Architetto.info - Architetto.info | Architetto.info

Regole tecniche per la formazione, la trasmissione, la conservazione, ...

Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'art. 3, comma 1, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513

DECRETO PRESIDENTE CONSIGLIO MINISTRI 8 febbraio 1999
Regole tecniche
per la formazione, la trasmissione, la conservazione, la duplicazione,
la riproduzione e la validazione, anche temporale, dei documenti
informatici ai sensi dell’art. 3, comma 1, del decreto del Presidente
della Repubblica 10 novembre 1997, n. 513
(G.U. n. 87, 15 aprile 1999,
Serie Generale)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto l’art.
15, comma 2, della legge 15 marzo 1997, n. 59;
Visto l’art. 3 del
decreto del Presidente della Repubblica 10 novembre 1997, n.
513;
Sentita l’Autorità per l’informatica nella pubblica
amministrazione;
Visto il decreto del Presidente del Consiglio dei
Ministri del 30 ottobre 1998, con il quale sono state conferite al
Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri,
sen. prof. Franco Bassanini, le funzioni di coordinamento delle
attività, anche di carattere normativo, inerenti all’attuazione delle
leggi 15 marzo 1997, n. 59, 15 maggio 1997, n. 127 e 16 giugno 1998,
n. 191, nonché i compiti inerenti la disciplina dei sistemi
informatici presso le pubbliche amministrazioni;
Decreta:
Art. 1.
1.
Il presente decreto stabilisce le regole tecniche per la formazione,
la trasmissione, la conservazione, la duplicazione, la riproduzione e
la validazione, anche temporale, dei documenti informatici, di cui
all’art. 3, comma 1, del decreto del Presidente della Repubblica 10
novembre 1997, n. 513 e detta altresì le misure tecniche,
organizzative e gestionali di cui all’art. 3, comma 3, dello stesso
decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
Art.
2.
1. Le regole tecniche, di cui all’art. 1, sono riportate
nell’allegato tecnico del presente decreto, suddivise in cinque titoli
recanti: Regole tecniche di base, regole tecniche per la
certificazione delle chiavi, regole tecniche sulla validazione
temporale e per la protezione dei documenti informatici, regole
tecniche per le pubbliche amministrazioni e disposizioni finali.
Art.
3.
1. Le firme digitali certificate ai sensi dell’art. 8, comma 4, del
decreto del Presidente della Repubblica 10 novembre 1997, n. 513, sono
considerate equivalenti a quelle generate in conformità con le regole
tecniche stabilite dal presente decreto.
2. I prodotti sviluppati o
commercializzati in uno degli Stati membri dell’Unione europea e dello
Spazio economico europeo in conformità dei regolamenti vigenti, sono
ritenuti conformi alle regole tecniche stabilite dal presente decreto
se tali regolamenti assicurano livelli equivalenti di funzionalità e
sicurezza.
3. I commi 1 e 2 del presente articolo si applicano anche
agli Stati non appartenenti all’Unione europea con i quali siano stati
stipulati specifici accordi di riconoscimento reciproco.
ALLEGATO
TECNICO
Regole tecniche per la formazione, la trasmissione, la
conservazione, la duplicazione, la riproduzione e la validazione,
anche temporale, dei documenti informatici ai sensi dell’articolo 3,
comma 1, del Decreto del Presidente della Repubblica, 10 novembre
1997, n. 513
TITOLO I
Regole tecniche di base
Art. 1
Definizioni
1. Ai
fini delle presenti regole tecniche si applicano le definizioni
contenute nell’art. 1 del decreto del Presidente della Repubblica 10
novembre 1997, n. 513. S’intende, inoltre:
a. per “titolare” di una
coppia di chiavi asimmetriche, il soggetto a cui è attribuita la firma
digitale generata con la chiave privata della coppia, ovvero il
responsabile del servizio o della funzione che utilizza la firma
mediante dispositivi automatici;
b. per “impronta” di una sequenza di
simboli binari, la sequenza di simboli binari di lunghezza predefinita
generata mediante l’applicazione alla prima di una opportuna funzione
di hash;
c. per “funzione di hash”, una funzione matematica che
genera, a partire da una generica sequenza di simboli binari, una
impronta in modo tale che risulti di fatto impossibile, a partire da
questa, determinare una sequenza di simboli binari che la generi, ed
altresì risulti di fatto impossibile determinare una coppia di
sequenze di simboli binari per le quali la funzione generi impronte
uguali;
d. per “dispositivo di firma”, un apparato elettronico
programmabile solo all’origine, facente parte del sistema di
validazione, in grado almeno di conservare in modo protetto le chiavi
private e generare al suo interno firme digitali;
e. per “evidenza
informatica”, una sequenza di simboli binari che può essere elaborata
da una procedura informatica;
f. per “marca temporale”, un’evidenza
informatica che consente la validazione temporale.
Art. 2
Algoritmi
di generazione e verifica delle firme digitali
1. Per la generazione e
la verifica delle firme digitali possono essere utilizzati i seguenti
algoritmi:
a. RSA (Rivest-Shamir-Adleman algorithm).
b. DSA (Digital
Signature Algorithm).
Art. 3
Algoritmi di hash
1. La generazione
dell’impronta si effettua impiegando una delle seguenti funzioni di
hash, definite nella norma ISO/IEC 10118-3:1998:
a. Dedicated
Hash-Function 1, corrispondente alla funzione RIPEMD-160;
b.
Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.
Art.
4
Caratteristiche generali delle chiavi
1. Una coppia di chiavi può
essere attribuita ad un solo titolare.
2. Se la firma del titolare
viene apposta per mezzo di una procedura automatica, deve essere
utilizzata una chiave diversa da tutte le altre in possesso del
sottoscrittore.
3. Se la procedura automatica fa uso di più
dispositivi per apporre la firma del medesimo titolare, deve essere
utilizzata una chiave diversa per ciascun dispositivo.
4. Ai fini del
presente decreto, le chiavi ed i correlati servizi, si distinguono
secondo le seguenti tipologie:
a. chiavi di sottoscrizione, destinate
alla generazione e verifica delle firme apposte o associate ai
documenti;
b. chiavi di certificazione, destinate alla generazione e
verifica delle firme apposte ai certificati ed alle loro liste di
revoca (CRL) o sospensione (CSL);
c. chiavi di marcatura temporale,
destinate alla generazione e verifica delle marche temporali.
5. Non
è consentito l’uso di una chiave per funzioni diverse da quelle
previste dalla sua tipologia.
6. La lunghezza minima delle chiavi è
stabilita in 1024 bit.
7. Il soggetto certificatore determina il
termine di scadenza del certificato ed il periodo di validità delle
chiavi in funzione degli algoritmi impiegati, della lunghezza delle
chiavi e dei servizi cui esse sono destinate.
Art. 5
Generazione delle
chiavi
1. La generazione della coppia di chiavi deve essere effettuata
mediante apparati e procedure che assicurino, in rapporto allo stato
delle conoscenze scientifiche e tecnologiche, l’unicità e la
robustezza della coppia generata, nonché la segretezza della chiave
privata.
2. Il sistema di generazione delle chiavi deve comunque
assicurare:
a. la rispondenza della coppia ai requisiti imposti dagli
algoritmi di generazione e di verifica utilizzati;
b.
l’equiprobabilità di generazione di tutte le coppie possibili;
c.
l’identificazione del soggetto che attiva la procedura di generazione.

