Aruba - Le diverse tipologie di Firme Elettroniche

4,149 views

Published on

Presentazione delle diverse tipologie di Firme Elettroniche: gli aggiornamenti normativi, casi d'uso e nuove opportunità.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Aruba - Le diverse tipologie di Firme Elettroniche

  1. 1. Le diverse tipologie di Firme Elettroniche gli aggiornamenti normativi, casi d’uso e nuove opportunità Ing. Andrea Sassetti Direttore Servizi di Certificazione Gruppo Aruba
  2. 2. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  3. 3. Il Gruppo Aruba Una storia d’innovazione e d’investimenti
  4. 4. ArubaPEC ed Actalis Servizi di Certificazione erogati dal Gruppo Aruba  Aruba PEC S.p.A ed Actalis S.p.A., società del Gruppo Aruba S.p.A., sono Autorità di Certificazione iscritte all'Elenco Pubblico dei Certificatori accreditati dall’Agenzia per l’Italia Digitale (ex DigitPA), nonché Gestori accreditati di Posta Elettronica Certificata (PEC)  Offerta di Servizi di Certificazione per tutte le Società, Enti e Pubbliche Amministrazioni:           Posta Elettronica Certificata Firma digitale (Smart Card, Token USB) Firma Remota, Automatica/Massiva Firma Elettronica Avanzata (Biometrica, Grafometrica, …) Carta Nazionale dei Servizi (CNS) Strong Authentication (CNS, OTP,:..) Marche Temporali Conservazione sostitutiva Infrastrutture PKI …
  5. 5. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  6. 6. Le Firme Elettroniche Come vengono definite e loro efficacia probatoria  Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;  Firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;  non viene specificata tecnologia da adottare (non ci sono standard tecnologici di riferimento)  non deve essere necessariamente un Ente Certificatore ad offrire tali soluzioni  non interoperabile  Firma Digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;     Certificato qualificato -> Enti Certificatori accreditati standard tecnologico ben definito non è specificato se utilizzare un dispositivo sicuro di firma -> nelle regole tecniche è invece previsto interoperabilità
  7. 7. Le Firme Elettroniche Come vengono definite e loro efficacia probatoria  Firma Elettronica Qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma; Certificato qualificato -> Enti Certificatori accreditati  standard tecnologico ben definito  richiesto l'utilizzo di un dispositivo sicuro di firma (smart card, token usb, HSM)  Interoperabilità   Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità  Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.
  8. 8. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  9. 9. La Firma Remota Soluzioni di Firma Elettronica Qualificata Utente ArubaPEC CA HSM Signature Middleware Internet ArubaRemote SigningServer HSM Signature Middleware Sito remoto HSM HA System & Monitor HSM Provisioning System (es. Filiale/Cliente) App/WebApp Utente
  10. 10. La Firma Remota – Integrazione Applicativa Soluzioni di Firma Elettronica Qualificata  ARSS: componente software che semplifica l'integrazione della Firma Remota con le Applicazioni  Servizi offerti:  Firma Remota  Firma Automatica/Massiva  Strong Authentication  Marcatura Temporale ArubaRemote SigningServer  Verifica Firma/Marca  Firma Elettronica Avanzata (coerentemente con quanto previsto dalle regole tecniche)
  11. 11. La Firma Remota – Sistemi di strong Auth. Soluzioni di Firma Elettronica Qualificata  Aruba ID Server: interamente sviluppato da Aruba Consente l'integrazione di vari sistemi di Strong Authentication, quali:  sistemi OTP forniti da Aruba (basati sui protocolli del consorzio OATH) quali, ad esempio  Token OTP con Display  Token OTP USB Mobile OTP (sw) per dispositive mobile quali iPhone, Blackberry, Android, Java phone  OTP SMS  Token OTP brand VASCO integrazione di altre soluzioni di autenticazione forte che il Cliente volesse adottare in futuro Aruba ID Server  integrazione di soluzioni di riconoscimento biometrico del Titolare quali la firma biometrica (grafometrica)
  12. 12. La Firma Remota Soluzioni di Firma Elettronica Qualificata  Multidevice: PC, Tablet, Smartphone, …  Integrazione semplice e veloce: qualsiasi applicazione può integrare facilmente le funzionalità di firma remota (ed altre offerte dall’infrastruttura)  Architettura flessibile: personalizzazioni in funzione di specifiche esigenze del Cliente  Servizio offerto in outsourcing o installato presso l’infrastruttura IT del Cliente (in house)
