CIE _10_11_2016_Alessandroni_finale

ing. Alessandro Alessandroni

LA SICUREZZA E L’EFFICACIA DEI SERVIZI

ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID

VERSO EIDAS

LA SICUREZZA E L’EFFICACIA DEI SERVIZI ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID VERSO EIDAS

La nuova carta di identità elettronica

Ing. Alessandro Alessandroni

ing. Alessandro Alessandroniing. Alessandro Alessandroni

IT Senior consultant: sicurezza ICT e sistemi biometrici

Alessandro Alessandroni

LA SICUREZZA E L’EFFICACIA DEI SERVIZI ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID VERSO EIDAS

INGEGNERIA CHIMICA

1974-1993 1993-2013 2013 -

CERTIFICAZIONI

Italia

ORDINE/ASSOCIAZIONI

ATTIVITA’ LAVORATIVA


• E’ iniziata la emissione della nuova CIE in 153 Comuni + quelli coinvolti nella sperimentazione del progetto ANPR

• entro il 2017°: copertura dei maggiori Comuni con 75% popolazione

• entro la metà del 2018: copertura di tutti i Comuni con eliminazione del cartaceo

CIE 3.0

Sicurezza informatica e cyber security


CIE 3.0 - Riferimenti normativi e regole tecniche

• DECRETO 23 dicembre 2015, Modalita' tecniche di emissione della Carta d'identita' elettronica (GU Serie Generale n.302 del 30-12-2015)

– Allegato A: Carta di identità elettronica – Tabella con le informazioni di dettaglio sulle sezioni della CIE

– Allegato B: Caratteristiche Tecniche della CIE, Processo di emissione, Infrastruttura tecnologica e organizzativa

http://servizidemografici.interno.it/it/content/decreto-23-dicembre-2015

• CIE 3.0 – Specifiche Chip, v.1.0, 25/11/2015http://www.agid.gov.it/sites/default/files/documentazione/cie_3.0_-_specifiche_chip.pdf

• Guida tecnica per garantire la qualità e interoperabilità degli elementi biometrici nei documenti elettronici di identità, AGID, v.1.0, giugno 2013

http://archivio.digitpa.gov.it/sites/default/files/Pubblicazioni/Guida%20tecnica%20elementi%20biometrici%20v1.0.pdf

http://servizidemografici.interno.it/it/content/decreto-23-dicembre-2015

http://www.agid.gov.it/sites/default/files/documentazione/cie_3.0_-_specifiche_chip.pdf

http://archivio.digitpa.gov.it/sites/default/files/Pubblicazioni/Guida tecnica elementi biometrici v1.0.pdf


• L’Italia è l’unico paese europeo ad emettere un documento di identità cartaceo che può essere facilmente falsificato (personalizzato localmente)

• La CIE è rimasto un progetto sperimentale con diffusione limitata, emissione decentrata e documento non conforme ai nuovi standard internazionali

• Il Progetto della nuova Carta di identità elettronica garantisce – L’incremento dei livelli di sicurezza dell’intero sistema di emissione

• attraverso la centralizzazione della personalizzazione del supporto

• attraverso un adeguamento delle caratteristiche del documento ai più avanzati standard internazionali di sicurezza in materia di documenti elettronici (eMRTD) che consentono anche la verifica automatica del documento;

– L’estensione dell’emissione della Carta presso tutti i Comuni italiani

serve davvero una nuova Carta d'identità elettronica?



• Supporto in policarbonato personalizzato mediante la tecnica del laser engraving con la foto e i dati del cittadino e corredato da elementi di sicurezza (ologrammi, sfondi di sicurezza, micro scritture, guilloches ecc.);

• microprocessore a radio frequenza (ISO 14443/NFC) con accesso protetto

Caratteristiche tecniche


Simbolo ICAO del «chip-inside» RFID 14443

Card Access Number (CAN)

Machine Readable Zone (MRZ)

• Numero documento• Data nascita• Data scadenza

http://www.cartaidentita.interno.gov.it/il-microprocessore/


• dispositivo di verifica dell’ identità personale, in linea con i più moderni documenti elettronici europei ed internazionali (es.: passaporto UE, permesso di soggiorno UE, Carte identità Olanda, Svezia..)

• strumento di accesso ai servizi online, come richiesto dal Codice dell’Amministrazione Digitale, analogo alla CNS

• Le due funzioni vengono implementate da due distinte applicazioni presenti sul chip RFID:

– Applicazione MRTD per la verifica dell’identità personale

– Applicazione IAS ECC per l’accesso ai servizi online

La CIE 3.0 ha due funzioni distinte



Standard e-MRTDper livelli OSI

8

•ISO/IEC 14443

•ISO/IEC 7816-4

• protocolli crittografici di sicurezza conformi a ICAO PKI

•struttura logica dei dati conformi a ICAO LDS

Per i documenti europei occorre considerare anche il protocollo di sicurezza EAC nei livelli 6 e 7


• struttura dati standard (LDS) :– dati del documento,

– dati personali e biometrici del titolare (foto + 2 impronte in formato standard ISO)

• misure di sicurezza basate su crittografia:– PA (Passive authentication) tutti i dati sono firmati digitalmente dal DS per garantire integrità e

autenticità; il certificato del DS è a sua volta firmato digitalmente dalla CSCA

– BAC/SAC (Basic/Advanced Access Control): per consentire lettura chip solo previa acquisizione informazioni stampate sul documento (CAN o MRZ) e cifratura comunicazioni chip-lettore 3DES/AES

– CA (Chip Authentication) per evitare clonazione del chip

– TA (Terminal Authentication) per consentire lettura impronte solo a soggetti autorizzati

• certificati CSCA (Country Signing Certification Authority) per la verifica autenticità dei dati di identificazionpresenti nella CIE sono pubblicati sul Portale Internet di riferimento http://csca-

ita.interno.gov.it/index_ITA.htm

Applicazione MRTD (Machine Readable Travel Document)


http://csca-ita.interno.gov.it/index_ITA.htm


Documenti elettronici conformi eMRTD ICAO in circolazione

• PASSAPORTI ELETTRONICI: – Nel mondo 123 stati (su 198) emettono passaporti elettronici conformi ICAO– 700 milioni in circolazione a fine 2014 con chip RFID e immagine del volto

– Circa metà degli stati registrano anche 2 impronte (tra i quali tutti gli stati membri UE))

– nessuno stato registra l’immagine dell’iride

• PERMESSI DI SOGGIORNO– Tutti gli stati europei, inclusa Italia, emettono permessi di soggiorno elettronici

conformi ICAO e UE 380/2008 con immagine del volto e le impronte di due dita

• CARTE DI IDENTITA’– Alcuni stati europei emettono carte di indentità e-MRTD conformi ICAO (ad

esempio Olanda, Svezia, Lituania, e adesso anche Italia)

10


• si distinguono due servizi di autenticazione che vengono resi disponibili dalla CIE3 alle applicazioni:

– l’identificazione del documento tramite il Numero Identificativo per i Servizi

– l’identificazione in rete del titolare tramite chiave privata RSA associata ad un certificato di autenticazione client

• i servizi hanno come scopo l’autenticazione del documento o del titolare per ottenere l’accesso alle applicazioni di un Service Provider.

Applicazione IAS ECC



• Non sono duplicati i dati biometrici nel file system IAS

• Non sono previsti servizi aggiuntivi (file system IAS proposto è chiuso e non modificabile)

• Misure di sicurezza simili alla applicazione MRTD:– Non è prevista la presenza di un file con i dati personali, ma solo del certificato di

autenticazione

– I dati personali e il seriale carta sono protetti in lettura tramite secure messaging e richiedono la verifica del PIN utente

– Canale di comunicazione sicuro per i dati personali tra chip e lettore viene stabilito tramite un protocollo di scambio di chiavi Diffie Hellman

– La protezione dalla clonazione può avvenire con un sistema analogo alla Chip Authentication dell’applicazione MRTD

Caratteristiche della applicazione IAS



• Il profilo del certificato di autenticazione è basato sugli standard IETF RFC 3739 e RFC 5280, ETSI TS 102280 e ETSI EN 319412-2.

• Per la sottoscrizione dei certificati di autenticazione è utilizzato l’algoritmo definito nella norma ISO/IEC 10118-3:2004: dedicatedhash-function 4, corrispondente alla funzione SHA-256.

