carta multiservizi della difesa norme di gestione e di …€¦ · la cmd sarà ritirata al...

STATO MAGGIORE DELLA DIFESA Reparto Telecomunicazioni Elettronica ed Informatica

___________________________________________

SMD - I – 009

CARTA MULTISERVIZI DELLA DIFESA

NORME DI GESTIONE E DI IMPIEGO

Roma, 2005

ELENCO DI DISTRIBUZIONE

NR. COPIE ENTI Stampa Sw Diramazione Esterna MINISTERO DELLA DIFESA

- Gabinetto del Ministro - Servizio di Controllo Interno

STATO MAGGIORE ESERCITO STATO MAGGIORE MARINA STATO MAGGIORE AERONAUTICA COMANDO GENERALE ARMA CARABINIERI SEGRETARIATO GENERALE DELLA DIFESA E DNA CENTRO ALTI STUDI PER LA DIFESA COMANDO OPERATIVO DI VERTICE INTERFORZE COMANDO C4 DIFESA COMANDO INTERFORZE PER LE OPERAZIONI DELLE FORZE SPECIALI CENTRO INTERFORZE PER LA VERIFICA DEGLI ARMAMENTI QUARTIER GENERALE ITALIANO DI AFSOUTH QUARTIER GENERALE ITALIANO PRESSO IL COMANDO EUROFOR Diramazione Interna UFFICIO GENERALE DEL CAPO DI SMD UFFICIO DEL SOTTOCAPO DI SMD I REPARTO PERSONALE II REPARTO INFORMAZIONI E SICUREZZA III REPARTO POLITICA MILITARE E PIANIFICAZIONE IV REPARTO LOGISTICA E INFRASTRUTTURE V REPARTO AFFARI GENERALI UFFICIO GENERALE PIANIFICAZIONE PROGRAMMAZIONE E BILANCIO UFFICIO GENERALE AFFARI GIURIDICI UFFICIO DI COLLEGAMENTO DIFESA ESTERI c/o IL MIN. DEGLI AFFARI ESTERI UFFICIO AMMINISTRAZIONE REPARTO CC DELLO SMD COMMISSIONE TECNICA INTERMINISTERIALE PER I VOLONTARI SEGRETERIA DEL CONSIGLIO TECNICO-SCIENTIFICO DELLA DIFESA

1 1 1 1 1 1 1 1 1 1 1 1 1 1

1 1 1 1 1 1 1 1 1 1 1 1 1 1

1 1 1 1 1 1 1 1 1 1 1 1 1 1

1 1 1 1 1 1 1 1 1 1 1 1 1 1

III

REGISTRAZIONE DELLE AGGIUNTE E VARIANTI

1

2

3

4

5

6

7

IV

SOMMARIO 1. PREMESSA.................................................................................................................. 1

2. SCOPO DELLA DIRETTIVA........................................................................................ 2

3. REQUISITI E DISTRIBUZIONE DELLA CMD.............................................................. 3 a. REQUISITI DI BASE......................................................................................................................................... 3 b. DISTRIBUZIONE............................................................................................................................................... 3 c. VALIDITA’ ......................................................................................................................................................... 3

4. STRUTTURA E FUNZIONI DELLA CMD..................................................................... 4 a. STRUTTURA ...................................................................................................................................................... 4 b. FUNZIONI DELLA CMD................................................................................................................................. 5

(1) Identificazione ................................................................................................................................................ 5 (2) Autenticazione................................................................................................................................................ 6 (3) Attestazione.................................................................................................................................................... 6 (4) Cifra................................................................................................................................................................ 6 (5) Firma digitale ................................................................................................................................................. 7 (6) “Emergency Card” ......................................................................................................................................... 7 (7) Interoperabilità con CIE e CNS...................................................................................................................... 7 (8) Funzioni ulteriori............................................................................................................................................ 7

c. INFORMAZIONI PRESENTI SULLA CMD.................................................................................................. 8 (1) Dati personali ................................................................................................................................................. 8 (2) Dati biometrici................................................................................................................................................ 8 (3) Certificati digitali ........................................................................................................................................... 8 (4) PIN, PUK e “codice di sospensione”.............................................................................................................. 8 (5) Dati sanitari .................................................................................................................................................... 9

(a) Dati ad accesso limitato (Emergency Card) ................................................................................................ 9 (b) Dati ad accesso protetto .............................................................................................................................. 9

d. SERVIZI COLLEGATI ALL’USO DELLA FIRMA DIGITALE................................................................. 9 (a) Potere di Firma (Attribute Certificate) ....................................................................................................... 9 (b) Marcatura temporale (Time Stamping) ....................................................................................................... 9

5. LA STRUTTURA DI GESTIONE ............................................................................... 10 a. LA STRUTTURA DI ABILITAZIONE/GARANZIA (PKI) ...................................................................... 10 b. ARCHITETTURA DELLA PKI DELLA CMD ........................................................................................ 11 c. ARCHITETTURA DELLA PKI DI FIRMA.............................................................................................. 12 d. DESCRIZIONE DELL’ ORGANIZZAZIONE ............................................................................................ 12

(1) Responsabile per il Trattamento ................................................................................................................... 13 (2) Responsabile Periferico ................................................................................................................................ 13 (3) Responsabile della certificazione ................................................................................................................. 13

6. PROCEDURE DI ACQUISIZIONE DATI, RILASCIO E RINNOVO ............................ 14 a. ACQUISIZIONE DEI DATI............................................................................................................................ 14 b. ACQUISIZIONE DEI DATI IN AMBITO INTERFORZE.......................................................................... 14 c. ACQUISIZIONE DEI DATI PRESSO ALTRO ENTE ................................................................................ 15 d. EMISSIONE E RILASCIO DELLA CMD................................................................................................... 15 e. RINNOVO DELLA CMD ................................................................................................................................ 16

V

7. SOSPENSIONE E REVOCA DELLA CMD............................................................... 17 a. SOSPENSIONE................................................................................................................................................. 17 b. REVOCA ........................................................................................................................................................... 17

(1) Revoca di un Certificato della CMD ............................................................................................................ 17 (a) Revoca del Certificato di Firma o del Certificato di Cifra ........................................................................ 18 (b) Revoca del Certificato di Autenticazione.................................................................................................. 18

(2) Revoca della Carta........................................................................................................................................ 18 (a) Revoca su richiesta del Titolare o del Responsabile Periferico................................................................. 18 (b) Revoca su iniziativa del Responsabile della Certificazione: ..................................................................... 19

8. PROCEDURA DI “KEY RECOVERY” ...................................................................... 19

9. ALLEGATI.................................................................................................................. 21

VI

1. PREMESSA

La necessità di una carta elettronica nella quale fossero registrati i dati anagrafici e sanitari del personale era stata avvertita da parte delle FF.AA., in particolare da parte dell’ Esercito, durante le operazioni nei Balcani. In tale contesto furono pertanto avviate le iniziative necessarie per realizzare il software per la gestione delle informazioni di carattere personale e sanitario attraverso l’utilizzo di una “smart card” capace di memorizzare i suddetti dati. Nel contempo il Ministro per l'Innovazione e le Tecnologie, nel delineare la politica dell’e-government per il triennio 2003-2005, allo scopo di dare un nuovo impulso alla digitalizzazione della PA, aveva incluso tra gli obiettivi strategici l’erogazione on-line dei principali servizi al cittadino, prevedendo l’introduzione della Carta d’Identità Elettronica (CIE), della Carta Nazionale dei Servizi (CNS) e la diffusione della firma digitale, stabilendo gli standard e i criteri organizzativi da seguire. La Difesa, di conseguenza, allo scopo di dare una corretta e sinergica collocazione alle diverse attività in atto, ha elaborato un progetto unitario per la realizzazione della Carta Multiservizi della Difesa (CMD), interoperabile, per quanto possibile, con le predette Carte nazionali d’Identità Elettronica (CIE) e dei Servizi (CNS). Per dare validità legale alla CMD quale documento di riconoscimento a valenza internazionale ha richiesto ed ottenuto: − il riconoscimento della CMD come “carta valori” e l’inserimento di essa tra le “carte valori”

da parte del Dipartimento del Tesoro del Ministero dell’Economia e delle Finanze, secondo le attuali disposizioni legislative;

− la registrazione della carta stessa presso l’Ente Nazionale di Unificazione per le tecniche informatiche (UNINFO) e Registration Authority per l’Italia, con il conseguente rilascio del previsto “Issuer Identification Number (IIN)”.

Peraltro, nel nuovo “Codice dell’Amministrazione digitale”, approvato con D.lgs.4.3.2005, è previsto che “ le tessere di riconoscimento rilasciate dalle amministrazioni dello Stato, ai sensi del D.P.R. 28 luglio 1967, n. 851, possono essere realizzate anche con modalità elettronica ….”. Pertanto, la CMD ha tutti i requisiti per sostituire il Mod. AT come documento di riconoscimento elettronico , Mod.ATe, per i dipendenti pubblici. Inoltre, sul layout della carta è impressa la categoria della Convenzione di Ginevra per i militari prigionieri di guerra. La realizzazione del programma relativo alla CMD e l’attivazione delle principali applicazioni correlate sono facilitate anche dalla disponibilità di una potente infrastruttura digitalizzata, estesa su tutto il territorio nazionale ed ai Teatri operativi, pienamente interoperabile, e pongono le basi per avviare i primi e fondamentali servizi di “e-government” nell’ambito della Difesa. Le ampie possibilità di crescita del sistema e i prevedibili ulteriori sviluppi connessi devono evolvere nel solco delle linee di indirizzo sin qui tracciate ed in corso di perfezionamento. In questo contesto è necessario che tutte le esigenze del comparto in esame debbano essere definite ed attuate in un’ottica interforze, per ottimizzare le limitate risorse economiche e del personale specialista disponibili e per perseguire la più ampia interoperibilità nel settore dell’informatica gestionale della Difesa.

1

La CMD è il cardine univoco per l’adozione di numerose procedure informatiche atte ad automatizzare procedimenti funzionali omologhi (es. Gestione del Personale, Controllo Accessi fisici e logici, Gestione Logistica, ecc.). In tale contesto l’uniformità del “contenitore” dei dati, sia in termini di formato che di supporto fisico, consentirà una facile applicazione di procedure elettroniche sviluppate in ambito Difesa a livello generalizzato, con conseguente risparmio in termini di investimento. Pertanto, l’utilizzo di qualunque altra tipologia di carte dovrà essere considerato un’eccezione derivante da ben precise motivazioni.

2. SCOPO DELLA DIRETTIVA

La Carta Multiservizi Difesa è ormai una concreta realtà, anche nella considerazione che i programmi in esecuzione hanno consentito allo SMD e alle F.A. di avviare la realizzazione delle infrastrutture per la produzione delle carte e per la relativa distribuzione. Appare ora necessario regolamentare l’impiego della CMD e, pertanto, il presente documento stabilisce i principi fondamentali di gestione con specifiche norme circa il ciclo di vita e l’impiego della carta medesima. Mantenendo inalterati questi principi le F.A. potranno differenziarsi, secondo la propria organizzazione, nelle procedure di dettaglio applicativo. In considerazione della elevata velocità evolutiva dei sistemi informatici – e, fondamentalmente, la CMD è uno strumento informatico – la struttura della presente direttiva è stata concepita in modo da renderne semplici le prevedibili modifiche/innovazioni tecnologiche ovvero gli eventuali nuovi ambiti d’impiego. Per quanto precede, oltre ad un corpo centrale concettuale , sono stati previsti alcuni allegati che definiscono nel particolare gli aspetti normativi e tecnologici. Si è cercato, inoltre, di esplicare durante la trattazione il significato dei numerosi acronimi e/o definizioni ricorrenti che comunque sono riportati in un Glossario annesso dopo l’ultimo allegato.

2

3. REQUISITI E DISTRIBUZIONE DELLA CMD

a. REQUISITI DI BASE

Nell’elaborazione del progetto relativo alla Carta Multiservizi Difesa fu deciso che essa doveva avere una valenza giuridica sia “Esterna” all’ Amministrazione Difesa sia “Interna” ad essa. Quindi utilizzabile a “vista” ed in forma elettronica in modo che: − fosse in grado di assicurare una identità elettronica pienamente rispondente alle attuali

normative di legge; − costituisse “Documento di Riconoscimento” (identità personale); − contenesse i dati sanitari relativi al dipendente necessari ad assicurare le funzionalità

di “emergency card”; − contenesse dati biometrici; − realizzasse una parziale interoperabilità a livello:

Nazionale, con la Carta d’Identità Elettronica (CIE); Internazionale, con la struttura dati sanitari “NetLink”;

− fosse perfettamente interoperabile in ambito Difesa; − mantenesse la presenza di una banda magnetica, idonea a salvaguardare gli

investimenti pregressi in termini di sistemi di gestione del personale o accesso a servizi

b. DISTRIBUZIONE

Per quanto precede, è stato stabilito che tutti gli appartenenti al comparto Difesa in servizio, sia militari che civili, dovranno essere dotati della Carta Multiservizi della Difesa secondo criteri analoghi all’attuale Mod. AT. La distribuzione avverrà da parte di: − ciascuna Forza Armata, attraverso la propria infrastruttura, per il proprio personale

militare; − PERSOCIV attraverso l’infrastruttura gestita, tecnicamente, dal Comando C4 Difesa,

per il personale civile.

c. VALIDITA’

La CMD ha la validità di cinque anni. Non è previsto il rinnovo, alla scadenza verrà riemessa una nuova carta con nuovi certificati. Nel corso di validità, potrà essere sostituita in caso di: − variazione documentata del codice fiscale; − variazione dell’indirizzo e-mail personale registrato; − modifica sostanziale dei dati somatici / biometrici; − malfunzionamento della parte elettronica; − incongruenza dei dati memorizzati con quelli riportati a stampa;

3

− estrema usura invalidante dei dati a stampa; − smarrimento.

Non danno adito a sostituzione i trasferimenti, le promozioni. Tali variazioni saranno comunque inserite nella memoria della carta.

La CMD sarà ritirata al personale transitato in quiescenza.

4. STRUTTURA E FUNZIONI DELLA CMD

a. STRUTTURA

La CMD è, in sintesi, l’unione di tre strutture complesse:

− un supporto in materiale sintetico con elevata resistenza all’usura e con caratteristiche di sicurezza produttiva quali microstampa, superficie olografica, etc (Allegato A) che serve sia quale contenitore di informazioni “a vista” sia come supporto per la parte elettronica della carta ;

− un “chip elettronico” dotato di contatti elettrici (Allegato B) nel quale risiede l’intelligenza della carta e dove vengono depositate le informazioni necessarie agli ulteriori usi della medesima;

− una banda magnetica (Allegato C) che contiene alcune semplici informazioni atte a supportare ulteriori specifici impieghi della carta.

La Carta Multiservizi della Difesa è una carta elettronica del tipo “smart” ovvero dotata di una intelligenza interna che ne consente un impiego più articolato e complesso rispetto alle semplici carte passive o a memoria (es. Bancomat o Carte Abbonamento Trasporti). Si deve, tuttavia, sempre tenere presente che la carta elettronica è comunque un “contenitore complesso” di informazioni e che qualunque impiego è strettamente correlato alle strutture esterne e alle procedure che interagiscono con la carta e ne sfruttano le sue capacità applicative.

4

b. FUNZIONI DELLA CMD

La CMD, come indicato dal nome, è una carta multiservizi. Essa, peraltro, è anche una carta multifunzione. Ciò significa che un unico strumento è capace di erogare diverse funzioni ciascuna delle quali può, a sua volta, essere utilizzata per creare molteplici servizi. Ad esempio, la carta mette a disposizione la funzione di identificazione elettronica del titolare; questa stessa funzionalità può essere utilizzata sia per un servizio di controllo accessi che, ad esempio, per un servizio di registrazione per il ritiro/restituzione di armi da parte del titolare. Per quanto detto, è dunque possibile precisare con maggior dettaglio solo le funzioni principali della CMD. Per quanto riguarda i servizi, essi non vengono qui esplicitati in quanto il numero complessivo e la natura degli stessi è passibile di variare col tempo. Le funzioni principali della CMD sono di seguito elencate:

(1) Identificazione

La CMD è in grado di identificare “a vista”, cioè senza ausilio di strumenti elettronici di verifica. Tale procedura viene effettuata in modo identico alla identificazione tramite i documenti tradizionali di tipo cartaceo. Nel caso della CMD il legame tra i dati personali ed il dato biometrico (foto) che permette l’associazione visiva del Titolare, è costituito dal supporto plastico che possiede le opportune garanzie di non riproducibilità e anticontraffazione. Pertanto l’incaricato al controllo sarà in grado di :

− verificare che la foto sulla carta corrisponda al viso del titolare; − verificare che l’overlay olografico posto a protezione dei caratteri stampati sul

supporto sia integro (l’ologramma recante la figura dell’Italia deve risultare non interrotto all’interno del supporto);

− leggere i dati personali del titolare stampati sul fronte e sul retro della carta. Avendo la CMD le necessarie caratteristiche tecnologiche, essa si pone quale documento che:

− è sostitutivo del Mod. ”AT”1,2 ; − ha valenza per l’espatrio nei modi e nei limiti del Mod. “AT”; − è completo di codice “International Civil Aviation Organization” (ICAO); − è valido per il riconoscimento dei militari prigionieri di guerra.

La CMD è in grado anche di identificare per via “elettronica”, grazie alle informazioni memorizzate all’interno del microcircuito. Questo secondo tipo di identificazione è indicato nei seguenti casi:

1 A decorrere dal 1 gennaio 2006. 2 Nel periodo di transizione la CMD sarà presente contestualmente al modello cartaceo.

5

− per verifiche di falso documentale, in quanto fornisce una prova inconfutabile che la carta è autentica e i dati non sono stati falsificati, senza richiedere all’esaminatore una particolare esperienza in questo tipo di controllo;

− in caso di uso della carta per procedure automatiche di controllo accessi, che generalmente sfruttano anche i dati biometrici (template di impronte digitali);

− in tutti i casi ove la semplice verifica elettronica dell’identità sia sufficiente ad assolvere allo scopo.

(2) Autenticazione

La funzione di autenticazione permette l’uso della CMD come strumento di accesso ad una rete od in particolare ad un portale web o ad una procedura informatica appositamente predisposta. La funzione di autenticazione è una identificazione elettronica, svolta da remoto (ossia in rete) che, quindi, garantisce unicamente l’identificazione certa della CMD poiché non risulta possibile verificare, da remoto, che il titolare non abbia ad es. prestato la sua carta ad un altro soggetto, dandogli conoscenza anche del proprio codice di accesso (PIN). La procedura di autenticazione richiede la presenza sulla carta della componente privata di una coppia di chiavi asimmetriche RSA generate on-board durante la fase di personalizzazione e di un certificato digitale di autenticazione.

(3) Attestazione

La funzione di attestazione permette l’uso della CMD delle richieste di servizi ed , in particolare, della posta elettronica. Essa è utile in tutti quei casi in cui l’uso della funzione di firma digitale “forte” non è raccomandabile in termini di sicurezza, in quanto non è verificabile ciò che realmente si sta firmando (ad es. la compilazione di una form su web). La procedura di attestazione richiede la presenza sulla carta della componente privata di una coppia di chiavi asimmetriche RSA generate on-board durante la fase di personalizzazione e di un certificato digitale. Nel caso della CMD, quest’ultimo corrisponde a quello di autenticazione precedentemente descritto, che quindi assume due funzioni, analogamente a quanto adottato nella Carta d’Identità Elettronica. Per poter utilizzare la funzione di attestazione, è necessario aver precedentemente predisposto la postazione di lavoro a tale scopo.

(4) Cifra

E’ previsto che la CMD possa essere utilizzata per cifrare eventuali comunicazioni o documenti a carattere confidenziale. La procedura di cifra richiede la presenza sulla carta della componente privata di una coppia di chiavi asimmetriche RSA e di un certificato digitale di cifra .

6

Il certificato di cifra può essere utilizzato anche al di fuori della posta elettronica, realizzando applicazioni di cifra ad hoc che ne facciano uso. Per poter utilizzare la funzione di cifra, è necessario aver precedentemente predisposto la postazione di lavoro a tale scopo.

(5) Firma digitale

La CMD permette la firma digitale (firma a valore legale). Per ragioni di sicurezza, l’uso della firma digitale è condizionato da un secondo PIN a ciò appositamente dedicato. In questo modo, non è possibile confusione: la richiesta del PIN di firma implica l’operazione di firma digitale a valore legale e viceversa, se si vuole far firmare digitalmente il titolare della carta, è necessario richiedergli l’inserimento del PIN di firma. Per questo nella CMD sono presenti due PIN, uno generico per le operazioni di autenticazione e cifra e per regolare l’accesso a eventuali dati privati registrati sulla carta, l’altro dedicato alla sola firma digitale. Per poter utilizzare la funzione di firma, è necessario aver precedentemente predisposto la postazione di lavoro a tale scopo.

(6) “Emergency Card”

La CMD prevede la registrazione di informazioni di carattere sanitario, utilizzabili da applicazioni appositamente realizzate per l’Amministrazione Difesa e, per la componente dati sanitari di emergenza, anche da applicazioni di sanità civile, grazie alla registrazione di questo subset di dati in formato standard Netlink.

(7) Interoperabilità con CIE e CNS

La CMD assicura l’interoperabilità con la Carta d’Identità Elettronica e con la Carta Nazionale dei Servizi a livello delle informazioni di identificazione. Le tre carte sono anche interoperabili a livello di informazioni sanitarie di emergenza, grazie all’adozione del medesimo standard Netlink.

(8) Funzioni ulteriori

La CMD è capace di contenere ulteriori dati relativi al Titolare ed altre funzioni. Le procedure di sicurezza della carta, perseguendo una adeguata protezione dei dati contenuti, comportano, di converso, una particolare complessità nella scrittura di nuovi dati e nell’inserimento di nuove funzioni. Per quanto precede, qualunque nuova funzione della carta dovrà essere proposta allo SMD - Reparto TEI per l’opportuna valutazione e la necessaria approvazione.

7

c. INFORMAZIONI PRESENTI SULLA CMD

I seguenti paragrafi descrivono i principali gruppi di informazioni presenti sulla CMD.

(1) Dati personali

I dati personali presenti sulla CMD sono rappresentati nelle tabelle dell’Allegato ‘F’ dove è contenuta la struttura dei dati memorizzati nei rispettivi file sulla CMD, il formato degli stessi e la lunghezza.

(2) Dati biometrici

I dati biometrici comunque presenti sulla CMD sono costituiti dai template di due impronte digitali, di norma, di arti differenti I template sono codici alfanumerici che vengono derivati dall’immagine dell’impronta. Essi garantiscono la privacy del titolare, in quanto da un template non è possibile risalire al disegno dell’ impronta originale e, comunque, tale codice non viene archiviato a livello centralizzato ma solo registrato nella carta rimanendo nell’esclusiva disponibilità dell’interessato. Per utilizzi particolari potranno essere caricati nella CMD ulteriori dati biometrici quali template della mano, iride, ecc. .

(3) Certificati digitali

Sulla CMD sono previsti 3 coppie di chiavi RSA a 1024 bit e 3 (tre) certificati digitali ad esse corrispondenti, di seguito elencati:

− Certificato di autenticazione/attestazione − Certificato di cifra; − Certificato di firma digitale.

(4) PIN, PUK e “codice di sospensione”

Sulla CMD sono previsti due codici PIN:

− PIN di firma digitale, per la sola operazione di firma digitale a valore legale; − PIN carta, per tutte le altre operazioni;

ed i relativi due codici PUK: − PUK di firma digitale, per lo sblocco del PIN di firma digitale; − PUK carta, per lo sblocco del PIN carta.

Il Titolare riceverà inoltre un codice di sospensione ( la c.d. “passphrase”) da utilizzare in caso di richiesta telefonica di sospensione.

8

(5) Dati sanitari La Carta contiene una struttura per i dati sanitari rispondente alle necessità operative della Difesa e compatibile con il protocollo di standardizzazione dei dati sanitari adottato a livello internazionale (NetLink). La struttura dei dati prevede la seguente configurazione:

(a) Dati ad accesso limitato (Emergency Card)

quelli che possono essere letti in condizioni di emergenza sia dal personale autorizzato dal Servizio Sanitario Nazionale (SSN) sia dal personale autorizzato dal Servizio Sanitario Militare (SSM); essi sono riferiti a dati amministrativi (cognome, data di nascita, codice fiscale, indirizzo, ecc.) e ai più importanti dati sanitari (gruppo sanguigno e trasfusioni, immunizzazioni, terapie correnti, organi mancanti, ecc.);

(b) Dati ad accesso protetto quelli che, a salvaguardia della riservatezza dei dati personali, possono essere letti e scritti solo da personale autorizzato in possesso di chiavi di lettura/scrittura rilasciate dal SSM congiuntamente all’assenso del titolare della carta attraverso la digitazione del proprio PIN carta.

