�ݺ�ߣ

ing. Alessandro Alessandroni
LA SICUREZZA E L’EFFICACIA DEI SERVIZI
ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID
VERSO EIDAS
LA SICUREZZA E L’EFFICACIA DEI SERVIZI ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID VERSO EIDAS
La nuova carta di identità elettronica
Ing. Alessandro Alessandroni

ing. Alessandro Alessandroniing. Alessandro Alessandroni
IT Senior consultant: sicurezza ICT e sistemi biometrici
Alessandro Alessandroni
LA SICUREZZA E L’EFFICACIA DEI SERVIZI ELETTRONICI PER L’IDENTITA’ DIGITALE: SPID VERSO EIDAS
INGEGNERIA CHIMICA
1974-1993 1993-2013 2013 -
CERTIFICAZIONI
Italia
ORDINE/ASSOCIAZIONI
ATTIVITA’ LAVORATIVA

• E’ iniziata la emissione della nuova CIE in 153 Comuni + quelli coinvolti nella
sperimentazione del progetto ANPR
• entro il 2017°: copertura dei maggiori Comuni con 75% popolazione
• entro la metà del 2018: copertura di tutti i Comuni con eliminazione del
cartaceo
CIE 3.0
Sicurezza informatica e cyber security

CIE 3.0 - Riferimenti normativi e regole tecniche
• DECRETO 23 dicembre 2015, Modalita' tecniche di emissione della Carta
d'identita' elettronica (GU Serie Generale n.302 del 30-12-2015)
– Allegato A: Carta di identità elettronica – Tabella con le informazioni di dettaglio sulle
sezioni della CIE
– Allegato B: Caratteristiche Tecniche della CIE, Processo di emissione, Infrastruttura
tecnologica e organizzativa
http://servizidemografici.interno.it/it/content/decreto-23-dicembre-2015
• CIE 3.0 – Specifiche Chip, v.1.0, 25/11/2015
http://www.agid.gov.it/sites/default/files/documentazione/cie_3.0_-_specifiche_chip.pdf
• Guida tecnica per garantire la qualità e interoperabilità degli elementi
biometrici nei documenti elettronici di identità, AGID, v.1.0, giugno 2013
http://archivio.digitpa.gov.it/sites/default/files/Pubblicazioni/Guida%20tecnica%20elementi%20biometrici%20v1.0.pdf

• L’Italia è l’unico paese europeo ad emettere un documento di identità
cartaceo che può essere facilmente falsificato (personalizzato localmente)
• La CIE è rimasto un progetto sperimentale con diffusione limitata, emissione
decentrata e documento non conforme ai nuovi standard internazionali
• Il Progetto della nuova Carta di identità elettronica garantisce
– L’incremento dei livelli di sicurezza dell’intero sistema di emissione
• attraverso la centralizzazione della personalizzazione del supporto
• attraverso un adeguamento delle caratteristiche del documento ai più avanzati standard
internazionali di sicurezza in materia di documenti elettronici (eMRTD) che consentono
anche la verifica automatica del documento;
– L’estensione dell’emissione della Carta presso tutti i Comuni italiani
serve davvero una nuova Carta d'identità elettronica?

• Supporto in policarbonato personalizzato mediante la tecnica del laser
engraving con la foto e i dati del cittadino e corredato da elementi di
sicurezza (ologrammi, sfondi di sicurezza, micro scritture, guilloches ecc.);
• microprocessore a radio frequenza (ISO 14443/NFC) con accesso protetto
Caratteristiche tecniche
Simbolo ICAO del «chip-inside» RFID 14443
Card Access Number (CAN)
Machine Readable Zone (MRZ)
• Numero documento
• Data nascita
• Data scadenza

• dispositivo di verifica dell’ identità personale, in linea con i più
moderni documenti elettronici europei ed internazionali (es.:
passaporto UE, permesso di soggiorno UE, Carte identità Olanda,
Svezia..)
• strumento di accesso ai servizi online, come richiesto dal Codice
dell’Amministrazione Digitale, analogo alla CNS
• Le due funzioni vengono implementate da due distinte
applicazioni presenti sul chip RFID:
– Applicazione MRTD per la verifica dell’identità personale
– Applicazione IAS ECC per l’accesso ai servizi online
La CIE 3.0 ha due funzioni distinte