• I certificati di CA, utilizzabili per la verifica dell'autenticità dei certificati di autenticazione della CIE, sono resi disponibili in rete dall'Agenzia per l'Italia Digitale, attraverso l'elenco pubblico dei certificatori accreditati ai sensi dell'articolo 29 del CAD

Certificato di autenticazione della CIE3



• Il servizio di identificazione tramite Numero Identificativo per i Servizi ha le seguenti caratteristiche:

– Non richiede particolari capacità crittografiche da parte del terminale che dà accesso all’applicazione

– Non richiede l’esplicito consenso del titolare tramite immissione di un PIN

– Non prevede la comunicazione di dati personali del titolare del documento (nome, cognome, codice fiscale)

– Non prevede la cifratura dei dati sul canale di comunicazione

• Identifica solo il documento e può essere utilizzato esclusivamente da applicazioni che richiedono un livello di sicurezza estremamente basso

Identificazione con numero Identificativo



• Il servizio di identificazione in rete tramite certificato di autenticazione client ha le seguenti caratteristiche:

– Richiede che il terminale che dà accesso all’applicazione abbia la capacità di applicare algoritmi crittografici simmetrici (3-DES) e asimmetrici (RSA)

– Richiede l’esplicito consenso del titolare tramite immissione di un PIN

– Prevede la comunicazione di dati personali del titolare della CIE3 (nome, cognome, codice fiscale)

– Prevede la cifratura dei dati sul canale di comunicazione

• dedicato alle applicazioni più sensibili che necessitano del massimo livello di sicurezza, dell’identificazione certa del titolare e che i dati coinvolti nella transazione non siano intercettati

Identificazione in rete con certificato di autenticazione



• La conformità a standard consente la interoperabilità della CIE3 che può essere verificata con lettori standard usati per passaporti e permessi di soggiorno

• Usando lettori fissi o mobili in pochi secondi anche non esperti possono verificare:

– Autenticità e Integrità del documento

– Legame con il titolare tramite elementi biometrici (impronte solo soggetti autorizzati dal Ministero Interno)

• Consente la verifica automatica del documento e del titolare attraverso varchi automatici

• Consente la verifica on line tramite smartphone NFC + APP

• Tutto questo garantendo riservatezza in quanto i dati possono essere letti solo dai soggetti autorizzati

• Può migliorare la identificazione in fase di rilascio della identità digitale

vantaggi



• Applicazione MRTDPer verifica della identità nei casi previsti (Autorità di Pubblica Sicurezza, Pubblica Amministrazione, Gestori ed Esercenti di Pubblici Servizi, …)

– con operatore dotato di lettore (postazione fissa o mobile) e sw di verifica

– varchi automatici (aeroporti, stadi, ecc.)

– verifica on line con smartphone NFC e app di verifica

• Applicazione IAS ECC:– Per accesso a servizi on-line bassa sicurezza (NUMERO IDENTIFICATIVO)

– Per ottenere le credenziali SPID da un provider accreditato

– Per accesso servizi on-line alta sicurezza (CERTIFICATO AUTENTICAZIONE) ?(vedi CAD)

– Per accesso tramite SPID come credenziale 3 livello?

Scenari di utilizzo della CIE 3.0



• Non disponendo ancora della nuova CIE, per mostrare in pratica la modalità di verifica di un documento elettronico analogo alla CIE (per la applicazione MRTD), si presentano due casi di verifica di un passaporto elettronico

• In pochi secondi viene verificata la autenticità e integrità del documento (tramite certificato della CSCA nazionale), con lettura dei dati personali (DG1) e della immagine del volto (DG2):

– con PC Windows, dotato di lettore di chip RFID connesso via USB e software di verifica Golden Reader

– con smartphone android dotato di NFC con APP di verifica ReadID

Esempi di verifica di documento elettronico



Verifica con pc + Golden Reader



Demo video verifica con smartphone


https://youtube/j92z37G_KSk

https://youtube/j92z37G_KSk

ing. Alessandro Alessandroni


Alessandro Alessandroni

[email protected]

@AlessandroniIng

+39 3204329547

it.linkedin.com/in/alessandroalessandroni

alessandroalessandroni

Commissione Sicurezza informatica

mailto:[email protected]

CIE _10_11_2016_Alessandroni_finale

Documents

Transcript of CIE _10_11_2016_Alessandroni_finale