Maggiori dettagli sono esplicitati in Allegato G. Una apposita procedura per la gestione dei dati sanitari, realizzata su indicazioni della Direzione di Sanità Militare, verrà distribuita alle infermerie di Corpo ed alle altre strutture sanitarie militari.

d. SERVIZI COLLEGATI ALL’USO DELLA FIRMA DIGITALE

Presso la struttura di gestione della PKI di Firma, dettagliata nel paragrafo successivo, sono attivi i seguenti servizi collegati all’uso del certificato di firma digitale:

(a) Potere di Firma (Attribute Certificate)

Il servizio di Potere di Firma è erogato da una infrastruttura informatica detta Attribute Authority (AA). La AA, attraverso la gestione di un apposito server, basandosi sugli attributi del soggetto e/o sul ruolo che esso svolge all'interno di un preciso contesto, emette un certificato che attesta l'autorizzazione dello stesso a firmare un dato documento.

(b) Marcatura temporale (Time Stamping) Il servizio di marcatura temporale è erogato da una infrastruttura informatica detta Time Stamping Authority (TSA). La TSA, attraverso la gestione di un apposito server, attesta come un documento sia riconducibile ad un preciso riferimento temporale opponibile a terzi. Il servizio erogato dalla TSA viene quindi chiamato "marcatura temporale" o "time stamping".

9

5. LA STRUTTURA DI GESTIONE

Le procedure di gestione della Carta Multiservizi della Difesa fanno riferimento alle seguenti due strutture logico-funzionali : − la struttura di abilitazione/garanzia (PKI); − la struttura di produzione fisica della CMD in termini di stampa, inserimento dati e loro

validazione elettronica, compresa la gestione di sospensione e revoca.

a. LA STRUTTURA DI ABILITAZIONE/GARANZIA (PKI)

Si definisce PKI (Public Key Infrastructure) l’infrastruttura logica (procedure operative) e fisica (Certification Authority, Registration Authority, CMS, LDAP, etc.) per la gestione di certificati a chiave pubblica; questa comprende ogni componente coinvolto nella emissione e nella gestione dei certificati digitali e delle relative chiavi. La PKI della Difesa è articolata in due parti:

− un’infrastruttura a supporto dell’emissione e la gestione dei certificati di

autenticazione e di cifra; − un’infrastruttura a supporto dell’emissione e la gestione dei certificati di firma digitale.

Entrambe le infrastrutture lavorano con la CMD che è il contenitore dei certificati digitali e delle relative coppie di chiavi. La figura in basso vuole evidenziare quanto detto sopra; esistono due PKI: l’una, la PKI CMD, emette i certificati di Autenticazione e Cifra, l’altra , la PKI Firma, emette il certificato di Firma. Il punto di contatto tra le due PKI è la CMD.

PKI CMD

PKI Firma

10

b. ARCHITETTURA DELLA PKI DELLA CMD

La PKI della CMD è una PKI gerarchica, vediamo con uno schema la sua struttura

CA Difesa

Sub CA 1

LDAP1

Sub CA 2

LDAP2

Sub CA 3

LDAP4LDAP3

Sub CA 4

DB1 RA1 DB2 RA2 DB3 RA3 DB4 RA4

CMS3 CMS4 CMS1 CMS2

La Certification Authority (CA) della Difesa è quella struttura logica che da vita alla catena di garanzia (trust) che ha, come termine ultimo, il certificato di autenticazione presente nella CMD. Tale CA detta root (radice) delega la propria “credibilità” alle sottostrutture di CA di F.A. e di Persociv. La CA della Difesa (in alto) emette solo, una tantum, il certificato di trust per ogni singola sub CA che pertanto sarà autorizzata ad emettere certificati di autenticazione e cifra in modo autonomo per il personale sotteso ad essa. Questi certificati vengono riconosciuti validi in quanto riportano la catena di autorizzazione (trust) della CA Difesa. Ogni Sub CA gestisce autonomamente la lista dei diritti di accesso di ogni singolo utente (nella figura LDAPx ,Lightweight Directory Access Protocol) e pubblica, sempre in maniera autonoma, le liste di revoca, le CRL (Certificate Revocation List ). Ogni Registration Authority (in figura RAx) insieme al proprio Card Management System (CMSx), ovvero al sistema di emissione/produzione delle CMD, gestisce in modo autonomo il Database dei dati del personale della propria amministrazione.

11

c. ARCHITETTURA DELLA PKI DI FIRMA

CA Firma

DB1 DB4 RA4 DB3 RA3 DB2 RA2 RA1

LDAP Firma

CMS1 CMS2 CMS3 CMS4

Poichè le attuali norme non permettono un criterio di delega per l’emissione dei certificati di firma digitale qualificata, in questo ambito la Certification Authority della Difesa fornisce , senza Sub CA intermedie, direttamente ai quattro CMS i certificati di firma digitale a valore legale, da inserire nelle CMD. In questo contesto la LDAP dove vengono pubblicati i certificati è unica mentre, per ragioni di opportunità, le Registration Authority, i CMS e i DB coincidono con quelli della struttura precedente. Il certificato di firma digitale è riconosciuto pubblicamente perché il Centro Tecnico per l’Informatica nella Pubblica Amministrazione (CNIPA) valida nelle proprie strutture documentali la struttura di CA di firma della Difesa.

d. DESCRIZIONE DELL’ ORGANIZZAZIONE

Per l’emissione e la gestione di una CMD il riferimento è la Registration Authority e il Card Management System del dominio – F.A./Persociv - cui appartiene il militare/civile Le due PKI distinte di cui si avvale la Difesa condividono il Trust Center (o Centro di Certificazione) dove vengono fisicamente emesse e gestite le CMD. La Registration Authority è un elemento complesso costituito da unità logiche periferiche, le Local Registration Authority (LRA), che, distribuite sul territorio,

12

sovrintendono alle operazioni di raccolta, identificazione, registrazione ed invio dei dati ad un elemento centralizzato (RA), che, dopo gli opportuni controlli di congruità, li rende disponibili per il successivo ciclo produttivo. Tale organizzazione poggia la propria funzionalità su alcun figure chiave.

(1) Responsabile per il Trattamento

Il Responsabile per il Trattamento è la figura dell’Ente Periferico che ha il compito di acquisire i dati personali, amministrativi, militari e biometrici (foto ed impronte digitali) del personale cui deve essere rilasciata la CMD. Questa figura s'identifica in genere con un dipendente dell’ ufficio personale e svolge le seguenti attività:

− acquisizione dei dati, − modifica dei dati variabili sulle CMD − processo di “key recovery” (recupero file certificati e chiavi di cifratura)

Il Responsabile per il Trattamento oltre alla propria CMD, abilitata a svolgere l’acquisizione, utilizza la CMD di Reparto per la modifica dei dati definiti variabili sulla CMD.

(2) Responsabile Periferico

Il Responsabile Periferico è la figura dell’Ente periferico che ha il compito di approvare le richieste di emissione delle CMD certificando con la propria CMD la veridicità e regolarità dei dati acquisiti. Effettua, ove il Titolare della CMD ne fosse sprovvisto, il recupero della passphrase che permette di leggere il file contenente i certificati e chiavi di cifratura nel processo di “key recovery”. Nomina il Responsabile per il Trattamento e, opzionalmente, può delegare le proprie incombenze di Responsabile Periferico a personale di sua fiducia. Questa figura si identifica in genere con il Responsabile dell’Ente (Comandante, Direttore, ecc.) che, certificando l’acquisizione dei dati del personale del proprio Ente e degli Enti viciniori che fanno riferimento al suo Centro di Registrazione, approva la richiesta di emissione di una CMD.

(3) Responsabile della certificazione

Il Responsabile della Certificazione è la figura che nel CMS è responsabile delle procedure per la generazione, la sospensione e la revoca dei certificati.

Una descrizione articolata dei compiti/responsabilità e organizzazione è riportata nell’Allegato E

13

6. PROCEDURE DI ACQUISIZIONE DATI, RILASCIO E RINNOVO

a. ACQUISIZIONE DEI DATI

La procedura acquisizione dei dati, il c.d. enrollment, avviene presso i Locali Centri di Registrazione, dislocati, ove possibile, presso il Reparto/Ente del richiedente. Il Responsabile del Trattamento (ufficialmente nominato dal Responsabile Periferico), effettuata l’ identificazione del richiedente con un valido documento di riconoscimento, procede all’acquisizione dei dati personali, delle impronte e della foto attraverso specifiche procedure, convalida i dati con la propria firma digitale e fa firmare all’interessato una copia cartacea dei dati raccolti che poi lui stesso controfirma. Il Responsabile Periferico (o suo delegato) convalida i dati attraverso una apposita procedura di approvazione firmando con la propria firma digitale e controfirmando inoltre tradizionalmente la copia cartacea. I dati pervengono quindi al CMS dove vengono verificate le firme digitali apposte dal Responsabile del Trattamento e dal Responsabile Periferico. Come ulteriore verifica viene controllato sul Data Base del CMS che il Responsabile Periferico abbia ricevuto apposita delega per le operazioni di firma.

b. ACQUISIZIONE DEI DATI IN AMBITO INTERFORZE

L’acquisizione dei dati al livello interforze è garantita dalla interoperabilità tra i CMS delle FF.AA e Persociv realizzata tramite moduli specifici di interscambio. Di seguito viene mostrato uno schema esemplificativo.

Ente Interforze EI AM MM

Persociv

CMS-EI CMS PERSOCIV

ACQ EI

CMS-MM CMS-AM

ACQ Persociv

ACQ AM

ACQ MM

14

I CMS di F.A. e Persociv (rappresentati in basso con i nomi CMS-EI, CMS-AM, etc.) sono tra di loro completamente separati e non interagiscono. I circuiti di acquisizione di F.A. e Persociv, abbreviati in figura con ACQ, comunicano invece sia con i relativi CMS che con gli altri circuiti di acquisizione. Tale capacità di interscambio è strumentale al rilascio della CMD in tutte quelle occasioni in cui il richiedente lavora in un dominio differente dal proprio (altre F.A. o strutture interforze della Difesa). In tale contesto il Responsabile Periferico può convalidare la procedura perché il circuito di acquisizione con cui è normalmente in collegamento trasferirà automaticamente la richiesta alla corretta struttura di emissione.

c. ACQUISIZIONE DEI DATI PRESSO ALTRO ENTE

Considerata la varietà e la frammentazione sul territorio di alcuni Enti/Uffici, non in tutti sarà ritenuto conveniente costituire un locale Centro di Registrazione (LRA). Pertanto il personale di questi Enti sarà indirizzato presso specifici Centri viciniori che, in base al “concetto di ospitalità” già in altre occasioni applicato, si faranno carico dell’acquisizione e certificazione dei dati, indipendentemente dalla categoria e /o FA del richiedente. Potrà essere prerogativa del Centro quella di esigere che il personale proveniente da altro Ente giunga provvisto di una scheda anagrafico-amministrativa vidimata dal proprio Comando. Non appena l’organizzazione periferica delle FA/ Persociv sarà definita, verrà indicato, con apposita circolare, per ogni Ente/Ufficio il corrispettivo Centro di Registrazione.

d. EMISSIONE E RILASCIO DELLA CMD

La CMD viene pre-stampata presso l’Istituto Poligrafico e Zecca dello Stato e contiene oltre il layout, anche elementi che la rendono non replicabile; in particolare viene impresso con una tecnologia di laser engraving l’identificativo progressivo della carta. Il file system viene caricato a bordo del chip con l’identificativo della carta stessa impresso nel layout. Presso i CMS di F.A./Persociv avviene la seconda fase di personalizzazione. Allo scopo di delineare sommariamente il processo, in gran parte automatizzato, di emissione della CMD, si enumerano di seguito i passi logici fondamentali compresi in tale procedura: − il personale del Centro di Certificazione preposto all’emissione, dopo aver verificato il

corretto funzionamento della carta, avvia il processo di emissione; si genera all’interno della carta la prima coppia di chiavi e viene inoltrata alla apposita

Sub CA una richiesta di certificato di autenticazione firmata dalla carta stessa; la Sub CA rilascia il certificato di autenticazione e lo pubblica sul proprio sito; il certificato viene installato a bordo della CMD, vengono inseriti i dati personali nel

chip e personalizzata la carta graficamente;

15

si genera all’interno della carta la seconda coppia di chiavi e viene inoltrata alla PKI di Firma una richiesta di certificato di firma digitale firmata dalla carta stessa;

la PKI di Firma rilascia il certificato di firma digitale e lo pubblica sul proprio sito; il certificato di Firma Digitale viene installato a bordo della CMD; viene generata dal CMS la terza coppia di chiavi e viene fatta firmare la richiesta di

un certificato di cifra alla carta stessa; il CMS inoltra la richiesta alla propria Sub CA che rilascia il certificato di cifra; il CMS installa a bordo della CMD il certificato di cifra, e memorizza in un proprio

database la chiave privata corrispondente (procedura di escrew); il CMS stampa sulla busta apposita (busta cieca) i relativi PIN, PUK e “codice di

sospensione” insieme eventualmente all’indirizzo di posta elettronica del titolare; il CMS ad operazione avvenuta con successo pone la carta in stato attivo;

− le CMD così personalizzate possono essere ritirate da personale delegato dal Responsabile Periferico o inviate tramite posta assicurata;

− le buste contenenti i codici di attivazione, possono essere inviate per posta (ma non contestualmente alle CMD) o ritirate da altro personale delegato dal Responsabile Periferico (comunque diverso rispetto a chi riceve le CMD);

− il Responsabile Periferico riceve in consegna in tempi diversi la CMD e la busta dei codici che deve consegnare al Titolare previa autenticazione;

− il Titolare ritira la carta ed i codici dopo aver verificato che la busta dei codici sia intatta e che i dati riportati sulla CMD corrispondano ai propri.

(1) : processo automatico

e. RINNOVO DELLA CMD

Sarà cura delle RA-CMS gestire la tempistica dei rinnovi utilizzando apposite procedure, ancora allo studio, che provvedano, in base all’esame delle proprie registrazioni, ad avvisare gli interessati, Titolari e LRA, dell’approssimarsi della scadenza, così da non creare soluzioni di continuità nel servizio.

16

7. SOSPENSIONE E REVOCA DELLA CMD

La CMD , in quanto “carta valori” dello Stato, deve essere oggetto della massima attenzione da parte del titolare nella cura e nella conservazione della stessa. Essa è una carta “elettronica” e la sua validità è fondata sull’efficienza del chip e sulla legittimità dei dati memorizzati oltre che di quelli serigrafati sul supporto plastico. Come già anticipato, nel chip sono memorizzati tre certificati primari: uno relativo alla “firma digitale”, uno di “autenticazione” del titolare e l’altro di cifratura. Mentre il processo di sospensione/revoca dei certificati di firma e di cifra non inficia la validità della carta, che continua nella sua funzione di riconoscimento del titolare, la sospensione/revoca del certificato di autenticazione annulla l’efficacia della carta che dovrà essere riemessa con nuovi certificati. Pertanto le procedure di sospensione/revoca della CMD sono da riferirsi alla validità dei certificati ivi contenuti e sono di stretta competenza dei CMS che si attiva, generalmente, su segnalazione delle LRA.

a. SOSPENSIONE

La richiesta di sospensione è presentata di norma personalmente dal Titolare presso una qualunque LRA o, in alternativa, via WEB o telefono comunicando il proprio “codice di sospensione” e presentando successivamente una motivata richiesta scritta. La LRA provvederà a far pervenire la richiesta al competente CMS. Cause di sospensione possono essere: − furto/smarrimento della carta (previa denuncia all’ Autorità Giudiziaria); − compromissione/perdita dei codici PIN e PUK; − inefficienza del chip ; − ogni altro motivo che possa dare adito ad un uso improprio della carta. La LRA e il CMS possono, ove ne ricorrano giustificati motivi, procedere autonomamente alla procedura di sospensione. La sospensione di un certificato ha una durata limitata nel tempo (di massima 15 giorni), dopodiché, ove non siano cessate le condizioni di sospensione, si procede alla sua revoca. Il CMS provvederà a tenere aggiornata una lista pubblica dei certificati sospesi (CSL).

b. REVOCA

Il Processo di Revoca può essere di due tipi:

− Revoca di un Certificato della CMD − Revoca della Carta

(1) Revoca di un Certificato della CMD

Un Certificato si può revocare per uno dei seguenti motivi:

17

− compromissione o sospetta compromissione della relativa chiave privata; − cambio di almeno uno dei dati pubblicati nel certificato o dati errati; − il titolare ha violato apertamente i suoi obblighi relativi alla titolarità del

certificato; − smarrimento o distruzione del dispositivo che contiene la relativa chiave privata

(CMD).

(a) Revoca del Certificato di Firma o del Certificato di Cifra

In questo caso la CMD continua a valere come documento di identificazione, mentre vengono rese non valide le operazioni di firma e/o cifra. Per effettuare il rinnovo del certificato il titolare deve far richiesta di una nuova carta al Responsabile Periferico della propria LRA.

(b) Revoca del Certificato di Autenticazione

Il Certificato di Autenticazione ha la stessa validità della CMD per cui la revoca di questo certificato implica necessariamente ed immediatamente la revoca della CMD.

(2) Revoca della Carta

La revoca può essere richiesta dal Titolare del Certificato, dal Responsabile Periferico o dal Responsabile alla Certificazione. Casi previsti per la revoca:

(a) Revoca su richiesta del Titolare o del Responsabile Periferico

Il Titolare o il suo Responsabile Periferico possono richiedere la revoca , secondo la normativa definita dal proprio CMS, del certificato per uno dei seguenti motivi:

− compromissione o sospetta compromissione della CMD; − compromissione o sospetta compromissione del certificato di autenticazione; − scadenza della CMD; − dati non variabili errati (ad es. il codice fiscale, il cognome, il nome, etc); − violazione degli obblighi relativi alla titolarità della CMD (ad esempio

cessione della CMD); − smarrimento o distruzione della CMD.

18

(b) Revoca su iniziativa del Responsabile della Certificazione:

Il Responsabile alla Certificazione può richiedere la revoca del certificato, oltre che per i motivi elencati al para precedente, anche per:

− errato funzionamento del processo di emissione della CMD; − sospetto o certezza di compromissione della chiave privata della CA di F.A.; − cessazione di attività di CA; − sospensione della CMD per oltre il tempo massimo previsto.

8. PROCEDURA DI “KEY RECOVERY”

Il processo di Key Recovery è utilizzato per recuperare il file che contiene il certificato e le relative chiavi di cifratura (File P#12); questo processo è necessario quando si smarrisce la CMD oppure non è più possibile decifrare con la CMD i documenti cifrati con la relativa chiave di cifra. Per sicurezza il file è cifrato con la PassPhrase ricevuta insieme ai codici PIN e PUK. In caso di perdita della PassPhrase, questa viene richiesta al CMS dal Responsabile Periferico. Infatti i processi di recupero del File P#12 e della PassPhrase avvengono separatamente, l’uno attraverso il profilo Responsabile per il Trattamento, l’altro attraverso il profilo Responsabile Periferico. Le operazioni da eseguire sono le seguenti:

− il Titolare del certificato che ha necessità del Key Recovery si reca dal Responsabile per il

Trattamento; − il Responsabile per il Trattamento effettua la richiesta al Database del CMS passando l’ID

della CMD per cui è richiesto il Key Recovery; − il Database del CMS restituisce il File P#12 cifrato;

il Titolare, se in possesso della PassPhrase potrà aprire il File P#12 e recuperare le relative chiavi, altrimenti :

− si reca dal Responsabile Periferico; − il Responsabile Periferico effettua la richiesta al Database del CMS della PassPhrase

passando l’ID della CMD per cui è richiesto il Key Recovery; − attraverso la PassPhrase è possibile aprire il File P#12 e recuperare le relative chiavi.

La figura nella pagina successiva tende a raffigurare le suddette operazioni.

19

e

Responsabile Trattamento

1

File P#12

cifrato

3

DBCMS

2

Invio ID_CMD

Richiesta P#12

Richiesta PassPhrase

4

Titolar

PassPhrase 5

Resp.Periferico

6 ID
Invio _CMD
20

9. ALLEGATI

Come già espresso nel § 2., l’elevata velocità evolutiva dei sistemi informatici lascia prevedere che molte potranno essere le modifiche/innovazioni tecnologiche ovvero gli eventuali nuovi ambiti d’impiego della CMD. Per quanto precede, oltre ad un corpo centrale concettuale della presente direttiva, gli argomenti suscettibili di evoluzione sono stati sviluppati in forma di allegati che definiscono nel particolare gli aspetti normativi e tecnologici.

• Allegato A : Struttura fisica della CMD.

• Allegato B : Elettronica e software della CMD.

• Allegato C : Struttura della banda magnetica della CMD.

• Allegato D : Certificati digitali.

• Allegato E : Servizio di Certificazione.

• Allegato F : Formato dati.

• Allegato G : Dati sanitari.

• Allegato H : Formato della fotografia.

• Allegato I : Memorandum di sicurezza del titolare.

• Annesso : GLOSSARIO

21

Allegato A

COMPONENTE ESTERIORE DELLA CMD 1. IMPOSTAZIONE GRAFICA COMPLESSIVA

La CMD, di dimensioni standard, tipiche delle “smart-card”, è dotata di una base grafica, secondo l’esempio allegato, con serigrafia a colori sfumati (ocra fronte e retro) da sinistra a destra, della dicitura “REPUBBLICA ITALIANA”, secondo linee ondulate e ripetuta per coprire l’intero retro della carta.. Essa è dotata, ad avvenuta stampigliatura da parte amministrazione Difesa, di un ulteriore strato di “overlay olografico” a caldo, fronte–retro, dello spessore di 10 micron a nastro su cui sono incisi gli stemmi della Repubblica. La CMD viene graficamente preimpostata, a cura dell’ Istituto Poligrafico e Zecca dello Stato (IPZS), in conformità alla bozza riportata di seguito: a. FRONTE

1) Codice identificativo univoco della carta,stampato in modo indelebile e memorizzato all’interno del chip in un file non modificabile”, nella posizione e dimensioni caratteri indicati nella bozza allegata.

2) Ologramma di sicurezza inserito “a caldo”, realizzato con tecnologia mista DOT-MATRIX + 2D/3D, in cui in primo piano appare lo stemma della Repubblica. La stella dello stemma della Repubblica e l’interno della ruota dentata dovranno mostrare un effetto cinetico di contrazione-espansione ruotando l’ologramma sia intorno all’asse verticale che intorno all’asse orizzontale. La microscrittura”REPUBBLICA ITALIANA” dovrà apparire prospetticamente in secondo piano, nella posizione indicata nella bozza allegata.

3) Serigrafia di colore azzurro, con dicitura “REPUBBLICA ITALIANA”, seguita da “MINISTERO DELLA DIFESA” in nero, in posizione centrale immediatamente sotto la scritta in azzurro ed infine , nel caso di appartenenti alle F.A., la denominazione per esteso della Forza Armata, sempre in nero, centrale sotto la denominazione del Ministero. Le posizioni effettive potranno essere dedotte per ordine e dimensioni dei caratteri dalla bozza allegata.

4) Serigrafia di colore azzurro, indicante i numeri 1,2,3,4,5,6,7 seguiti da “Cognome, Nome, Posizione, Categoria, Rilasciato da, Rilasciato il, Scadenza il”, con relativa dizione inglese, nelle posizioni, ordine e dimensioni caratteri indicati nella bozza allegata.

5) “Microprint” negativo, nella zona di separazione tra la parte superiore del documento contenete il codice ICAO, con la dicitura, in negativo azzurro su fondo rosa, recante la scritta “REPUBBLICA ITALIANA”, nella posizione e dimensioni caratteri indicati nella bozza allegata.

A-1

Allegato A

b. RETRO

1) “Microprint” negativo nella parte superiore del documento con la dicitura, in negativo azzurro su fondo rosa, recante la scritta “REPUBBLICA ITALIANA”, nella posizione e dimensioni caratteri indicati nella bozza allegata.

2) Serigrafia di colore azzurro, indicante i numeri 8,9,10,11,12,13,14,15,16,17,18,19 seguiti da “Cod.Fisc., Cittadinanza, Nato/a a, Nato/a il, Statura, Sesso, Capelli, Occhi, Segni particolari, residente a, In, Note”, con relativa dizione inglese, nelle posizioni, ordine e dimensioni caratteri indicati nella bozza allegata.