3. La rispondenza dei dispositivi di generazione delle chiavi ai
requisiti di sicurezza specificati nel presente articolo deve essere
verificata secondo i criteri previsti dal livello di valutazione E3 e
robustezza dei meccanismi HIGH dell’ITSEC o superiori.
Art. 6
Modalità
di generazione delle chiavi
1. La generazione delle chiavi di
certificazione e marcatura temporale può essere effettuata
esclusivamente dal responsabile del servizio che utilizzerà le
chiavi.
2. Le chiavi di sottoscrizione possono essere generate dal
titolare o dal certificatore.
3. La generazione delle chiavi di
sottoscrizione effettuata autonomamente dal titolare deve avvenire
all’interno del dispositivo di firma.
Art. 7
Generazione delle chiavi
al di fuori del dispositivo di firma
1. Se la generazione delle chiavi
avviene su un sistema diverso da quello destinato all’uso della chiave
privata, il sistema di generazione deve assicurare:
a.
l’impossibilità di intercettazione o recupero di qualsiasi
informazione, anche temporanea, prodotta durante l’esecuzione della
procedura;
b. il trasferimento della chiave privata, in condizioni di
massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.

2. Il sistema di generazione deve essere isolato, dedicato
esclusivamente a questa attività ed adeguatamente protetto contro i
rischi di interferenze ed intercettazioni.
3. L’accesso al sistema
deve essere controllato e ciascun utente preventivamente identificato.
Ogni sessione di lavoro deve essere registrata nel giornale di
controllo.
4. Prima della generazione di una nuova coppia di chiavi,
l’intero sistema deve procedere alla verifica della propria
configurazione, dell’autenticità ed integrità del software installato
e dell’assenza di programmi non previsti dalla procedura.
5. La
conformità del sistema ai requisiti di sicurezza specificati nel
presente articolo deve essere verificata secondo i criteri previsti
dal livello di valutazione E3 e robustezza dei meccanismi HIGH
dell’ITSEC, o superiori.
Art. 8
Conservazione delle chiavi
1. Le
chiavi private sono conservate e custodite all’interno di un
dispositivo di firma. È possibile utilizzare lo stesso dispositivo per
conservare più chiavi.
2. È vietata la duplicazione della chiave
privata o dei dispositivi che la contengono.
3. Per fini particolari
di sicurezza, è consentita la suddivisione della chiave privata su più
dispositivi di firma.
4. Il titolare delle chiavi deve:
a. conservare
con la massima diligenza la chiave privata e il dispositivo che la
contiene al fine di garantirne l’integrità e la massima riservatezza;

b. conservare le informazioni di abilitazione all’uso della chiave
privata in luogo diverso dal dispositivo contenente la chiave;
c.
richiedere immediatamente la revoca delle certificazioni relative alle…

[Continua nel file zip allegato]

Architetto.info