D. 17/02/2005 n. 4

CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

Deliberazione 17 febbraio 2005 n. 4/2005

Regole per il riconoscimento e la verifica del documento informatico.

Titolo I

DISPOSIZIONI GENERALI IL COLLEGIO

-Visto il decreto legislativo 12 febbraio 1993, n. 39, così come modificato dall'art. 176, comma 3, del decreto legislativo 30 giugno 2003, n. 196;

- Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;

- Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche;

-Visto l'art. 40, comma 4, del decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004;

- Delibera di emanare le seguenti regole per il riconoscimento e la verifica del documento informatico.

Art. 1. – Definizioni

1. Fatte salve le definizioni contenute negli articoli 1 e 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni, ai fini delle presenti regole si intende per:

a) testo unico, il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, emanato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

b) regole tecniche, le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici emanate con decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004 pubblicate nella Gazzetta Ufficiale 27 aprile 2004, n. 98;

c) firme multiple, firme digitali apposte da diversi sottoscrittori allo stesso documento;

d) campo, unità informativa contenuta nel certificato. Può essere composta da diverse unità informative elementari dette «attributi»;

e) estensione, metodo utilizzato per associare specifiche informazioni (attributi) alla chiave pubblica contenuta nel certificato, utilizzata per fornire ulteriori informazioni sul titolare del certificato e per gestire la gerarchia di certificazione;

f) attributo, informazione elementare contenuta in un campo di un certificato elettronico come un nome, un numero o una data;

g) attributi autenticati, insieme di attributi sottoscritti con firma elettronica dal sottoscrittore;

h) marcatura critica, caratteristica che possono assumere le estensioni conformemente allo standard RFC 3280;

i) marca temporale, un'evidenza informatica che consente la validazione temporale;

l) OID (Object Identifier), codice numerico standard per l'identificazione univoca di evidenze informatiche utilizzate per la rappresentazione delle strutture di dati nell'ambito degli standard internazionali relativi alla interconnessione dei sistemi aperti;

m) RFC (Request For Comments), documenti contenenti specifiche tecniche standard, riconosciute a livello internazionale, definite dall'Internet Engineering Task Force (IETF) e dall'Internet Engineering Steering Group (IESG);

n) ETSI (European Telecommunications Standards Institute), organizzazione indipendente, no profit, la cui missione è produrre standard sulle telecomunicazioni. E' ufficialmente responsabile per la creazione di standard in Europa;

o) HTTP (Hypertext Transfer Protocol), protocollo per il trasferimento di pagine ipertestuali e risorse in rete conforme allo standard RFC 2616 e successive modificazioni;

p) LDAP (Lightweight Directory Access Protocol), protocollo di rete utilizzato per rendere accessibili informazioni in rete conforme allo standard RFC 3494 e successive modificazioni.

Art. 2. - Ambito di applicazione e contenuto

1. La presente deliberazione stabilisce, ai sensi dell'art. 40, comma 4 delle regole tecniche, le regole per il riconoscimento e la verifica del documento informatico cui i certificatori accreditati devono attenersi al fine di ottenere e mantenere il riconoscimento di cui all'art. 28, comma 1 del testo unico.

2. Le disposizioni di cui al titolo II definiscono il formato dei certificati qualificati e le informazioni che in essi devono essere contenute.

3. Le disposizioni di cui al titolo III definiscono il formato dei certificati elettronici di certificazione e le informazioni che in essi devono essere contenute, generati ai sensi dell'art. 13, comma 2, delle regole tecniche, e il formato dei certificati elettronici di marcatura temporale e le informazioni che in essi devono essere contenute.

4. Le disposizioni di cui al titolo IV definiscono il formato e le informazioni che devono essere contenute nelle marche temporali utilizzate dai sistemi di validazione temporale dei documenti, così come definiti nel titolo IV delle regole tecniche.

5. Le disposizioni di cui al titolo V definiscono i formati e le modalità di accesso alle informazioni sulla revoca e la sospensione dei certificati, ai sensi dell'art. 29, comma 1, delle regole tecniche.

6. Le disposizioni di cui al titolo VI definiscono i formati delle buste crittografiche destinate a contenere gli oggetti sottoscritti con firma digitale.

7. Le disposizioni di cui al titolo VII definiscono i requisiti delle applicazioni di verifica della firma digitale di cui all'art.10 delle regole tecniche. Titolo II PROFILO DEI CERTIFICATI QUALIFICATI

Art. 3. - Norme generali

1. Il profilo dei certificati è, se non diversamente indicato, conforme alla specifica RFC 3280, capitolo 4, recante «Profilo dei certificati e delle liste di revoca dei certificati nell'infrastruttura a chiave pubblica» e, se non diversamente indicato, conforme alla specifica ETSI TS 101 862 V1.3.2, recante «Profilo dei certificati qualificati».

Art. 4. - Profilo dei certificati qualificati

1. Salvo quanto diversamente disposto nella presente deliberazione, ai certificati qualificati si applica quanto stabilito nella specifica ETSI TS 102 280 V1.1.1, recante «Profilo dei certificati X.509 V.3 per certificati rilasciati a persone fisiche».

2. Il campo Issuer (emittente) del certificato contiene almeno i seguenti attributi:

a) organizationName (OID: 2.5.4.10), che contiene la ragione sociale o denominazione dell'organizzazione che emette il certificato qualificato;

b) countryName (OID: 2.5.4.6), che contiene il country code ISO 3166 dello Stato in cui è registrata l'organizzazione indicata nell'organizationName.

