SlideShare a Scribd company logo

Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche

Enrico Zimuel
Enrico Zimuel

Talk di presentazione delle regole tecniche della PEC, la Posta Elettronica Certificata

Technology
1 of 15
Download to read offline
CrittoPEC 2011 Dipartimento Matematica – Facoltà di Scienze Università degli Studi di Trento Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche Dott. Enrico Zimuel – Secure Software Engineer http://www.zimuel.it - email: enrico@zimuel.it
Introduzione alla PEC CrittoPEC 2011  Posta elettronica certificata (PEC): è un messaggio di posta elettronica con lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale  Regole tecniche:  Decreto Ministeriale 2 novembre 2005 [1], G.U. 15 novembre 2005, n. 266  DigitPa, ente nazionale per la digitalizzazione della Pubblica Amministrazione (http://www.digitpa.gov.it/)
Regole tecniche CrittoPEC 2011  Alcune definizioni:  Punto di accesso: il sistema che fornisce i servizi di accesso per l’invio e la lettura dei messaggi PEC  Punto di ricezione: il sistema che riceve il messaggio all’interno di un dominio PEC  Punto di consegna: il sistema che compie la consegna del messaggio nella casella PEC del titolare destinatario
Regole tecniche (2) CrittoPEC 2011  Alcune definizioni:  Busta di trasporto: la busta creata dal punto di accesso e sottoscritta con la firma del gestore di posta elettronica certificata mittente, all’interno della quale sono inseriti il messaggio originale inviato dall’utente di posta elettronica certificata ed i relativi dati di certificazione  Marca temporale: un'evidenza informatica con cui si attribuisce, ad uno o più documenti informatici, un riferimento temporale opponibile ai terzi (DPR 28 dicembre 2000, n. 445, DPCM 13 gennaio 2004)
Schema di funzionamento CrittoPEC 2011 Busta di trasporto Punto di Punto di accesso ricezione Ricevuta Messaggio Mailbox destinatario accettazione Punto di consegna Mittente Ricevuta Punto di presa in carico consegna Punto di ricezione Destinatario Ricevuta Store ricevute avvenuta consegna
Messaggi PEC CrittoPEC 2011  Il sistema di PEC genera i messaggi (ricevute, avvisi e buste) in formato MIME  I messaggi sono composti da una parte di testo descrittivo, per l’utente, e da una serie di allegati  Il messaggio è inserito in una struttura S/MIME v3 in formato CMS, firmata con la chiave privata del gestore di posta certificata  Il certificato associato alla chiave usata per la firma è incluso in tale struttura
Messaggi PEC (2) CrittoPEC 2011  Il formato S/MIME usato per la firma dei messaggi generati dal sistema è il “multipart/signed” (formato .p7s) così come descritto nella RFC 2633 [2]  I messaggi sono trasferiti tra gestori usando una codifica a 7 bit sia per gli header sia per il corpo del messaggio e gli eventuali allegati (Base64)  Certificati in standard X.509v3
Mittente del messaggio CrittoPEC 2011  Per garantire la verificabilità della firma da parte del client di posta ricevente, il mittente del messaggio deve coincidere con quello specificato all’interno del certificato usato per la firma S/MIME.  Msg. originale:  From: "Mario Bianchi" <mario.bianchi@dominio.it>  Busta trasporto:  From: "Per conto di: mario.bianchi@dominio.it" <posta-certificata@gestore.it>  Reply-To: "Mario Bianchi" <mario.bianchi@dominio.it>
Controlli formali sui messaggi CrittoPEC 2011  Il punto di accesso deve garantire:  nel corpo del messaggio esista un campo “From” riportante un indirizzo email conforme alle specifiche RFC 2822  nel corpo del messaggio esista un campo “To” riportante uno o più indirizzi email conformi alle specifiche RFC  l’indirizzo del mittente del messaggio specificato nei dati di instradamento (reverse path) coincida con quanto specificato nel campo “From” del messaggio
Controlli formali sui messaggi (2) CrittoPEC 2011  gli indirizzi dei destinatari del messaggio specificati nei dati di instradamento (forward path) coincidano con quelli presenti nei campi “To” o “Cc” del messaggio  non siano presenti indirizzi dei destinatari del messaggio specificati nel campo “Ccn” del messaggio.
Punto di ricezione CrittoPEC 2011  Lo scambio di messaggi tra diversi gestori avviene tramite una transazione basata sul protocollo SMTP come definito dalla RFC 2821 [3]  Sicurezza:  SMTP su trasporto TLS  Il punto di ricezione deve prevedere ed annunciare il supporto per l’estensione STARTTLS ed accettare connessioni sia in chiaro (per la posta ordinaria) che su canale protetto
Log CrittoPEC 2011  Tutte le attività sono memorizzate su un registro riportante i dati significativi dell’operazione:  il codice identificativo univoco assegnato al messaggio originale  la data e l’ora dell’evento  il mittente del messaggio originale  i destinatari del messaggio originale  l’oggetto del messaggio originale  il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.)  il codice identificativo (Message-ID) dei messaggi correlati generati (ricevute, errori, ecc.)  il gestore mittente
Sicurezza (?) della PEC CrittoPEC 2011  La PEC garantisce soltanto l'avvenuta consegna  Non è garantita l'integrità del contenuto  Non è garantita l'identità del mittente  Non è garantita la privacy del contenuto  Firma digitale + PEC  Garantisco l'integrità del contenuto  Garantisco l'identità del mittente  Encryption + PEC  Garantisco la privacy del contenuto
Sicurezza (?) della PEC (2) CrittoPEC 2011  Virus informatici  I messaggi PEC devono essere analizzati da un sistema antivirus che deve essere costantemente aggiornato  La conservazione per 30 mesi delle ricevute includono anche l'intero messaggio e suoi eventuali allegati che sono in chiaro  Cosa accade dopo i 30 mesi?  Il gestore PEC è l'unico ad avere le credenziali per aprire "la busta di trasporto" con tutto il suo contenuto
Riferimenti CrittoPEC 2011 (1) Decreto Ministeriale 2 novembre 2005. Regole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata (2) RFC 2633, S/MIME Version 3 Message Specification (3) RFC 2821, Simple Mail Transfer Protocol (4) RFC 6109, La Posta Elettronica Certificata - Italian Certified Electronic Mail (5) DigitPA, Minigrafia - La Posta Elettronica Certificata (6) Emilio Robotti, La PEC, Posta Elettronica Certificata, Altalex eBook "Informatica Giuridica" (2010) (7) Massimo F. Penco, La posta elettronica: tecnica & best practice, Edisef (2010)

Recommended

Il Processo Civile Telematico
Il Processo Civile TelematicoIl Processo Civile Telematico
Il Processo Civile Telematico
Pietro Calorio
 
Classificazione e fascicolazione dei documeti informatici
Classificazione e fascicolazione dei documeti informaticiClassificazione e fascicolazione dei documeti informatici
Classificazione e fascicolazione dei documeti informatici
Cesare Ciabatti
 
Il protocollo informatico e gestione documentale
Il protocollo informatico e gestione documentaleIl protocollo informatico e gestione documentale
Il protocollo informatico e gestione documentale
Cesare Ciabatti
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
 
Appunti di Organizzazione aziendale
Appunti di Organizzazione aziendaleAppunti di Organizzazione aziendale
Appunti di Organizzazione aziendale
profman
 
Pec posta elettronica certificata
Pec posta elettronica certificataPec posta elettronica certificata
Pec posta elettronica certificata
Roberto Gallerani
 
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Dino Biselli
 
Corso rspp mod c1 Organizzazione e Sistemi di Gestione
Corso rspp mod c1 Organizzazione e Sistemi di GestioneCorso rspp mod c1 Organizzazione e Sistemi di Gestione
Corso rspp mod c1 Organizzazione e Sistemi di Gestione
Roberto Rocchegiani
 

Recommended

Il Processo Civile Telematico
Il Processo Civile TelematicoIl Processo Civile Telematico
Il Processo Civile Telematico
Pietro Calorio
 
Classificazione e fascicolazione dei documeti informatici
Classificazione e fascicolazione dei documeti informaticiClassificazione e fascicolazione dei documeti informatici
Classificazione e fascicolazione dei documeti informatici
Cesare Ciabatti
 
Il protocollo informatico e gestione documentale
Il protocollo informatico e gestione documentaleIl protocollo informatico e gestione documentale
Il protocollo informatico e gestione documentale
Cesare Ciabatti
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
 