  13. 13. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  14. 14. Firma Elettronica Avanzata un processo di firma… Regole Tecniche  Art. 55 (Disposizioni generali), comma 1: La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva  Art. 56 (Caratteristiche delle soluzioni di firma elettronica avanzata), comma 1: Le soluzioni di firma elettronica avanzata garantiscono: a) l’identificazione del firmatario del documento b) la connessione univoca della firma al firmatario c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a) g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati h) la connessione univoca della firma al documento sottoscritto
  15. 15. Firma Elettronica Avanzata un processo di firma… Regole Tecniche (segue)  Art. 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata), comma 1: I soggetti di cui all’articolo 55, comma 2, lettera a) devono: a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente; b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’articolo 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità;  Art. 58 (Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi) I soggetti che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni devono essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative alla norma ISO/IEC 27001 ed avere la certificazione di conformità del proprio sistema di qualità alla norma ISO 9001.
  16. 16. Firma Elettronica Avanzata un processo di firma… Regole Tecniche (segue)  Art. 60 (Limiti d’uso della firma elettronica avanzata), comma 1: La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, comma 2, lettera a)  Art. 61 (Soluzioni di firma elettronica avanzata) comma 1. L’invio tramite posta elettronica certificata ..... sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche. comma 2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce ..... la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività comma 6. ... al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, DigitPa elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche
  17. 17. Firma Elettronica Avanzata un processo di firma… …. infrastrutture a chiave pubblica (certificati digitali) Firma grafometrica
  18. 18. Firma Elettronica Avanzata basata su infrastrutture a chiave pubblica
  19. 19. Firma Elettronica Avanzata basata su tecnologie grafometriche La Firma Grafometrica (biometrica) è una tecnologia che consente di apporre, nei documenti informatici, una Firma Elettronica Avanzata  La Firma Grafometrica rispetta pienamente quanto previsto dalle regole tecniche per la Firma Elettronica Avanzata, garantendo:  l’identificazione del firmatario del documento  la connessione univoca dei dati di firma al firmatario  il controllo esclusivo del firmatario del sistema di generazione della firma  la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito modifiche dopo l’apposizione della firma (integrità della firma)  la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto  La ”identificazione biometrica della firma” avviene riconoscendo parametri grafometrici velocità, pressione, ritmo, accelerazione, movimento quali
  20. 20. Firma Elettronica Avanzata basata su tecnologie grafometriche 09380923847 483..4823 * +
  21. 21. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  22. 22. Strong Authentication  Aruba fornisce Servizi di Autenticazione forte sia “as a service” (outsourcing) che installate presso l’infrastruttura IT del Cliente  Il sistema consente l'utilizzo di un qualsiasi sistema di strong authentication tra quelli da noi proposti :  Aruba Call  Aruba Call plus  Aruba SMS  Aruba SMS Plus  Token OTP (display) , basato sui protocolli del consorzio OATH  Token OTP USB, basato sui protocolli del consorzio OATH  Client OTP Mobile  Carta Nazionale dei Servizi (CNS)  Browser sicuro su TokenUSB  Per la fruizione di tali servizi di autenticazione Aruba mette a disposizione semplici interfacce (tipicamente webservice) che rendono estremamente facile l’integrazione con gli applicativi cliente.
  23. 23. Strong Authentication - Soluzioni OTP  Aruba OTP - Differenti Soluzioni OTP in grado di soddisfare le varie esigenze dei Clienti:  OTP di tipo hardware (display OTP, USB OTP, Display Card,..)  OTP Mobile (iOS, Android, BlackBerry, JavaPhone)  OTP sw (librerie per integrazione con le applicazioni del Cliente)  OTP brand di mercato (Vasco, RSA, Verisign VIP, …)