3. Il campo SubjectDN (Dati identificativi del titolare) del certificato contiene i seguenti attributi:

a) givenName e surname (OID: 2.5.4.42 e 2.5.4.4) che contengono rispettivamente nome di battesimo e cognome del titolare del certificato;

b) countryName (OID: 2.5.4.6) che, nel caso in cui l'organizationName contenga il valore «non presente», contiene il country code ISO 3166 dello Stato di residenza del titolare. Nel caso in cui l'organizationName contenga un valore diverso da «non presente», contiene il country code ISO 3166 dello Stato che ha assegnato all'organizzazione il codice identificativo riportato nell'attributo organizationName;

c) organizationName (OID: 2.5.4.10) che contiene, se applicabile, la ragione sociale o la denominazione e il codice identificativo dell'organizzazione che ha richiesto o autorizzato il rilascio del certificato del titolare. Il codice identificativo è un codice rilasciato dall'autorità governativa preposta dello Stato indicato nell'attributo countryName. Se l'organizationName non è applicabile, assume il valore «non presente»;

d) serialNumber (OID: 2.5.4.5) che contiene il codice fiscale del titolare rilasciato dall'autorità fiscale dello Stato di residenza del titolare o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di previdenza sociale o un codice identificativo generale. Allo scopo di definire il contesto per la comprensione del codice in questione, il codice stesso è preceduto dal country code ISO 3166 e dal carattere «:» (in notazione esadecimale «0x3A»);

e) in alternativa agli attributi specificati alla lettera a), il certificato può contenere l'attributo pseudonym (OID: 2.5.4.65), che contiene una qualsiasi stringa univoca, a discrezione del titolare. La stringa utilizzata non permette di risalire ai dati identificativi del titolare. Se l'attributo pseudonym è presente, l'attributo countryName assume il valore «IT», l'attributo organizationName assume il valore «non presente», l'attributo serialNumber il valore «pseudonimo» e gli attributi title e localityName non sono presenti;

f) dnQualifier (OID: 2.5.4.46), contiene il codice identificativo del titolare presso il certificatore. Detto codice, assegnato dal certificatore, è univoco.

4. Il campo subjectDN (Dati identificativi del titolare) del certificato può contenere altri attributi purchè non in contrasto con quanto previsto dal documento ETSI TS 102 280. L'eventuale codifica degli attributi title, localityName, commonName e organizational UnitName rispetta le seguenti regole:

a) title (OID: 2.5.4.12), contiene una indicazione della qualifica specifica del titolare, quale l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, ovvero i poteri di rappresentanza nell'ambito dell'organizzazione specificata nell'attributo organizationName. Nel caso in cui l'attributo organizationName contenga un valore diverso da «non presente», l'inserimento delle informazioni nel title è richiesto dall'organizzazione stessa. In caso contrario contiene informazioni derivanti da autocertificazione effettuata dal titolare ai sensi della normativa vigente;

b) localityName (OID: 2.5.4.7), contiene, nel caso in cui l'attributo organizationName contenga un valore diverso da «non presente», informazioni pertinenti all'organizzazione specificata;

c) commonName (OID: 2.5.4.3), in aggiunta a surname e givenName, contiene l'eventuale altro nome con il quale il titolare è comunemente conosciuto;

d) organizationalUnitName (OID: 2.5.4.11), contiene ulteriori informazioni inerenti all'organizzazione. Tale attributo può comparire, al massimo, cinque volte.

5. Il certificato contiene inoltre le seguenti estensioni:

a) keyUsage (OID: 2.5.29.15) che contiene esclusivamente il valore non- Repudiation (bit 1 impostato a 1). L'estensione è marcata critica

b) certificatePolicies (OID: 2.5.29.32) che contiene l'OID della Certificate Policy (CP) e l'Uniform Resource Locator (URL) che punta al Certificate Practice Statement (CPS) nel rispetto del quale il certificatore ha emesso il certificato. Se non viene adottata una CP definita a livello nazionale o europeo, il certificatore definisce una propria CP e tale OID è definito e pubblicizzato dal certificatore. Possono essere indicate più Certificate Policy (CP). L'URL configura un percorso assoluto per l'accesso alla CRL. L'estensione non è marcata critica;

c) CRLDistributionPoints (OID: 2.5.29.31) che contiene l'URL che punta alle CRL/CSL pubblicate dal certificatore dove eventualmente saranno disponibili le informazioni relative alla revoca o sospensione del certificato in questione. L'URL configura un percorso assoluto per l'accesso alla CRL. Lo schema da utilizzare per l'URL è HTTP oppure LDAP e consente lo scaricamento anonimo della CRL. Nel caso vengano valorizzati più di un URL per l'estensione, tali URL configurano percorsi coerenti con l'ultima CRL/CSL pubblicata. L'estensione non è marcata critica;

d) authorityKeyIdentifier (OID: 2.5.29.35) che contiene almeno l'attributo keyIdentifier. L'estensione non è marcata critica;

e) subjectKeyIdentifier (OID: 2.5.29.14) che contiene almeno l'attributo keyIdentifier. L'estensione non è marcata critica;

f) qcStatements, identificate nel documento ETSI TS 101 862 come segue:

1) id-etsi-qcs-QcCompliance (OID: 0.4.0.1862.1.1);

2) id-etsi-qcs-QcLimitValue (OID: 0.4.0.1862.1.2), presente se sono applicabili limiti nelle negoziazioni;

3) id-etsi-qcs-QcRetentionPeriod (OID: 0.4.0. 1862.1.3), il valore indicato è pari o superiore a «10»;

4) id-etsi-qcs-QcSSCD (OID: 0.4.0.1862.1.4). L'estensione non è marcata critica.

6. Il certificato di sottoscrizione può contenere le seguenti estensioni: