Perform Security Operation) dove xxx vale:



CDS per Digital Signature e MAC;
ENC per cifratura simmetrica e asimmetrica;
DEC per decifratura simmetrica ed asimmetrica.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Librerie crittografiche
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Librerie Crittografiche PKCS#11
(Cryptoki)
Le PKCS#11 sono delle Application Programming Interface
(API) che interfacciano dispositivi crittografici ovvero
dispositivi che memorizzano chiavi e sviluppano calcoli
crittografici.
Forniscono una interfaccia standard che prescinde dal
dispositivo crittografico per cui sono state sviluppate.
Rendono le applicazioni in cui la crittografia è trattata con
queste API largamente indipendenti dai dispositivi.
Vincolano all’utilizzo del dispositivo crittografico per cui
sono state sviluppate ovvero non consentono a Smart
Card di differenti fornitori di poter operare sulla stessa
piattaforma applicativa
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Cryptoki
Gli scopi delle Cryptoki in base allo standard:
The primary goal of Cryptoki was a lower-level programming
interface that abstracts the details of the devices and presents to
the application, a common model of the cryptographic device,
called a “cryptographic token”.
A secondary goal was resource-sharing. As desktop multitasking operating systems become more popular, a single device
should be shared between more than one application. In addition,
an application should be able to interface to more than one device
at a given time.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CRIPTOKY
Il “Token”

È la rappresentazione a oggetti dei dati e delle
quantità di sicurezza contenute nel dispositivo
crittografico
– Gli oggetti sono definiti dagli attributi (template)

Contiene la definizione dei meccanismi crittografici
supportati dal dispositivo
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CRIPTOKY
Rappresentazione a oggetti del “Token”
OBJECT
Common
Obj
attributes
Obj type
Certificate
-Cert attributes
-Cert. Value
Key
Common Key
attributes
Data
Value
Key Obj
Public Key
-Pub Key attributes
Private Key
-Priv Key attributes
-Pub Key Value
-Priv Key Value
CNIPA – 18 giugno 2004
Secret Key
-Secret
Key Attribut.
-Secret Key Value
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Implementazione del “Token”
nelle SmarCard
MF
EF-DIR
EF-GDO
BSO
PIN
DF
Signature
User Signature PIN
(S.O. PWD)
EF_Index
EF_Kpub_Attribute
DF
Applicazione n
DF
Applicazione 1
EF_Kpub
EF_Kpri_Attribute
Dati
Applic.
n
Dati
Applic.
1
BSO
Kpri
EF_CERT/Attribute
EF-Data_OBJ
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System
EF_Index:

Elementary File di tipo Linear TLV che contiene gli
identificativi PKCS#11 (CKA_ID) degli oggetti Chiave
Pubblica, Chiave Privata , Certificati ed oggetti Dati
presenti nella Directory di Firma Digitale. Questo file
è utilizzato dalle Funzioni di Gestione degli Oggetti
per la “navigazione” del File System della Carta.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System
di Firma Digitale (esempio)
EF_Kpri_Attribute

Elementary File di tipo LinearTLV che contiene gli attributi della Chiave Privata; essi rappresentano i “Template”
PKCS#11 degli Oggetti Chiavi Private e sono:
Common attributes:

CKA_CLASS (CKO_PRIVATE_KEY = 03);

CKA_TOKEN (CK_BBOOL, posto a vero);

CKA_PTIVATE (CK_BBOOL, posto a vero); questa condizione implica l’autenticazione tramite la funzione:
C_Login.;

CKA_LABEL (CK_CHAR);

CKA_MODIFIABLE (CK_BBOOL, posto a falso per le coppie di chiavi di firma);
Common key attributes:

CKA_ID (byte array TBD).;

CKA_KEY_TYPE(CKK_RSA= 00);

CKA_DERIVE (CK_BOOL , posto a falso per le chiavi di firma);

CKA_START_DATE (CK_DATE);

CKA_END_DATE (CK_DATE);

CKA_LOCAL (CK_BOOL , posto a vero per le coppie di chiavi di firma);
Private key attributes:

CKA_SUBJECT (codifica DER del DN del certificato);

CKA_SENSITIVE (CK_BBOOL, posto a vero);

CKA_EXTRACTABLE (CK_BBOOL, posto a falso);

CKA_SIGN (CK_BBOOL, posto a vero);

CKA_SIGN_RECOVER(CK_BBOOL, posto a falso);nota: non supportato da SO CIE;

CKA_UNWRAP(CK_BBOOL, posto a falso per le coppie di chiavi di firma )

CKA_VERIFY_RECOVER(CK_BBOOL, , posto a vero per le coppie di chiavi di firma);

CKA_DECRYPT(CK_BBOOL, , posto a falso per le coppie di chiavi di firma);