Appunti di Organizzazione aziendale
Appunti di Organizzazione aziendaleAppunti di Organizzazione aziendale
Appunti di Organizzazione aziendale
profman
 
Pec posta elettronica certificata
Pec posta elettronica certificataPec posta elettronica certificata
Pec posta elettronica certificata
Roberto Gallerani
 
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Organizzazione del sistema sanitario italiano - Dino Biselli - Febbraio 20…
Dino Biselli
 
Corso rspp mod c1 Organizzazione e Sistemi di Gestione
Corso rspp mod c1 Organizzazione e Sistemi di GestioneCorso rspp mod c1 Organizzazione e Sistemi di Gestione
Corso rspp mod c1 Organizzazione e Sistemi di Gestione
Roberto Rocchegiani
 
aspetti pratici per valutare i rischi e gestire il relativo documento
aspetti pratici per valutare i rischi e gestire il relativo documentoaspetti pratici per valutare i rischi e gestire il relativo documento
aspetti pratici per valutare i rischi e gestire il relativo documento
Corrado Cigaina
 
I beni pluriennali
I beni pluriennaliI beni pluriennali
I beni pluriennali
Edi Dal Farra
 
UNI ISO 45001:2018
UNI ISO 45001:2018UNI ISO 45001:2018
UNI ISO 45001:2018
Fabio Rosito
 
Comunicazione
ComunicazioneComunicazione
Comunicazione
imartini
 
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
iMaS s.r.l.
 
Rocce magmatiche - prof. Canadè
Rocce magmatiche - prof. CanadèRocce magmatiche - prof. Canadè
Rocce magmatiche - prof. Canadè
Fabio Calvi
 
Il Case Management
Il Case ManagementIl Case Management
Il Case Management
Stefano Fiaschi
 
Bisogni educativi speciali
Bisogni educativi specialiBisogni educativi speciali
Bisogni educativi speciali
isis mamoli
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Simone Chiarelli
 
Il rendiconto armonizzato: il risultato di amministrazione
Il rendiconto armonizzato: il risultato di amministrazioneIl rendiconto armonizzato: il risultato di amministrazione
Il rendiconto armonizzato: il risultato di amministrazione
IFEL Fondazione ANCI
 
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
Vincenzo Presutto
 
La movimentazione manuale dei carichi, di Veronica Galli
La movimentazione manuale dei carichi, di Veronica GalliLa movimentazione manuale dei carichi, di Veronica Galli
La movimentazione manuale dei carichi, di Veronica Galli
PrimariaLSantucci
 
Disabili - Volontariato e relazione d'aiuto
Disabili - Volontariato e relazione d'aiutoDisabili - Volontariato e relazione d'aiuto
Disabili - Volontariato e relazione d'aiuto
piccolorifugio
 
Corso di formazione PREPOSTI
Corso di formazione PREPOSTICorso di formazione PREPOSTI
Corso di formazione PREPOSTI
Lisa Servizi
 
Lezione 8 e 9 drg
Lezione 8 e 9 drgLezione 8 e 9 drg
Lezione 8 e 9 drg
danielaramaglioni
 
Elementi di contabilità degli enti locali
Elementi di contabilità degli enti localiElementi di contabilità degli enti locali
Elementi di contabilità degli enti locali
Francesco Ferrante
 
Imu semplice slide
Imu semplice slideImu semplice slide
Imu semplice slide
Antonio Palmieri
 
La Firma Digitale
La Firma DigitaleLa Firma Digitale
La Firma Digitale
Antongiulio Bua
 
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
Simone Chiarelli
 
Management Sanitario
Management SanitarioManagement Sanitario
Management Sanitario
Dario
 
Posta certificata
Posta certificataPosta certificata
Posta certificata
jamboo
 
la posta elettronica certificata nelle aziende http://www.cre-attivo.it
la posta elettronica certificata nelle aziende http://www.cre-attivo.itla posta elettronica certificata nelle aziende http://www.cre-attivo.it
la posta elettronica certificata nelle aziende http://www.cre-attivo.it
Massimiliano Parolin
 