  24. 24. Strong Authentication – Aruba Call  ArubaCall  Massima semplicità d’uso  Zero costi telefonici  Impatti per l’integrazione: minimi  ArubaCall: vantaggi della soluzione  Non richiede la distribuzione di dispositivi (es. token OTP) agli utenti  Non esposta ad attacchi di mobile impersonation (caller ID spoofing)  Nessun costo telefonico a carico dell'utente finale  Semplicità e velocità
  25. 25. Strong Authentication – Aruba SMS - SMS Plus  Aruba SMS  Codice OTP OATH  Costi telefonici per invio SMS all’utente  Impatti per l’integrazione: bassi  Aruba SMS Plus  Autenticazione della transazione  Costi telefonici per invio SMS all’utente  Impatti per l’integrazione: modesti
  26. 26. Strong Authentication Flessibilità delle nostre soluzioni  Il Cliente può scegliere una qualsiasi delle soluzioni offerte, selezionando per ciascun utente quale sistema di autenticazione forte adottare  Singola Interfaccia (Web Service) per l’integrazione di tutte le soluzioni di Strong Authentication offerte, così da avere il minor impatto sugli applicativi attualmente in uso  Possiamo offrire il servizio di Strong Authentication sia in modalità Outsourcing che “in casa” del Cliente
  27. 27. Contenuti della Presentazione  Il Gruppo Aruba  Le Firme Elettroniche  La Firma Qualificata e la Firma Remota  La Firma Elettronica Avanzata  Strong Authentication  Il Contrassegno Elettronico
  28. 28. Contrassegno Elettronico Contesto normativo e definizione  Il “Contrassegno elettronico” è regolamentato da quanto disposto nell’articolo 23-ter, comma 5 del vigente Codice dell’Amministrazione Digitale, Decreto Legislativo 7 marzo 2005, n. 82, che recita: “Sulle copie analogiche di documenti amministrativi informatici può essere apposto a stampa un contrassegno, sulla base dei criteri definiti con linee guida dell'Agenzia per l'Italia Digitale, tramite il quale è possibile ottenere il documento informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con sottoscrizione autografa del medesimo documento informatico. I programmi software eventualmente necessari alla verifica sono di libera e gratuita disponibilità.”  Nell’ambito delle "Linee guida per il contrassegno generato elettronicamente ai sensi dell’articolo 23ter, comma 5 del CAD" per contrassegno generato elettronicamente si intende: “una sequenza di bit, codificata mediante una tecnica grafica e idonea a rappresentare un documento amministrativo informatico o un suo estratto o una sua copia o un suo duplicato o i suoi dati identificativi. A tutti gli effetti di legge sostituisce la sottoscrizione autografa della copia analogica.”
  29. 29. Contrassegno Elettronico Scenari d’uso Un documento originale firmato digitalmente La trasposizione dello stesso originale in forma grafica  Contrassegno generato elettronicamente amministrativo informatico originale contenente i La creazione di un documento a stampa dati identificativi del documento  Contrassegno generato elettronicamente contenente estratto/copia/duplicato del documento amministrativo informatico originale conservato presso l’amministrazione  Contrassegno generato elettronicamente contenente il documento amministrativo informatico originale non conservato presso l’amministrazione
  30. 30. Contrassegno Elettronico Scenari d’uso Due macro tipologie di contrassegno digitale  “Copia Controllata” - Questo Timbro è verificabile solo in presenza di collegamento internet ed è possibile utilizzarla per qualsiasi documento di qualsiasi dimensione con firma PAdES o CAdES. In questo caso il contrassegno contiene gli elementi che rendono possibile la verifica accedendo on line al documento amministrativo informatico originale;  “Autocontenuta” - Questo Timbro è verificabile anche senza collegamento internet ma è legato alla dimensione del documento originale. Le informazioni contenute nel contrassegno generato elettronicamente consentono la verifica rispetto al documento amministrativo informatico o al duplicato o all’estratto da cui ha origine senza accesso telematico 31
  31. 31. Contrassegno Elettronico come verificarlo  E’ disponibile uno strumento di verifica gratuito denominato Viewer 32
  32. 32. Contrassegno Elettronico come verificarlo …ma la verifica è complicata? 33
  33. 33. Grazie !

×