3) Serigrafia di colore azzurro, indicante la dicitura “Blood type:”, nelle posizione e dimensioni caratteri indicati nella bozza allegata.

4) Serigrafia di colore azzurro, indicante la dicitura “Geneve conventions Category:”, nelle posizione e dimensioni caratteri indicati nella bozza allegata.

5) Serigrafia di colore azzurro, indicante la dicitura “Mod.: XXX” e “ Proprietà del Governo Italiano”, nelle posizione e dimensioni caratteri indicati nella bozza allegata e con l’indicazione del modello (in sostituzione delle XXX) che verrà fornita dall’A.D..

6) Banda magnetica ad alta coercività di colore nero. 2. DATI PERSONALI DA INSERIRE A CURA DELL’A. D.

L’Amministrazione della Difesa (A.D.) si è dotata di strumenti idonei a stampare, nella posizione indicata dalla bozza allegata, nella fase di emissione della Carta, i seguenti dati identificativi: a. FRONTE:

1) In posizione centrale allineati con il bordo sinistro della fotografia (di dimensioni 23 x 28 mm - 200dpi) i seguenti dati identificativi:

1. Cognome; 2. Nome; 3. Posizione; 4. Categoria; 5. Ente che rilascia il documento; 6. Data di rilascio; 7. Scadenza.

2) Codice ICAO OCRB1(cheque card format F-1), su tre linee alla base della

CMD, di 30 caratteri ciascuna, leggibili da sistemi OCR, secondo le indicazioni standard delle vigenti normative in materia1.

1 Documento 9303 edito dall’ICAO, relativo ai “ OFFICIAL TRAVEL DOCUMENTS

A-2

Allegato A

b. RETRO

1) I seguenti dati identificativi:

8. Codice Fiscale; 9. Cittadinanza; 10. Comune di nascita; 11. Data di nascita; 12. Statura, in metri e decimali di metro; 13. Sesso; 14. Colore Capelli; 15. Colore occhi; 16. Eventuali segni particolari; 17. Indirizzo di residenza; 18. Comune di residenza; 19. Note.

2) “Geneve conventions Category:” seguito dalla Categoria della Convenzione di

Ginevra per le carte destinate al personale militare.

A-3

Allegato A

GRAFICA DELLA CMD

A-4

Allegato B

ELETTRONICA E SOFTWARE DELLA CMD 1. Microchip

La CMD è dotata di microchip operante con sistema operativo CardOS M4, certificato ITSEC e4-high ed. I chip seguono questi Standard e sono rispondenti alle seguenti caratteristiche minimali:

• ISO/IEC 7816, parti 3, 4, 5, 8 e 9; • EMV2000; • GSM 11.1X; • 32 Kbytes EEPROM; • 63 Kbytes User ROM; • Advanced Crypto Engine per Public Encryption RSA fino a 2048 bit; • Acceleratore Dual Key Triple DES (DDES); • Persistenza dei dati su EEPROM garantita per almeno 10 anni; • Memory Management Unit (MMU); • Aritmetica avanzata a 16 bit.

I chip hanno le seguenti principali caratteristiche di sicurezza: • Sensori per alta/bassa tensione; • Sensori e filtri di frequenza; • Identificativo unico del chip predisposto nella fabbrica; • Memory encryption e decryption per XRAM, ROM e EEPROM; • Generazione numero random; • Protezione attiva e rilevamento degli attacchi sia automatico che manuale

(SO); • Modulo CRC; • Non standard (confidential) CPU core; • Bloccaggio irreversibile della modalità test; • Supporto protocolli di comunicazione T=0 e T=1 sul chip UART. • Standard supportati:

o ISO/IEC 7816

o ITSEC E4HIGH

o EMV 2000

o GSM 11.1X

2.

B-1

Allegato B

Sistema Operativo della Smart Card Il sistema operativo della “smart card”, CardOS M4, possiede le seguenti principali caratteristiche:

• Encryption RSA e 3DES che impiega l’HW del chip; • Generazione chiavi RSA all’interno del chip; • Contromisure contro gli attacchi alla sicurezza; • Supporto multiapplicazione ed estensibilità del sistema operativo; • Numero arbitrario di files (EFs and DFs); • Protezione del SO dai difetti EEPROM e dalla mancanza di alimentazione; • 32 diritti d’accesso possibili usabili, combinabili tra loro con gli operatori

logici OR e AND; • Supporto per il “secure messaging”.

3. Sicurezza

Il sistema operativo è in grado di impedire l'accesso, dall'esterno, ai dati "nascosti" in determinate zone del proprio “file system”, senza tuttavia precluderne l'uso da parte di appositi programmi interni (resistenza alla clonazione).

In particolare, il chip è dotato di sensori in grado di rilevare le situazioni anomale ed il sistema operativo è disegnato in modo da poter comunicare con gli stessi prendendo le opportune azioni atte a fronteggiare eventuali valori fuori norma.

Il sistema operativo è “schermato” contro tutti i tipi di attacco più conosciuti, ivi compresa la DFA (Differential Fault Analysis), nota anche come “Bellcore-Attack”.

4. Struttura del file system

Le CMD sono formate in passi successivi, secondo il seguente schema: • inizializzazione (creazione del file system, ossia delle strutture dati ancora

in gran parte “vuote”), presso il sito del fornitore; • personalizzazione (riempimento delle strutture dati con le informazioni

personali del militare o civile, presso l’opportuno CMS); • certificazione (generazione delle chiavi asimmetriche, ottenimento dei

certificati da parte della PKI ed inserimento degli stessi nella smart card); • installazione di nuove strutture dati relative a nuovi servizi, da effettuarsi

successivamente all’emissione, secondo esigenze che verranno a presentarsi in futuro, e quindi non note a priori;

• riempimento di queste nuove strutture dati con le informazioni specifiche del servizio che dovrà essere erogato.

E’ prevista una procedura che preveda la predisposizione di un nuovo servizio successivamente alla personalizzazione delle Smart-Card. Tale procedura, richiede una attività installativa mirata che dovrà essere predisposta, su indicazione dello SMD, quando definito il nuovo servizio informatico da attuare.

B-2

Allegato B

MF

La capacità di memoria delle smart card è di 32Kb di EEPROM. Tale dimensione rimane quasi inalterata per l’uso da parte delle applicazioni, in quanto il sistema operativo rimane “mascherato” in modo efficiente nella memoria.

Certificato Attestazione

Dati_personali_invariabili

Impronta Dito DX

ID_Carta

Dati_processore

Servizi_installati

Chiavi di cifratura simmetrica

Impronta Dito SX

Dati_personali_agg_invariabili

Dati pubblici variabili

Dati privati variabili

PKCS#11

Dati sanitari

Chiavi di specializzazione (operatore, medico, modifica, comune)

DF Firma digitale

DF0

DF1

DF2

NETLINK

DF KEY

B-3

Allegato B

5. Caratteristiche di sicurezza e condizioni di accesso

a. La CMD possiede le seguenti caratteristiche di sicurezza e condizioni di accesso:

− inalterabilità del File System;

− funzionalità di autenticazione esterna (riconoscimento del CMS e dell’applicazione di scrittura autorizzata);

− modalità di accesso specifiche per l’installazione di servizi;

− gestione diritti di accesso;

− Predisposizione per futuri servizi.

Di seguito vengono descritti i processi d’implementazione coinvolti: (1) Inizializzazione

Il sistema operativo prevede meccanismi per assicurare che il file system del chip, incastonato nel supporto che riporta la base grafica richiesta, gli ologrammi ed i “microprint” previsti dal circuito della Difesa, non possa più essere alterato da applicazioni non autorizzate dopo l’uscita dal sito del fornitore. A tale scopo il sistema operativo supporta degli schemi di inizializzazione proprietari (brevettati) e fornire le funzionalità di “apertura” e “chiusura” della smart card con comandi cifrati con chiavi note solo alla A.D.. Nella procedura sopra descritta il master file (MF) della smart card viene creato per mezzo di un comando cifrato con una chiave (K1) condivisa tra il produttore del chip e l’A.D.. Il fornitore (card embedder) non conosce la chiave (K1), ma solo i due comandi sopra indicati (già) cifrati con essa. Il primo comando deve essere usato per creare il master file della smart card, “apertura” della carta. Il secondo, sempre cifrato con K1, dovrà avere lo scopo di cambiare la chiave in K2, nota soltanto all’A.D. (K1 è nota anche al produttore del chip), per permettere la “chiusura” definitiva della carta. La certificazione del sito di produzione e dell’intero circuito di emissione da parte di un organismo indipendente, internazionalmente riconosciuto e “preventivamente” accettato dalla AD., ne garantisce la sicurezza. La chiave K2, dopo aver cifrato il comando di chiusura della smart card, dovrà essere distrutta immediatamente.

(2) Personalizzazione

Le operazioni di scrittura sulla smart card sono portate a termine senza la necessità di utilizzare i meccanismi di protezione e verifica (es. PIN), in quanto il sistema operativo è in grado di riconoscere ed autorizzare alla scrittura esclusivamente il server del CMS e l’applicazione di personalizzazione (autenticazione esterna). I comandi di “autenticazione esterna”, usati dalla smart card per riconoscere il server che richiede l’autorizzazione alla scrittura, fanno uso di crittografia asimmetrica. Poiché il fornitore ha inizializzato la smart card

B-4

Allegato B

con la chiave pubblica di uno specifico CMS la card riconoscerà il server di personalizzazione attraverso la compatibilità con la chiave privata utilizzata da quest’ultimo.

(3) Installazione dei servizi

La struttura dati da creare sulla smart card contiene le condizioni di accesso e gli oggetti “sensibili” (es. PIN, chiavi di sessione, ecc.) previsti per futuri servizi. Questo tipo di operazioni non può essere portato a termine attraverso gli strati di middleware standard (PKCS#11, CSP), ma solo per mezzo di comandi di basso livello (APDU).

(4) Tecnologia della smart card

La smart card protegge le informazioni contenute, sia in lettura che in scrittura, in modo indipendente dalle condizioni di accesso.

b. Il sistema operativo, quindi, relativamente alle tipologie di sicurezza ed alle condizioni di accesso, garantisce:

(1) Controlli di accesso:

− 32 distinti controlli di accesso definibili dal programmatore;

− diritti di accesso combinabili secondo espressioni booleane liberamente definibili;

− ogni comando o informazione è protetto secondo un proprio schema di condizioni di accesso;

− tutti i test di sicurezza e le chiavi sono memorizzati nei cosiddetti “key-objects” che sono dislocati nel corpo dei DF (dedicated files, o directories). Non sono richiesti indirizzi di memoria specifici per questi oggetti (cioè file con ID riservati), lasciando la massima libertà di progettazione;

− la “security structure” può essere definita, quando necessario, anche dopo l’inserimento dei dati, senza che questi vadano perduti.

(2) Secure messaging:

− compatibile ISO 7816-4;

− i meccanismi di secure messaging sono essere definiti in modo indipendente per ogni comando e oggetto dati (files e chiavi).

(3) Personalizzazione:

− il supporto per la personalizzazione è indipendente delle applicazioni utilizzate ;

− sono supportati degli schemi articolati che faranno uso di comandi cifrati con chiavi di trasporto a più livelli per l’ “apertura” e la “chiusura” in sicurezza della smart card.

B-5

Allegato B

c. Meccanismi per la realizzazione di futuri servizi

Nella descrizione di massima del file system, riportata in un paragrafo precedente, si è visto come sia stata riservata – esclusivamente per i servizi – una apposita directory (DF). Ciò allo scopo di permettere che, una volta emessa, la smart card rimanga “aperta” alla creazione di nuove strutture dati soltanto nella directory citata, e sotto – ovviamente – ben precise condizioni. In particolare deve essere garantito:

− che le nuove strutture dati possano essere create solo da un determinato server (o applicazione);

− che le informazioni sensibili (es. chiavi, PIN, ecc.), che transitano tra server e smart card durante la predisposizione della nuova struttura dati, non possano essere intercettate;

− che ciascuna struttura dati, creata per un dato servizio, possa essere utilizzata in modo autonomo da quel servizio senza interferenze da parte di altre applicazioni (firewalling applicativo);

− che, al contrario, qualora ciò fosse ritenuto utile al servizio, una determinata struttura dati possa essere condivisa da due o più servizi (in lettura, in scrittura o entrambe le cose).

Le prime due condizioni fanno diretto riferimento alla sicurezza della fase di predisposizione del servizio; le seconde due alla sicurezza e flessibilità della fase di erogazione. In ogni caso queste due fasi sono e vanno considerate distinte. In altre parole, il CMS è responsabile della fase di predisposizione, non dei contenuti e della sicurezza del servizio, mentre l’A.D. che eroga il servizio è responsabile del modello seguito e della sicurezza di quest’ultimo.

6.

B-6

Allegato B

Matrice di responsabilità per i dati della carta Il sottosistema CMS ha il compito di produrre e tracciare il percorso delle smart card nel corso della loro vita. Le smart card sono dei documenti di riconoscimento e, come tali dovranno essere controllate al fine di prevenire un loro utilizzo improprio.

Le informazioni contenute sulla smart card sono di responsabiltà di attori diversi e vengono aggiunte in fasi successive come illustrato dalla tabella seguente:

Attore

Informazione

Produttore chip

Poligrafico dello Stato

Servizio del Personale

(Tramite CMS )

Servizio Sanitario

PKI RA/CMS

Gestore servizio

N° serie chip

Maschera carta

Transport key

Mascheratura del chip

File system

ID carta

SM keys

Inizializzazione elettrica del chip

Ologramma a caldo

Embedding

Grafica Stampa

Dati del militare Personalizzazione

Dati sanitari del militare

Personalizzazione o aggiunta di un servizio post-emissione

Certificato Certificazione

Chiavi personali Certificazione

Dati del servizio

Aggiunta di un servizio post emissione

B-7

Allegato C

STRUTTURA DELLA BANDA MAGNETICA DELLA CMD

La Banda magnetica sulla CMD è del tipo ad alta coercitività (HiCo - High Coercitivity, circa 4000 oersted) ed è composta da tre differenti tracce ciascuna con una capacità propria di contenere dati:

Traccia ISO 1 (zona alta) - 79 caratteri alfa-numerici - densità: 210 bpi •• Traccia ISO 2 (zona media) - 40 caratteri numerici - densità: 75 bpi • Traccia ISO 3 (zona bassa) - 107 caratteri numerici - densità: 210 bpi

Nella traccia ISO 1 dovrà essere memorizzato il Codice Fiscale del Titolare .

Gli eventuali impieghi delle tracce attualmente libere saranno opportunamente valutati dallo Stato Maggiore Difesa - Reparto TEI al fine di assicurare la piena compatibilità Interforze.

C-1

Allegato D

CERTIFICATI DIGITALI 1. Generalità

La crittografia a chiave pubblica è un sistema matematico, basato su operazioni che coinvolgono grandi numeri primi, che viene impiegato per cifrare informazioni servendosi di due chiavi: una segreta, chiamata chiave privata, e una che può essere distribuita pubblicamente, ovvero la chiave pubblica. Entrambe non sono altro che sequenze numeriche, lunghe tipicamente diverse centinaia di caratteri. Vengono create a coppie e qualsiasi documento criptato con la chiave pubblica può essere decrittato solo con la corrispondente privata.

Basandosi su questa caratteristica, la comunità internazionale ha definito una struttura informatica (un file di testo) per contenere uno dei due elementi della summenzionata coppia (chiave pubblica). Tale struttura testuale è il Certificato Digitale (Standard x.509 v3) che fondamentalmente è l'associazione tra una chiave pubblica di crittografia ed un insieme di informazioni che identificano il soggetto che possiede la corrispondente chiave privata, chiamato anche Titolare della coppia di chiavi asimmetriche (pubblica e privata). La congruità delle informazioni e la loro immodificabilità sono garantite da una terza entità, il Certificatore, con una propria chiave elettronica ha processato le informazioni identificative del Titolare. Tale certificato è utilizzato da altri soggetti (gli Utilizzatori) per ricavare la chiave pubblica, contenuta e distribuita con il certificato, e tramite questa verificare l'uso della chiave privata ed in tal modo identificare il Titolare della stessa.

Il certificato garantisce la corrispondenza tra la chiave pubblica e la persona Titolare. Il grado di affidabilità di questa associazione è legato a diversi fattori: la modalità con cui il soggetto Certificatore ha emesso il certificato, le misure di sicurezza adottate e le garanzie offerte dallo stesso, gli obblighi assunti dal Titolare per la protezione della propria chiave privata.

I Certificati in uso nella P.A. sono:

• Certificati di Sottoscrizione (Firma Digitale);

• Certificati di Autenticazione;

• Certificati di Cifra I certificati di Sottoscrizione e di Autenticazione, benché uguali nella struttura, differiscono tra loro sostanzialmente per il fatto che i primi sono rilasciati in conformità alla legislazione italiana sulla firma digitale. Vengono perciò utilizzati con programmi specifici per apporre e verificare firme digitali a valore legale, attribuendo ai documenti con essi sottoscritti l'efficacia di cui all'art. 10 del DPR 445/2000.

I Certificati di Autenticazione e Cifra sono invece rivolti principalmente all'uso previsto dai protocolli S/MIME (Secure Multipurpose Internet Mail Extension) e SSL (Secure Socket Layer), legati all'utilizzo di strumenti quali i Web browser e i prodotti di posta elettronica, oltre a future specifiche applicazioni approvate in ambito Difesa .

D-1

Allegato D

Con i prodotti di posta elettronica, tramite lo standard S/MIME, è possibile utilizzare il certificato di autenticazione per verificare l'identità del mittente di un messaggio oltre che per garantirne la riservatezza e l'integrità del contenuto, mentre con i Web browser, attraverso lo standard SSL, è possibile verificare l'identità di un utente in possesso del Certificato di Autenticazione.

Più generalmente, un soggetto attraverso l'utilizzo della chiave privata, di cui per la chiave pubblica esista un Certificato di Autenticazione, assicura l'origine delle informazioni da lui trasmesse in rete e la loro non alterazione da parte di terzi.

2. Liste di Sospensione e Revoca

La sospensione o la revoca di un certificato viene resa pubblica attraverso l’inserimento del suo identificativo in apposite liste – le Certificate Suspension List (CSL) e le Certificate Revocation List (CRL) – liberamente consultabili , la cui localizzazione è indicata nel certificato medesimo.

D-2

Allegato D Esempio di Certificato di Autenticazione A puro scopo divulgativo si riporta un esempio, non aggiornato alle ultime raccomandazioni CNIPA, di un certificato X.509. Attributo/Estensioni Valore/InformazioneVersion Version 3

SerialNumber Numero intero

Signature sha1-with-rsa-encryption

Issuer

Country Name

Organization Name

Organizational Unit Name

Common Name

IT

Esercito Italiano

Esercito Servizi di Certificazione

Validity:

Not Before: Not After:

Oct 28, 03 09:59:55 GMT Oct 27, 09 09:58:42 GMT

Subject

Country Name

Organization Name


Common Name

E-mail Address

Given Name

Surname

Esempio:

IT

ESERCITO ITALIANO

RA=

RSSMCM50D16H501D/1234567890.hRfo7thkjYF45tF40v0t8DkgiIG= [email protected]

MICHELE

ROSSI

SubjectPublicKeyInfo

Algoritmo: rsa-encryption

Lunghezza della chiave: RSA 1024 bit

AuthorityKeyIdentifier valore SHA-1 della chiave pubblica:

0x847bef62 2ede74e5 111f7539 fbbc2f1b 9cb63255

BasicConstraints cA=FALSE

KeyUsage digitalSignature + keyEncipherment

subjectAltName

RFC Name

URI

indirizzo email dell'utente, esempio:

[email protected]

ldap://ldap.esercito.difesa.it/cn= ROSSI/MICHELE/12345, ou=Difesa, o=esercito c=IT?usercertificate

issuerAltName

RFC Name

URI

servizio [email protected]

ldap://ldap.infocamere.it/cn= Esercito, ou=Ente Certificatore del Sistema, o=Difesa,c=IT?cacertificate

certificarePolicies

policyIdentifier

policyQualifier: cPSuri

policyQualifier: userNotice

OID=1.3.76.14.1.1.3

http://www.difesa.it/esercito/manuale.htm

explicitText=esercito SSL and SMIME Client Certificate

cRLDistributionPoints

ldap://ldap.esercito.difesa.it/cn=esercito, ou=Ente Certificatore del Sistema, o=Difesa, c=IT?certificaterevocationlist

Extended Key Usage: E-mail protection, Client Authorisation

Subject Key Identifier valore SHA-1 della chiave pubblica

D-3

Allegato D Esempio di CRL Le CRL, pubblicate all'indirizzo definito nell'estensione dei certificati: "cRLDistributionPoints", seguono lo standard X.509 V2 Certificate Revocation Lists (CRLs)

Attributo/Estensioni Valore/InformazioneVersion Version 2

Signature sha1-with-rsa-encryption

Issuer

Country Name

Organization Name


Common Name

IT

Esercito Italiano

Esercito Servizi di Certificazione

thisUpdate data e ora (GMT) di emissione della attuale CRL

nextUpdate data e ora (GMT) di emissione della prossima CRL

revokedCertificates

è la lista dei certificiati revocati o sospesi

per ogni certificato sono presenti i campi:

CertifcatesSerialNumber

Time

reasonCode (optional)

authorityKeyIdentifier (non critica)

valore SHA-1 della chiave pubblica del Certificatore:

0x847bef62 2ede74e5 111f7539 fbbc2f1b 9cb63255

CRL number (non critica)

numero intero (progressivo della CRL)

D-4

Allegato E

IL SERVIZIO DI CERTIFICAZIONE

Nel quadro del servizio di certificazione la Difesa impiega le seguenti figure:

a. Presso il Card Management System :

(1) Capo Centro di Certificazione: coordina tutte le attività per l’ applicazione delle

norme vigenti, per il funzionamento dei sistemi tecnologici e della corretta conduzione del servizio;

(2) Responsabile della Sicurezza: è responsabile di tutti gli aspetti che riguardano la

sicurezza delll’infrastruttura PKI, sia applicativa (sw antivirus, accessi) che infrastrutturale (firewall, networking);

(3) Responsabile della Certificazione: esegue le procedure per la generazione e

custodia delle chiavi, la generazione,sospensione e revoca dei certificati, procedure di crittografia;

(4) Responsabile della Registrazione: è responsabile della corretta acquisizione e

conservazione dei dati dei Titolari dei certificati, ivi incluse le richieste di generazione, sospensione, revoca e rinnovo dei certificati; è responsabile dell’attività di TSA e del registro dei certificati;

(5) Responsabile dei Servizi Tecnici: risponde alla corretta configurazione e del

corretto funzionamento dei servizi informatici utilizzati per l’attività di certificazione;

(6) Responsabile dell’Auditing: è responsabile delle attività di verifica ed aderenza sia

normativa che formale del servizio offerto.

b. Presso la periferia :

(1) Responsabile per il Trattamento: operatore che risponde della corretta acquisizione dei dati del personale a cui rilasciare la CMD. Inoltre è il responsabile tecnico delle corrette operazioni di variazione dei dati presenti sulla carta, di rinnovo dei certificati e, infine, del recupero del file P12 necessario per il processo di key recovery.

(2) Responsabile Periferico: è il responsabile verso il CMS della richiesta di emissione

delle CMD, delle variazioni dei dati, dei certificati ed del recupero della PassPhrase delle CMD del personale che si avvale del suo Centro di Certificazione.

La figura nella pagina seguente dettaglia meglio l’organizzazione che ha in carico la gestione della CMD.

E-1

Allegato E

E-2

Allegato F

FORMATO DATI SULLA CMD

Dati Personali Invariabili

DATI CONTENUTI Elemento Formato Lunghezza

FL XX 0 Campo 1 (Comune che emette il documento)

FD BYTE STREAM

Non utilizzato

FL XX 8 Campo 2 (Data di

emissione del documento)

FD BYTE STREAM

Fornito a runtime

FL XX 8 Campo 3 (Data di scadenza del documento)

FD BYTE STREAM

Fornito a runtime

FL XX 80 (utilizzati solo 30)

Campo 4 (Cognome)

FD BYTE STREAM

Fornito a runtime

FL XX 86 (utilizzati solo 20)

Campo 5 (Nome)

FD BYTE STREAM

Fornito a runtime

FL XX 8 Campo 6 (Data di nascita) FD BYTE

STREAM Fornito a runtime

FL XX 1 Campo 7 (Sesso) FD BYTE


FL XX 3 Campo 8 (Statura in cm) FD BYTE


FL XX 16 Campo 9 (Codice Fiscale) FD BYTE


FL XX 3 Campo 10 (Cittadinanza) FD BYTE


F-1

Allegato F

FL XX 4 Campo 11 (Comune di nascita)

FD BYTE STREAM

Fornito a runtime

FL XX 4 Campo 12 (Stato estero di

nascita) FD BYTE


FL XX 10 Campo 13 (Estremi atto di

nascita) FD BYTE


FL XX 6 Campo 14 (Comune di residenza)

FD BYTE STREAM

Fornito a runtime

FL XX 80 Campo 15 (Indirizzo) FD BYTE


FL XX 0 Campo 16 (Validità per l’espatrio)

FD BYTE STREAM

Non utilizzato

FL XX 0 Campo 17 Hash Fotografia (estensione)

FD BYTE STREAM

Compatibilità CIE

Campo 18 Hash Impronte (estensione)

FL XX 0

F-2

Allegato F

Dati Personali Aggiuntivi Invariabili

DATI CONTENUTI1 Elemento Formato Lunghezza

FL XX 6 Campo 1 (Ente Rilascio) FD BYTE

STREAM

FL XX Campo 2 (Cat.Convenzione

di Ginevra) FD BYTE

STREAM

2: militare 0: civile

FL XX Campo 3 (Matricola) FD BYTE

STREAM

14: militare 0: civile

FL XX 1 Campo 4 (Titolarità pensione)

FD BYTE STREAM

Fornito a runtime

1 I campi evidenziati, indicano la differenza tra il personale civile e militare. Nel caso in cui il campo è vuoto perchè non ha significato, viene indicato con lunghezza zero.

F-3

Allegato F

Dati Pubblici Variabili


FL XX 40 Campo 1 (Segni

particolari) FD BYTE


FL XX 200 Campo 2 (Note) FD BYTE


FL XX 3: militare X: civile

Campo 3 (Grado: militare

Inquadramento: Civile) FD BYTE


FL XX 8 Campo 4 (Anzianità assoluta)

FD BYTE STREAM (AAAAMMGG)

Fornito a runtime

FL XX 8 Campo 5 (Anzianità di

grado/posizione) FD BYTE

STREAM (AAAAMMGG)

Fornito a runtime

FL XX 2: militare X: civile

Campo 6 (Ruolo appartenenza ufficiali: militare

Profilo:civile) FD BYTE STREAM

Fornito a runtime

FL XX 3: militare 0: civile

Campo 7 (Incarico di

specializzazione, Settore attività) FD BYTE


FL XX 3: militare 0: civile

Campo 8 (Incarico di

specializzazione, Specialità impiego)

FD BYTE STREAM

Fornito a runtime

FL XX 5 Campo 9 (Incarico attuale) FD BYTE


FL XX 6 Campo 10 (Ente/Reparto di appartenenza)

FD BYTE STREAM

Fornito a runtime

F-4

Allegato F

FL XX 1 Campo 11

(Categoria) FD BYTE STREAM

Fornito a runtime

FL XX 2 Campo 12 (Forza Armata) FD BYTE

STREAM

Dati Privati Variabili


FL XX 9 Campo 1 (Ultima

attribuzione stipendiale)

FD BYTE STREAM (9999999,99)

Fornito a runtime

F-5

Allegato G

STRUTTURA DATI SANITARI 1. Generalità.

Le informazioni previste dal modello NETLINK (HC4016) risultano essere in numero maggiore di quelle necessarie alle esigenze del comparto della Difesa e evidenziate da DIFESAN. Per tale motivo, gli applicativi acquisiti in maniera centralizzata dalla Difesa, compileranno solo i “campi” necessari al comparto sanitario militare, lasciando vuoti i data-set non ancora in uso. Qualunque ulteriore impiego/necessità di compilazione sarà disposta in maniera centralizzata ed attuata rilasciando una nuova versione della procedura informatica summenzionata.

Oltre al set definito dallo standard NETLINK (HC4016), sono comunque necessarie delle informazioni aggiuntive, proprie del modo militare che trovano posto in una estensione proprietaria del file system della CMD in posizioni già definite. Di seguito vengono elencate le informazioni presenti nel modello che potranno essere impiegate dal Servizio Sanitario Militare (SSM).

2. Il modello Netlink (HC4016).

Il modello Netlink (HC4016) contiene due set di dati: il primo è relativo a dati nazionali che hanno validità solo in Italia mentre il secondo è relativo ai dati riconosciuti a livello internazionale. Il set di dati internazionale è costituito da dati ad accesso libero, leggibili da chiunque abbia un lettore conforme, indipendentemente dalla lingua utilizzata per la lettura. I dati nazionali invece riguardano informazioni sulla carta stessa, dati amministrativi e di dati emergenza relativi al suo possessore.

Il suddetto modello Netlink (HC4016) prevede la seguente ulteriore suddivisione:

(a) Dati ad accesso libero Possono essere letti in condizioni di emergenza sia dal S.S.N., sia dal S.S.M. Le informazioni proprie di questa area sono in particolare:

− Amministrative a lettura libera

nome, cognome, data nascita, codice fiscale lingue conosciute indirizzo persone da contattare in caso di bisogno ASL di riferimento MMG \ Pediatra diritto di assistenza all'estero donatore di organi e tessuti

− Emergenza dettagli clinici gruppo sanguigno e trasfusioni immunizzazioni

G-1

Allegato G

terapie correnti prescrizioni oculistiche categorie di impianti gravidanza organi mancanti

(b) Dati ad accesso protetto Questi dati possono: − essere letti e scritti solo da personale in possesso di chiavi per la

lettura/scrittura rilasciate dal S.S.M.; − essere consultati dal titolare della carta attraverso la digitazione del

proprio PIN. 3. Ulteriori informazioni

a. La CMD conterrà, in aggiunta alle possibili informazioni proprie di NETLINK

(HC4016), ulteriori dati di carattere medico-sanitario necessari alle FF.AA. per le problematiche connesse con particolari strutture quali la CMO, la CMML, l’impiego in teatri Operativi, ecc. . Tali dati provengono dalla banca dati sanitaria, popolata al momento della visita medica, e sono successivamente trasferiti sulla carta dal medico visitante e resi disponibili alla struttura e/o all’operatore sanitario. I dati aggiuntivi vengono di seguito descritti:

interventi chirurgici subiti; accertamenti specialistici e strumentali recenti e risultati anormali; prescrizione dell’ultimo operatore sanitario, eventuale richiesta di

visita o indicazione per sgombero sanitario; dati relativi all’ultima visita eseguita (sintesi esame obiettivo,

accertamenti prescritti ed eseguiti, ecc.); terapie precedentemente effettuate; provvedimenti medico legali (idoneità, dipendenza da causa di

servizio, equo indennizzo,ecc.); puntatori alla storia sanitaria del militare/civile necessari ad effettuare

i link con la banca dati centrale.

b. Per la rappresentazione di alcune informazioni sono stati, comunque, utilizzati i:

codici malattie e procedure diagnostiche del Ministero della Salute; codici dei Comuni e Stati Esteri dell’ISTAT; codici degli Enti militari della Difesa; codici dei farmaci inseriti nell’Informatore Farmaceutico della

Farmindustria italiana.

G-2

Allegato H

FORMATO DELLA FOTOGRAFIA Il formato della fotografia è 320x240 punti ed eredita tutte le caratteristiche stabilite per la CIE. La fotografia da acquisire deve essere fatta in modo che le condizioni di luminosità e contrasto dell’immagine siano sufficienti per un riconoscimento a vista. L’inquadratura deve mostrare in modo evidente le caratteristiche del volto. Lo sfondo che deve essere predisposto per l’inquadratura della foto è celeste opaco. Per la tipologia di luminosità e caratteristiche generali si rimanda alla normativa ICAO.

Modulo ICAO di riferimento per il rilascio della foto

H-1

Allegato H

H-2

Allegato H

H-3

Allegato I

MEMORANDUM DI SICUREZZA PER IL TITOLARE

La CMD è lo strumento che consente numerose attività informatiche con valenza legale come ad esempio: − l’apposizione della firma digitale; − il riconoscimento elettronico; − l’autenticazione in rete; − l’accesso a Banche Dati della Difesa; − etc.

Appare evidente che, in un mondo basato sulle transazioni informatiche, la CMD debba essere considerata, a tutti gli effetti, l’esistenza elettronica del Titolare e per tale motivo deve essere tutelata dal proprietario in ogni occasione. A tale scopo si riportano, di seguito, alcune regole/disposizioni che indirizzino i Titolari ad un corretto uso. Si tratta di una lista semplice, basata su considerazioni di buon senso, che riassume indicazioni già fornite altrove: • custodire con cura la CMD analogamente a quanto posto in essere per tutelare

– ad esempio – la propria carta bancomat; • non scrivere il PIN di abilitazione della CMD nelle vicinanze del sistema di

firma o in modo facilmente riconoscibile; • fare in modo che quando si digita il PIN non possa essere dedotto osservando

il movimento delle mani durante la digitazione; • effettuare subito la procedura di sospensione immediata chiamando il Call

Center in caso di sospetto di smarrimento o di sottrazione indebita della propria CMD e successivamente, contattare il proprio Comando/Ente per le previste operazioni di sospensione, revoca o riattivazione;

• cambiare periodicamente il PIN; • non abbandonare la CMD nel lettore ed utilizzarla solo per il tempo

necessario ad apporre la firma; • non cedere mai la CMD (ed il PIN) ad altri. Eventuali esigenze di firma di

personale sostituto del Titolare dovranno essere soddisfatte attraverso il certificato di firma del sostituto stesso;

• evitare di firmare digitalmente su stazioni di firma esterne all’Amministrazione Difesa di dubbia affidabilità (PC).

I-1

Annesso

GLOSSARIO

ACQ : Modulo logico di acquisizione dati.

Algoritmo di hashing : Vedi hash. Autenticazione : Il processo che attraverso un certificato digitale e

l’impiego della corrispettiva chiave privata garantisce l’autenticità del possessore.

Autorità di Certificazione : L’autorità, legalmente riconosciuto,che rilascia e gestisce i

certificati. Autorità di Registrazione : Registration Authority - entità responsabile

dell'identificazione e dell'autenticazione dei soggetti della certificazione, ma che non è una CA e, pertanto, non firma né emette certificati. La RA procede al riconoscimento delle persone che si recano fisicamente ai propri sportelli e ne raccoglie dati anagrafici, tipo di servizio, etc., comunicandoli in modalità protetta alla CA.

CA : Vedi Autorità di Certificazione. Carta Multiservizi della Difesa (CMD) : La smartcard rilasciata al personale della Difesa. Centro di Certificazione : Il luogo scelto dal certificatore dove operano le persone, le

macchine e le procedure necessarie alla conduzione dei servizi di certificazione.

Certification Authority : vedi Autorità di Certificazione. Certificato digitale : Sequenza (stringa) di dati, rilasciata da un'Autorità di

Certificazione legalmente riconosciuta, la quale conferma che la particolare chiave pubblica appartiene alla persona in questione. Contiene la chiave pubblica del proprietario, i dati dello stesso e la firma dell'Autorita' di certificazione che autentica il tutto.

Certificatore : L’entità che certifica la corrispondenza del titolare alla sua

chiave pubblica. Il Certificatore rende disponibile una lista aggiornata delle chiavi pubbliche in uso e di quelle revocate o sospese.

Certificazione : Il risultato della procedura informatica, applicata alla

chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare, si identifica quest'ultimo, si attesta il periodo di validità della predetta chiave e il termine di scadenza del relativo certificato.

Chiave : Sequenza di dati (stringa) di lunghezza arbitraria

impiegata come parametro dall'algoritmo di criptatura/decriptatura. La lunghezza della chiave determina la difficoltà di decodifica del messaggio non conoscendo la chiave di decodifica.

An-1

Annesso

Chiave di sessione : Chiave che ha validita limitata alla durata di una sessione di lavoro.

Chiave privata : Elemento della coppia di chiavi asimmetriche, destinato a

essere conosciuto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica.

Chiave pubblica : Elemento della coppia di chiavi asimmetriche destinato ad

essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal Titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al Titolare delle predette chiavi.

Chiavi asimmetriche : Coppia di chiavi crittografiche, una privata ed una

pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.

