Corso imparaora su firma digitale per CCIAA_ferrara
Transcript
Corso imparaora su firma digitale per CCIAA_ferrara
Carta Nazionale dei Servizi Firma Digitale Camera di Commercio di Ferrara Ferrara 12 ottobre 2011 Imparaora e Aruba PEC CNS – FD CNS – Carta Nazionale dei Servizi Ó – – – Emessa da Pubbliche amministrazioni Emessa dal Sistema Camerale Emessa dalle ASL – Le carte emesse saranno CNS-FD – – Ente di Certificazione Emette certificati – La Camera di Commercio – – – Corrispondenza fra nome del Titolare e chiavi crittografiche Contiene anche il nome dell'Ente di Certificazione Periodo di validità Firma Digitale Ó CA - Certification Authority - Ente di Certificazione Ó RA - Registration Authority - Ente di Emissione Ó Certificato Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Utenti RAO oppure OdR Ó – – Registration Authority Officer (operatore dell'ufficio di registrazione) OdR: Operatore di Registrazione – Può creare altri OdR (o RAO) – – Effettuano il riconoscimento de-visu del Titolare Non emettono carte – – Possessore del Dispositivo di firma e titolare del Certificato il cliente della cciaa per il quale viene emessa la Smart card – Telefono: lo stesso del servizio “Monitor” MasterRAO Ó IR Incaricati al Riconoscimento Ó Titolare (o Utente) Ó Operatore del Centro servizi (che è vostro amico) Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Smart card (colori) Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Smart card (caratteristiche) – – Ha un chipset/processore crittografico (Athena) Dispositivo sicuro di firma • • Tre tentativi per il pin Tre tentativi per il puk Lettore di Smart card Ó – – Installazione driver (sono inclusi nella procedura di primo accesso, facile) Accoglie le Smart card • Ferrara 12 ottobre 2011 Nel processo di firma, di verifica dei documenti firmati, di generazione delle chiavi crittografiche Imparaora e Aruba PEC Smart card fustellata (colori) Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Smart Card fustellata (caratteristiche) È “fustellata”, ritagliata Ó Come la precedente, ma può diventare delle dimensioni di una scheda “sim” (Incard) Ó Predisposta per essere inserita nel Token usb Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Token usb Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Token usb (caratteristiche) È un Lettore compatto in cui inserire il Dispositivo di firma (dimensioni “sim”) Ó È comodo, per il resto non cambia nulla Ó È analogo a Lettore+Smart card Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Scratch card Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Scratch card (caratteristiche) “Da grattare” Ó PIN, PUK, Codice utente Ó Sostituisce la busta di carta con PIN e PUK Ó Da conservare per operazioni da remoto Ó Rilascio della Scratch card al Titolare Ó – Effettuato comunque al riconoscimento • Anche quando si tratta di emissione differita - IR Il seriale deve essere trascritto nel modulo di richiesta Ó – (è l'unico numero visibile senza grattare) – Non c'è da fare l'attivazione Permette che la carta nasca già attiva Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Scratch card (i numeri) PIN Ó PUK – – Personal Identification Number - Codice di accesso alla smart card Può essere cambiato dal software di firma – – Personal Unlocking Key - Codice di sblocco della smart card Può essere cambiato dal software di firma – – Codice personale di emergenza Da usare nelle operazioni da remoto sulla carta: Sospensione, Riattivazione, Revoca Ó Codice utente Ó Contiene il codice utente Ó – – Associa la Smart card al Titolare per le attività da remoto Per esempio nel caso di revoca per smarrimento della Carta Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Il kit da consegnare al Titolare Pieghevole Ó La Smart card Ó La Scratch card Ó (Il token usb) Ó Condizioni generali di contratto Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Riassunto oggetti Smart Card Ó Lettore di Smart card Ó Smart Card fustellata Ó – Per Token usb – – – – Cartellina e documenti Condizioni generali di contratto Modulo autodichiarazione Ricevuta smart card (che riporta il seriale) Token usb Ó Scratch card Kit da consegnare al Titolare Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Tipi di carte Firma digitale Ó – – Chiavi crittografiche Chiavi asimmetriche: una pubblica, una privata – – – Public-Key Cryptography Standards #11 il Lettore #10 il Certificato CSR - Certificate Signing Request Ó CRL - Certificate Revocation List Ó OCSP Ó PKCS#11 Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC CMS – Card Management System È un'applicazione, fruibile via web, per gestire i Dispositivi. Ó Si utilizza un sistema Windows con Internet Explorer Ó È indipendente dal computer che utilizziamo Ó È sicuro Ó https://cns-camere.aruba.it/ Ó SSL/HTTPS Ó – Secure Soket Layer - Hypertext Transfer Protocol over Secure Socket Layer Quando c'è “il lucchetto” – – Transport Layer Security Invio delle password su connessione cifrata – SSL/TLS Ó La sicurezza del sistema è importante! Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC CMS Cosa può fare sui Dispositivi Ó – – – – Emissione Sospensione Riattivazione Revoca Cosa può fare sugli utenti Ó – – – – Creazione Titolare (durante l'emissione) Creazione IR Creazione RAO - OdR Disattivazione utenti Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Preparazione della postazione di lavoro Preparazione all'emissione Ó – – Installare i driver oppure File Protector – – Uno per l'autenticazione dell'operatore Uno per la carta da emettere Collegare DUE lettori Ó • • Deve generare le chiavi crittografiche Deve ospitare il certificato Gli IR devono collegare un solo lettore Ó – Non emettono carte – – Almeno ai server dei certificati Per raggiungere la CA Necessario l'accesso a Internet Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Primo accesso Utilizzare Internet Explorer Ó – – – Installare il software richiesto da IE Inserire la propria carta per l'autenticazione Inserire il PIN – – – – Operatore del Centro Servizi Master RAO RAO IR Il menù sulla sinistra cambia col tipo di utente Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Riconoscimento Può farlo il RAO ma può farlo anche l'IR Ó Deve essere fatto di persona (De visu) Ó – – Né delega Né da remoto – Di tipo penale – – – Responsabilizza il Titolare Devono coincidere con quelli scritti nel CMS Desresponsabilizzano il RAO o l'IR Implicazioni legali Ó Modulo dell'autodichiarazione Ó È semplice, ma delicato e importante Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Procedure RAO - OdR Emissione della Carta Ó – – Decentrata o Centralizzata Decentrata immediata o decentrata differita Sospensione • Differita telematica oppure cartacea Ó – È “a tempo”, anche se non deve essere specificata nessuna durata della sospensione È annullabile con la Riattivazione – Si può fare ovviamente solo su carte Sospese – – Promemoria automatico al Titolare per email Fatto autonomamente dal Titolare dal CMS – È definitiva, la carta non è più riattivabile – Riattivazione Ó Rinnovo (fra tre anni) Ó Revoca Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Esercitazione pratica sul CMS Emissione di una carta Ó – Stampa del modulo di richiesta • – – – Tre copie: Camera, CA, Titolare Stampa della ricevuta Stampa sulla Smart card del nome del Titolare Preparazione del kit Sospensione e riattivazione Ó Creazione di nuovi operatori (RAO, IR) Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Stampante Sulla Smart card deve essere stampato il nome del Titolare Ó Matica Chica Ó www.maticasystem.com Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Software per il Titolare Se ha il Token usb, il software di firma è incluso Ó Se ha la Smart card, il software è File Protector (scaricabile) Ó – Firma file multipli e cartelle intere – – Scaricare dal sito Infocert i driver aggiuntivi (per le carte Athena) File Protector li ha tutti, ed è un ottimo software di firma È possibile continuare a utilizzare Dike Ó Proviamolo Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Token usb (software incluso) Niente da installare, i driver sono inclusi Ó Semplice da utilizzare (e da portare in giro) Ó Si firma trascinando sull'immagine Ó Gestione della carta Ó Marca temporale Ó Si può cambiare il PIN e il PUK Ó Provate a usarlo, così sapete rispondere alle eventuali domande dei vostri utenti Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Assistenza Per i Titolari Ó – – Sito web www.card.infocamere.it Numero verde 800 500 000 – Già in uso Per le Camere (i RAO) c'è il servizio “Monitor” Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC www.card.infocamere.it Assistenza ai titolari delle carte Ó Introduzione al tema e spiegazioni Ó Manuali e guide Ó Scaricamento del software Ó Sospensione e riattivazione in autonomia Ó – – Per telefono Via web Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Configurazione postazioni RAO ...e IR telematici). Ó Sul CMS Ó – – – – Verificare che si raggiunga https://cns-camere.aruba.it Verificare che Internet Explorer abbia i cookies abilitati Al primo accesso si installano i driver in automatico Riavviare Explorer e Windows Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Alcuni consigli È utile inserire l'url del cms tra i preferiti di explorer Ó Provare il primo accesso con una vera cns Ó Si può settare, in Explorer, la privacy intranet per considerare il sito cms come sito in rete locale e non come un sito internet qualunque Ó Si può fare una prova di stampa cognome e nome sulla plastica della smart card Ó – (in casi particolari anche prove di registrazione e rilascio). Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Altri software Verifica l'installazione di Adobe Reader Ó Per la sola stampa dei moduli non serve che AR sia recentissimo Ó – ...ma è sempre meglio avere programmi aggiornati Con AR si possono fare anche verifiche di “firma PDF” Ó – È necessario aggiungere l'elenco delle CA italiane accreditate • – – Altrimenti fa la verifica formale ma non trova i server di revoca http://www.adobe.com/it/security/italiandigsig.html http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Software di firma (per il Titolare) Installare File Protector Ó Download da sito www.card.infocamere.it Ó – – unzip, lancia setup.exe, ok a tutte le domande riavvio stazione di lavoro – – – può essere utile memorizzare password e impostare autologin settare proxy per internet per la verifica della crl Prova file protector Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Altri controlli Verifica raggiungimento crl per verifica firma (con nuovi certificati) da: Ó – – – file protector Dike sw del token usb – – il vecchio dike 4 dà problemi con i certificati dei nuovi dispositivi Aggiornare a Dike 5 – Per avere i driver Athena anche su Dike Aggiornare Dike per eventuali utilizzi incrociati Ó Attenzione: mai (mai!) usare Dike Util per cambiare pin e puk sui nuovi dispositivi: si possono “disallineare” i certificati Ó Dal sito Infocert installare i driver per la carta sanitaria della Regione Lombardia Ó DI NORMA: Carte Vecchie > Software Dike Carte Nuove > File Protector Ferrara 12 ottobre 2011 Imparaora e Aruba PEC Verifiche:test e questionario Test di verifica per RAO Ó – Nome, cognome, Camera, Data – – Per la valutazione del corso Anonimo Questionario di gradimento Ó Ferrara 12 ottobre 2011 Imparaora e Aruba PEC