Standard e-MRTD
per livelli OSI
8
•ISO/IEC 14443
•ISO/IEC 7816-4
• protocolli crittografici di sicurezza conformi a ICAO PKI
•struttura logica dei dati conformi a ICAO LDS
Per i documenti europei occorre considerare anche il protocollo di sicurezza EAC nei
livelli 6 e 7

• struttura dati standard (LDS) :
– dati del documento,
– dati personali e biometrici del titolare (foto + 2 impronte in formato standard ISO)
• misure di sicurezza basate su crittografia:
– PA (Passive authentication) tutti i dati sono firmati digitalmente dal DS per garantire integrità e
autenticità; il certificato del DS è a sua volta firmato digitalmente dalla CSCA
– BAC/SAC (Basic/Advanced Access Control): per consentire lettura chip solo previa acquisizione
informazioni stampate sul documento (CAN o MRZ) e cifratura comunicazioni chip-lettore 3DES/AES
– CA (Chip Authentication) per evitare clonazione del chip
– TA (Terminal Authentication) per consentire lettura impronte solo a soggetti autorizzati
• certificati CSCA (Country Signing Certification Authority) per la verifica autenticità dei dati di
identificazionpresenti nella CIE sono pubblicati sul Portale Internet di riferimento http://csca-
ita.interno.gov.it/index_ITA.htm
Applicazione MRTD (Machine Readable Travel Document)

Documenti elettronici
conformi eMRTD ICAO in circolazione
• PASSAPORTI ELETTRONICI:
– Nel mondo 123 stati (su 198) emettono passaporti elettronici conformi ICAO
– 700 milioni in circolazione a fine 2014 con chip RFID e immagine del volto
– Circa metà degli stati registrano anche 2 impronte (tra i quali tutti gli stati
membri UE))
– nessuno stato registra l’immagine dell’iride
• PERMESSI DI SOGGIORNO
– Tutti gli stati europei, inclusa Italia, emettono permessi di soggiorno elettronici
conformi ICAO e UE 380/2008 con immagine del volto e le impronte di due dita
• CARTE DI IDENTITA’
– Alcuni stati europei emettono carte di indentità e-MRTD conformi ICAO (ad
esempio Olanda, Svezia, Lituania, e adesso anche Italia)
10

• si distinguono due servizi di autenticazione che vengono resi
disponibili dalla CIE3 alle applicazioni:
– l’identificazione del documento tramite il Numero Identificativo per i
Servizi
– l’identificazione in rete del titolare tramite chiave privata RSA associata
ad un certificato di autenticazione client
• i servizi hanno come scopo l’autenticazione del documento o del
titolare per ottenere l’accesso alle applicazioni di un Service
Provider.
Applicazione IAS ECC

• Non sono duplicati i dati biometrici nel file system IAS
• Non sono previsti servizi aggiuntivi (file system IAS proposto è chiuso e non
modificabile)
• Misure di sicurezza simili alla applicazione MRTD:
– Non è prevista la presenza di un file con i dati personali, ma solo del certificato di
autenticazione
– I dati personali e il seriale carta sono protetti in lettura tramite secure messaging e
richiedono la verifica del PIN utente
– Canale di comunicazione sicuro per i dati personali tra chip e lettore viene stabilito
tramite un protocollo di scambio di chiavi Diffie Hellman
– La protezione dalla clonazione può avvenire con un sistema analogo alla Chip
Authentication dell’applicazione MRTD
Caratteristiche della applicazione IAS

• Il profilo del certificato di autenticazione è basato sugli standard
IETF RFC 3739 e RFC 5280, ETSI TS 102280 e ETSI EN 319412-2.
• Per la sottoscrizione dei certificati di autenticazione è utilizzato
l’algoritmo definito nella norma ISO/IEC 10118-3:2004: dedicated
hash-function 4, corrispondente alla funzione SHA-256.
• I certificati di CA, utilizzabili per la verifica dell'autenticità dei
certificati di autenticazione della CIE, sono resi disponibili in rete
dall'Agenzia per l'Italia Digitale, attraverso l'elenco pubblico dei
certificatori accreditati ai sensi dell'articolo 29 del CAD
Certificato di autenticazione della CIE3

• Il servizio di identificazione tramite Numero Identificativo per i Servizi ha le
seguenti caratteristiche:
– Non richiede particolari capacità crittografiche da parte del terminale che dà accesso
all’applicazione
– Non richiede l’esplicito consenso del titolare tramite immissione di un PIN
– Non prevede la comunicazione di dati personali del titolare del documento (nome,
cognome, codice fiscale)
– Non prevede la cifratura dei dati sul canale di comunicazione
• Identifica solo il documento e può essere utilizzato esclusivamente da
applicazioni che richiedono un livello di sicurezza estremamente basso
Identificazione con numero Identificativo

• Il servizio di identificazione in rete tramite certificato di autenticazione client
ha le seguenti caratteristiche:
– Richiede che il terminale che dà accesso all’applicazione abbia la capacità di applicare
algoritmi crittografici simmetrici (3-DES) e asimmetrici (RSA)
– Richiede l’esplicito consenso del titolare tramite immissione di un PIN
– Prevede la comunicazione di dati personali del titolare della CIE3 (nome, cognome,
codice fiscale)
– Prevede la cifratura dei dati sul canale di comunicazione
• dedicato alle applicazioni più sensibili che necessitano del massimo livello di
sicurezza, dell’identificazione certa del titolare e che i dati coinvolti nella
transazione non siano intercettati
Identificazione in rete con certificato di autenticazione

• La conformità a standard consente la interoperabilità della CIE3 che può essere verificata con
lettori standard usati per passaporti e permessi di soggiorno
• Usando lettori fissi o mobili in pochi secondi anche non esperti possono verificare:
– Autenticità e Integrità del documento
– Legame con il titolare tramite elementi biometrici (impronte solo soggetti autorizzati dal Ministero
Interno)
• Consente la verifica automatica del documento e del titolare attraverso varchi automatici
• Consente la verifica on line tramite smartphone NFC + APP
• Tutto questo garantendo riservatezza in quanto i dati possono essere letti solo dai soggetti
autorizzati
• Può migliorare la identificazione in fase di rilascio della identità digitale
vantaggi

• Applicazione MRTD
Per verifica della identità nei casi previsti (Autorità di Pubblica Sicurezza, Pubblica
Amministrazione, Gestori ed Esercenti di Pubblici Servizi, …)
– con operatore dotato di lettore (postazione fissa o mobile) e sw di verifica
– varchi automatici (aeroporti, stadi, ecc.)
– verifica on line con smartphone NFC e app di verifica
• Applicazione IAS ECC:
– Per accesso a servizi on-line bassa sicurezza (NUMERO IDENTIFICATIVO)
– Per ottenere le credenziali SPID da un provider accreditato
– Per accesso servizi on-line alta sicurezza (CERTIFICATO AUTENTICAZIONE) ?(vedi CAD)
– Per accesso tramite SPID come credenziale 3 livello?
Scenari di utilizzo della CIE 3.0

• Non disponendo ancora della nuova CIE, per mostrare in pratica
la modalità di verifica di un documento elettronico analogo alla
CIE (per la applicazione MRTD), si presentano due casi di verifica
di un passaporto elettronico
• In pochi secondi viene verificata la autenticità e integrità del
documento (tramite certificato della CSCA nazionale), con lettura
dei dati personali (DG1) e della immagine del volto (DG2):
– con PC Windows, dotato di lettore di chip RFID connesso via USB e
software di verifica Golden Reader
– con smartphone android dotato di NFC con APP di verifica ReadID
Esempi di verifica di documento elettronico

Verifica con pc + Golden Reader

Demo video verifica con smartphone
https://youtube/j92z37G_KSk

ing. Alessandro Alessandroni
Alessandro Alessandroni
alessandroalessandroni@gmail.com
@AlessandroniIng
+39 3204329547
it.linkedin.com/in/alessandroalessandroni
alessandroalessandroni
Commissione Sicurezza informatica

�ݺ�ߣ

CIE _10_11_2016_Alessandroni_finale

More Related Content

CIE _10_11_2016_Alessandroni_finale