Cifratura di un file : La cifratura di un file è l’operazione mediante la quale

applicando un algoritmo di cifratura con l’impiego di una chiave, si ottiene un file non intelligibile.

CIE : Carta d'Identità Elettronica del Ministero dell'Interno Cifratura/criptatura : Processo di trasformazione dell'informazione (testo in

chiaro o plaintext) in testo cifrato (o ciphertext), guidato da una chiave.

Ciphertext : Il risultato della cifratura. Il ciphertext o testo cifrato

contiene le stesse informazioni del testo originale (plaintext) pero' nasconde l'informazione originale, generalmente con l'ausilio di una chiave e di un algoritmo di criptatura.

CMD : Vedi Carta Multiservizi Difesa. CMS : Card Management System - Struttura preposta alla

emissione e gestione della CMD. CNS : Carta Nazionale dei Servizi. Crittanalisi : Aspetto della crittologia, si occupa di analisi della

robustezza dei sistemi crittografici e di ricerca di metodi per forzare i sistemi crittografici.

Crittografia : Disciplina che studia l'utilizzo e la creazione di

crittosistemi. L'arte (la scienza) di trasformare le informazioni in una forma intermedia sicura. A differenza della steganografia, che cerca di nascondere l'esistenza di qualunque messaggio, la crittografia si occupa di rendere il messaggio illeggibile benché completamente accessibile. La crittografia comprende necessariamente la segretezza (confidenzialità) e l'integrità (autenticazione del messaggio). Può comprendere il non disconoscimento (l'impossibilità di negare l'avvenuto invio di un messaggio) ed il controllo d'accesso (autenticazione dell'utente).

An-2

Annesso

Crittografia a chiave privata : La caratteristica fondamentale che contraddistingue gli algoritmi di crittografia simmetrica è l'esistenza di una chiave unica La chiave usata per la decriptatura del messaggio è la stessa usata per la criptatura dello stesso. Due persone che vogliano scambiarsi un messaggio cifrato dovranno quindi condividere la stessa chiave.

Crittografia a chiave pubblica : La crittografia a chiave pubblica utilizza due chiavi

diverse per cifrare e decifrare un messaggio. Ogni utente del sistema possiede una coppia di chiavi una chiave privata, la quale viene mantenuta segreta e conservata in luogo sicuro, e una chiave pubblica, che viene liberamente distribuita. Il metodo si basa su due concetti fondamentali: A) un messaggio cifrato con una delle due chiavi può

essere decifrato solo con l'altra; B) non è possibile ricavare una chiave dall'altra. Consente pertanto sia la segretezza sia l'autenticazione.

Crittografia asimmetrica : Vedi Crittografia a chiave pubblica Crittografia simmetrica : Vedi Crittografia a chiave privata Crittologia : Disciplina che include la steganografia, la crittografia e la

crittoanalisi. Crittosistema : Metodo o algoritmo per criptare un messaggio in modo

tale che solo il possessore della chiave possa estrarre l'informazione nascosta.

CRL : Vedi Lista dei Certificati Revocati CSL : Vedi Lista dei Certificati Sospesi Decifratura/decriptatura : Processo di trasformazione del testo cifrato in testo in

chiaro, a patto che venga utilizzata la chiave corrispondente.

DES : Data Encryption Standard – DES; codice di cifratura a

blocchi a chiave privata. Lavora su blocchi di 64 bit e funziona con chiavi di 56 bit.

Dispositivo di Firma : Uno dei possibili supporti di memorizzazione della chiave

privata del titolare del certificato (protezione software/hardware con password stabilita dall'utente). Possibili supporti sono, ad esempio, una smart card, un dischetto (protezione software con password stabilita dall'utente), o un dispositivo hardware (protezione hardware con password digitata solo sulla tastiera del dispositivo).

Documento elettronico : Nella legislazione sulla firma digitale è la

"rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti".

Firewall : Software (di barriera) che protegge una rete locale o

aziendale, separando i dati a circolazione interna da quelli accessibili dall'esterno.

Firma digitale : Il risultato della procedura informatica (validazione)

basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore

An-3

Annesso

tramite la Chiave privata e al destinatario tramite la Chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Firma elettronica : Vedi firma digitale. Funzione hash : Vedi hash. Giornale di controllo : Insieme delle registrazioni effettuate automaticamente o

manualmente dai dispositivi installati presso il Certificatore, in conformità al “ Regolamento Tecnico” di cui al DPCM 8/2/1999.

Hash : Funzione matematica che per qualunque argomento (dati

in ingresso) produce una stringa (sequenza di caratteri) di lunghezza fissa. Ogni minima modifica dell'argomento produrrà una diversa stringa in uscita. La caratteristica fondamentale di queste funzioni è la loro difficile invertibilità tale che, dato un valore di hash, è molto difficile risalire al messaggio che l'ha generato come molto difficile è produrre un messaggio che fornisca una stringa predeterminata.

IDEA : International Data Encryption Algoritm - Algoritmo a

chiave simmetrica a 64 bits utilizzato nel PGP. Impronta di un file : Sequenza di caratteri (stringa) a lunghezza fissa risultato

di un’operazione di HASH applicata al file originario. Infrastruttura chiave pubblica (PKI) : L’insieme delle leggi, dei regolamenti, degli standard e dei

sistemi preposti alla gestione del ciclo di vita dei certificati digitali e delle corrispettive chiavi.

ISO : "International Organization for Standardization

(Associazione Internazionale per la Standardizzazione). Fondata nel 1946, l'ISO è un'organizzazione internazionale costituita da organismi nazionali per la standardizzazione provenienti da più di 75 paesi. Ad esempio, l'ANSI (American National Standards Institute) è un membro ISO. L'ISO ha definito numerosi ed importanti standard per i computer. Di questi, il più significativo è forse l'OSI (Open Systems Interconnection), un'architettura standard per progettare le reti.

Key Recovery : Operazione con cui viene effettuato il recupero delle

chiavi private necessarie per decifrare file cifrati. LDAP : Lightweight Directory Access Protocol : Protocollo

utilizzato per accedere alla directory contenente i certificati ed effettuare tutte le operazioni di prelievo certificato, CRL, etc..

Lista dei Certificati Revocati : Certificate Revocation List (CRL) è la lista firmata

digitalmente, tenuta ed aggiornata dal Certificatore, contenente i certificati emessi dallo stesso e successivamente revocati. La revoca è un’operazione definitiva sul certificato.

Lista dei Certificati Sospesi : Certificate Suspension List (CSL) è la lista firmata

digitalmente, tenuta ed aggiornata dal Certificatore,

An-4

Annesso

contenente i certificati emessi dallo stesso e successivamente sospesi. La sospensione ha carattere provvisorio.

LRA : Local Registration Authority : emanazione periferica della

Registration Authority. Message digest : Vedi impronta del messaggio. One-way hash : Vedi hash. Password : Sequenza di caratteri generalmente usata per verificare che

l'utente richiedente il servizio sia veramente un utente autorizzato.

PGP : Pretty Good Privacy - Realizza la crittografia a chiave

pubblica. Permette l'interscambio di documenti elettronici realizzando segretezza, autenticità ed integrità su un canale non sicuro. PGP è uno dei prodotti più significativi per l'uso personale, essendo di pubblico dominio. Il suo utilizzo commerciale richiede maggiore attenzione poiché esso fa uso di tecniche brevettate da RSA (usato per il trasferimento della chiave di sessione) e dell'algoritmo IDEA (per la protezione del messaggio).

PIN : Persona Identification Number - Codice segreto utilizzato

dall'utente per poter accedere alle funzioni. PKI (Public Key Infrastructure) : Vedi Infrastruttura chiave pubblica. Plaintext : Il messaggio originale, leggibile, che necessita di essere

protetto. Postazione di Acquisizione : La parte dell’applicazione WEB specifica che permette la

registrazione dei dati del personale necessari per l’emissione della CMD.

Profilo di una richiesta di certificazione : Identifica quali tipologie di certificati si desidera ottenere

per il soggetto interessato ad una richiesta di certificazione. I possibili profili sono predefiniti. All’atto della registrazione è definito il profilo della richiesta di certificazione.

PUK : Personal Unblocking Key - Codice di sblocco in caso di

errata digitazione reiterata del PIN. RA : Vedi Autorità di Registrazione. Registration Authority : Vedi Autorità di Registrazione. Registrazione : Procedura con la quale si identifica con certezza un

soggetto per il quale si richiede un certificato e si procede al caricamento dei suoi dati nei sistemi informatici per l’immagazzinamento dei dati allo scopo di emettere la CMD ed i relativi certificati.

Responsabile Periferico : Il soggetto deputato, presso un generico Ente/Unità

dell’Organizzazione alla identificazione dei soggetti, appartenenti allo stesso Ente/Unità, per i quali si intende rilasciare le CMD, ed i relativi certificati, nonché deputato

An-5

Annesso

alla compilazione e all’inoltro delle richieste di emissione/sospensione/revoca degli stessi certificati.

Revoca del certificato : Operazione con cui il Certificatore annulla la validità del

certificato da un dato momento in poi. Rinnovo del certificato : Operazione con cui viene rinnovato un certificato di firma

digitale e/o di cifratura presente sulla CMD. RSA : Nome dell'algoritmo pubblicato da Ron Rivest, Adi

Shamir e Len Adleman. Sistema di crittografia a chiave pubblica basato sulla teoria dei grandi numeri. Per garantire un livello equivalente di sicurezza una chiave RSA deve avere una lunghezza circa dieci volte maggiore rispetto ad una chiave simmetrica. Realizza sia la segretezza sia l'autenticazione.

Servizi di Certificazione : Sono, nel loro insieme i servizi forniti dal Centro di

Certificazione. In particolare i servizi disponibili sono i seguenti;emissione, revoca e sospensione dei certificati;disponibilità dell’accesso al Registro dei Certificati, ove avviene la pubblicazione dei certificati e delle CRL.

Sistema di validazione : Sistema informatico e crittografico in grado di generare ed

apporre la firma digitale o di verificarne la validità. Smart-card : Carta, simile ad una normale carta di credito, ma con la

particolarità di avere un chip integrato nella carta stessa. Può registrare dati di qualsiasi tipo (nomi, indirizzi, numeri di telefono, importi, codici, password) che un apposito lettore può rendere disponibili. Una smart card può contenere molte più informazioni rispetto ad una carta a banda magnetica (la carta del Bancomat) e può essere programmata per differenti applicazioni.

S/MIME : Secure Multipurpose Internet Mail Extension - E' il

protocollo MIME di posta elettronica per la cifratura e l'invio di messaggi via Internet.

Sospensione del certificato : Operazione con cui il Certificatore sospende la validità del

certificato, da un dato momento, e per un determinato periodo di tempo.

SSL : Secure Socket Layer - Sistema di trasmissione dati basato

su un complesso codice di crittografia che garantisce transazioni sicure sul Web.

Steganografia : L'arte di nascondere un messaggio segreto all'interno di un

messaggio ordinario e di estrarre tale messaggio alla destinazione. Il messaggio viene nascosto (dentro un altro messaggio) in maniera tale che nessuno possa sospettarne l'esistenza.

Time Stamping : Il risultato della procedura informatica, con cui si

attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili a terzi.

Titolare di un certificato : Soggetto al quale, previa identificazione da parte dell’Ente

di registrazione, sono rilasciati i Certificati digitali dal Certificatore che sono associati in modo univoco alle

An-6

Annesso

chiavi pubbliche e private. Il Titolare del certificato digitale è una persona fisica o una macchina.

Utilizzatore : Il soggetto che accede agli archivi mantenuti dal

Certificatore per richiedere e verificare Certificati digitali. Validazione temporale : Vedi Time Stamping.

Validità del certificato : Periodo di tempo durante il quale la chiave pubblica e gli

altri dati contenuti nel certificato risultano validi ed utilizzabili da terzi con la garanzia del Certificatore.

X.509 : Standard che definisce il formato dei certificati digitali

utilizzato per la gestione delle chiavi pubbliche degli utenti. E’ composto da una serie di informazioni organizzate in campi che specificano: numero del certificato, la Certification Autority (CA) emittente, il nome dell'utente certificato, la sua chiave pubblica, il periodo di validità del certificato, estensioni pubbliche o private. Queste ultime informazioni rappresentano dei campi aggiuntivi e proprietari del certificato.

An-7

carta multiservizi della difesa norme di gestione e di …€¦ · la cmd sarà ritirata al...

Documents