CKA_ALWAIS_SENSITIVE (CK_BBOOL, , posto a vero)
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Descrizione del File System
di Firma Digitale (esempio)
BSO-KPRI
 È il contenitore della chiave privata (Base Security Objects) ed è
gestito dal sistema operativo della Smatcard. Il sistema operativo
della CIE memorizza la chiave in formato modulo (N) ed esponente
(d) e ad essa è applicabile il “Template”PKCS#11 (Table 4-0 Private
Key OBJ Attributes) solo per i seguenti attributi:
–
–
CKA_MODULUS (Big integer);
CKA_ PRIVATE_EXPONENT (Big integer);
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
I meccanismi crittografici
Meccanismi PKCS#11
Meccanismi Interni
CKM_RSA_PKCS_KEY_PAIR_GEN
X
CKM_RSA_PKCS
X
Meccamismi di Lib.
CKM_DES_KEY_GEN
X
CKM_DES_ECB
X
CKM_DES_CBC
X
CKM_DES_CBC_PAD
CKM_DES_MAC
X
X
CKM_DES2_KEY_GEN
CKCM_DES3_CBC
X
X
X
X
CKM_DES3_ECB
X
X
CKM_DES3_MAC
X
X
CKM_SHA_1
X
X
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Le funzioni PKCS#11

Funzioni per la gestione dei lettori e
delle SmarCard









C_GetSlotList
C_GetSlotInfo
C_GetTokenInfo
C_GetMechanismList
C_GetMechanismInfo
C_InitToken
C_InitPIN
C_SetPIN

Key Management:





Funzioni di firma e verifica
firma:



Funzioni per la gestione della
sessione

C_OpenSession
C_CloseSession
C_CloseAllSession
C_GetSessionInfo
C_Login
C_Logout











C_SignInit
C_Sign
C_SignUpdate
C_SignFinal
C_VerifyInit
C_Verify
C_VerifyUpdate
C_VerifyFinal
Funzioni di Message Digesting:




CNIPA – 18 giugno 2004
C_GenerateKey
C_GenerateKeyPair
C_WrapKey
C_UnwrapKey
C_DigestInit
C_Digest
C_DigestUpdate
C_DigestFinal
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Un esempio
Generazione della Coppia di chiavi di firma
Funzioni di libreria










Funzione: C_GenerateKeyPair (prerequisito: C_Login)
Parametri:
CK_SESSION_HANDLE hSession : handle di sessione ottenuto tramite le
funzioni C_OpenSession e C_GetSessionInfo;
CK_MECHANISM_PTR pMechanism : puntatore ai meccanismi crittografici
supportati dalla libreria;
CK_ATTRIBUTE_PTR pPublicKeyTemplate : puntatore al template della chiave
pubblica;
CK_ULONG ulPublicKeyAttributeCount : numero degli attributi del template;
CK_ATTRIBUTE_PTR pPrivateKeyTemplate : puntatore al template della chiave
privata;
CK_ULONG ulPrivateKeyAttributeCount : numero degli attributi del template;
CK_OBJECT_HANDLE_PTR phPublicKey : puntatore all’area in cui la libreria
restituirà lo handle dell’oggetto chiave pubblica;
CK_OBJECT_HANDLE_PTR phPrivateKey : puntatore all’area in cui la libreria
restituirà lo handle dell’oggetto chiave privata.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Un esempio
Generazione della Coppia di chiavi di firma
Gestione della SmartCard
La funzione C_GenerateKeyPayr effettua le seguenti
operazioni sulla SmartCard:





Inserisce nel file EF_Index l’identificativo degli oggetti chiave
ottenuto dai template;
Compila i files EF_Kpub_Attribute e EF_Kpri_Attribute con le
informazioni ottenute dai template;
Costruisce il file EF_Kpub tramite il comando APDU: CREATE
FILE;
Costruisce l’oggetto BSOKPRI-SIGN tramite il comando APDU:
PUT DATA OCI forzando algoritmo e condizioni di accesso
compatibili con il template della chiave privata;
Genera la coppia di chiavi tramite il comando APDU:
GENERATE KEY PAIR.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard e l’ambiente MS
APPLICATION
COM
C - API
Crypto Service
Provider
Ser.Provider
Resource Manager
IFD Driver
Fornito dal produttore
del Sistema Operativo
Lettore
IFD
Smart Card
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard
Le Smart Card nei principali
progetti
della Pubblica Amministrazione
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta della sperimentazione Netlink
La sperimentazione Netlink utilizza una Smart Card che
contiene:
–
–
dati sanitari;
componenti di sicurezza per la protezione dei dati sanitari;
La carta Netlink non prevede l’utilizzo di oggetti
crittografici quali:
– Chiave privata
– Certificato digitale
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La carta Net Link
MF
EF.DIR
EF.GDO
DF.NETLINK
EF.DIR
DF.NKAF
DF.NKAP
DF.NKPP
EF.NKAF
EF.NKAP
EF.NKPP
DF.NKEF
DF.NKEP
EF.NKEF
EF.NKEP
EF.NETLINK
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta CNS
La carta CNS è il dispositivo in dotazione al cittadino che gli
consente di interagire i servizi in rete erogati dalla PA.
Nel Progetto Lombardo essa contiene:




dati sanitari;
componenti di sicurezza per la protezione dei dati sanitari;
oggetti crittografici ,chiave privata e certificato digitale, per
attivare funzioni di attestazione;
componenti di sicurezza per costruire aree dati da dedicare
a servizi regionali non connessi alla Sanità.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta di Identità Elettronica
La Carta di Identità Elettronica (CIE) è lo strumento di
identificazione dei cittadini. Essa consente:
 l’identificazione a vista ;
 l’identificazione forte in “rete” per l’erogazione telematica di
servizi da parte delle Pubbliche Amministrazioni.
L’identificazione forte in “rete” è ottenuta per mezzo della
chiave privata e del certificato digitale in essa contenuti.
La CIE contiene anche dati sanitari ed i componenti di
sicurezza necessari alla loro protezione.
Come per la carta CNS sono presenti componenti di sicurezza
per costruire aree dati da dedicare a servizi non connessi alla
sanità.
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
La Carta di Identità Elettronica
MF
DF0
ID_Carta
PIN
DF1
K
pri

C_Carta
Dati_Personli
Memoria residua
EF.GDO
Servizi_installati
DF2
INST key
Area
NetLink
CNIPA – 18 giugno 2004
KIa

KIc

DF_Servizio #1
Dati_servizio #1
DF_Servizio #2
Dati_servizio #2
DF_Servizio #n
Dati_servizio #n
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
CNS
MF
EF-DIR
PIN
Kpri
DF-Netlink
Applicazione Sanitaria
(Netlink)
DF-F Digitale
EF-GDO
PUK
EF-KPub
DF-Anagrafica
Dati
Anagrafici
DF-Altri Servizi
Quantità Sic.
Ente Emettitore
PIN-FD
Dati
Firma Digitale
CNIPA – 18 giugno 2004
Altri
Servizi
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
SmartCard
INTEROPERABILITA’
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
PC/SC e Interoperabilità

L’interoperabilità PC/SC consente di:

gestire in modo unificato lo Smart Card File System
tramite moduli SW (Service Provider) messi a
disposizione dai fornitori di Smart Card

gestire in modo unificato le funzioni crittografiche
simmetriche ed asimmetriche tramite moduli SW (Crypto
Service Provider) messi a disposizione dai fornitori di
Smart Card

Gestire in modo unificato i lettori di Smart Card tramite i
driver messi a disposizione dai fornitori
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Librerie Crittografiche e
Interoperabilità
Applicazioni di autenticazione e
Firma Digitale
Autenticazione SSL
<Microsoft C-API>
PKI Middleware
Microsoft CSP
WRAPPER PKCS#11/ATR Interceptor
SGU
SGU
PKCS#11
PKCS#11
CARTA 1
CARTA 2
PKCS#11
<ATR>
CARTA N
RESOURCE MANAGER
Drivers PCSC dei lettori
SO carta
1
CNIPA – 18 giugno 2004
SO carta
2
SO carta
N
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità SW
Applicazioni non crittografiche
Gestione informazioni
Applicative
(es:Sanità e servizi comunali)
WRAPPER/ATR Interceptor
APDU
MANAGER
1
APDU
MANAGER
2
<ATR>
APDU
MANAGER
N
DELTA SGU
RESOURCE MANAGER
Drivers PCSC dei lettori
SO carta
1
CNIPA – 18 giugno 2004
SO carta
2
SO carta
N
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità del sistema
operativo
Affinché un’applicazione possa interagire con differenti
tipologie di SmaCtcard senza la necessità di
accorgimenti SW è necessario che:
 i sistemi operativi abbiano gli stessi comandi APDU almeno
per la fase di utilizzo del ciclo di vita delle SmartCard;
 le SmartCard abbiano la medesima struttura del File System
e le stesse condizioni di accesso;
 I dati siano descritti con una sintassi comune (es: ASN1);
 I dati siano codificati con le medesime regole (es: BER);
Le smartcard del progetto Netlink, le CNS e la Carta di
Identità Elettronica interoperano in base alle precedenti
asserzioni
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Interoperabilità
delle Carte sanitarie
Carta
Netlink
Carta
Operatore
SISS/Netlink
Posto
di
Lavoro
dell’operatore
sanitario
Carta
Regionale
dei
Servizi
Carta
di
Identità
Elettronica
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card
Smart Card e PKI
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card e PKI
Directory
Shadow
CAO
•Certificati
X509v3
•CRL
Directory
CA
DB
Legenda
DB
RA
RA:Registration Authority
CAO:Crt. Authority Operator
RA Frontend
CA Toolkit
RAO:Registration Autority
Operator
CRL:Certificate Revocation List
User
Application
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Smart Card e PKI
Applicazione di firma digitale e
crittografia dei dati
(L D A P)
H-API
CA Toolkit
Directory
PKCS#11 API
Cryptoki
Resource Manager
CNIPA – 18 giugno 2004
Driver
IFD
SC
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca
Per maggiori informazioni
www.cnipa.gov.it
[email protected]
CNIPA – 18 giugno 2004
La tecnologie e le applicazioni delle SC nell’e-gov, G. Manca