More Related Content

What's hot

Comunicazione
ComunicazioneComunicazione
Comunicazione
imartini
 
Rocce magmatiche - prof. Canadè
Rocce magmatiche - prof. CanadèRocce magmatiche - prof. Canadè
Rocce magmatiche - prof. Canadè
Fabio Calvi
 
Bisogni educativi speciali
Bisogni educativi specialiBisogni educativi speciali
Bisogni educativi speciali
isis mamoli
 
Elementi di contabilità degli enti locali
Elementi di contabilità degli enti localiElementi di contabilità degli enti locali
Elementi di contabilità degli enti locali
Francesco Ferrante
 
Management Sanitario
Management SanitarioManagement Sanitario
Management Sanitario
Dario
 

What's hot (20)

aspetti pratici per valutare i rischi e gestire il relativo documento
aspetti pratici per valutare i rischi e gestire il relativo documentoaspetti pratici per valutare i rischi e gestire il relativo documento
aspetti pratici per valutare i rischi e gestire il relativo documento
 
I beni pluriennali
I beni pluriennaliI beni pluriennali
I beni pluriennali
 
UNI ISO 45001:2018
UNI ISO 45001:2018UNI ISO 45001:2018
UNI ISO 45001:2018
 
Comunicazione
ComunicazioneComunicazione
Comunicazione
 
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
Bisignano 8-la gestione documentale e il processo di conservazione dei docum...
 
Rocce magmatiche - prof. Canadè
Rocce magmatiche - prof. CanadèRocce magmatiche - prof. Canadè
Rocce magmatiche - prof. Canadè
 
Il Case Management
Il Case ManagementIl Case Management
Il Case Management
 
Bisogni educativi speciali
Bisogni educativi specialiBisogni educativi speciali
Bisogni educativi speciali
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
 
Il rendiconto armonizzato: il risultato di amministrazione
Il rendiconto armonizzato: il risultato di amministrazioneIl rendiconto armonizzato: il risultato di amministrazione
Il rendiconto armonizzato: il risultato di amministrazione
 
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
I controlli interni ed esterni degli enti locali e il ruolo dell'Organismo In...
 
La movimentazione manuale dei carichi, di Veronica Galli
La movimentazione manuale dei carichi, di Veronica GalliLa movimentazione manuale dei carichi, di Veronica Galli
La movimentazione manuale dei carichi, di Veronica Galli
 
Disabili - Volontariato e relazione d'aiuto
Disabili - Volontariato e relazione d'aiutoDisabili - Volontariato e relazione d'aiuto
Disabili - Volontariato e relazione d'aiuto
 
Corso di formazione PREPOSTI
Corso di formazione PREPOSTICorso di formazione PREPOSTI
Corso di formazione PREPOSTI
 
Lezione 8 e 9 drg
Lezione 8 e 9 drgLezione 8 e 9 drg
Lezione 8 e 9 drg
 
Elementi di contabilità degli enti locali
Elementi di contabilità degli enti localiElementi di contabilità degli enti locali
Elementi di contabilità degli enti locali
 
Imu semplice slide
Imu semplice slideImu semplice slide
Imu semplice slide
 
La Firma Digitale
La Firma DigitaleLa Firma Digitale
La Firma Digitale
 
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
Lezione 8 - Le procedure negoziate: manifestazione di interesse e scelta degl...
 
Management Sanitario
Management SanitarioManagement Sanitario
Management Sanitario
 

Similar to Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche

Posta certificata
Posta certificataPosta certificata
Posta certificata
jamboo
 
3 corso pec come funziona
3 corso pec come funziona3 corso pec come funziona
3 corso pec come funziona
Confimpresa
 
4 corso pec come funziona
4 corso pec come funziona4 corso pec come funziona
4 corso pec come funziona
Confimpresa
 
PEC - guida all'uso Register.it
PEC - guida all'uso Register.itPEC - guida all'uso Register.it
PEC - guida all'uso Register.it
Register.it
 
03 Paolo Lessio, Processo civile telematico
03 Paolo Lessio, Processo civile telematico03 Paolo Lessio, Processo civile telematico
03 Paolo Lessio, Processo civile telematico
paolo.lessio
 
Relazione sulla presentazione di informatica
Relazione sulla presentazione di informaticaRelazione sulla presentazione di informatica
Relazione sulla presentazione di informatica
giovi98
 

Similar to Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche (18)

Posta certificata
Posta certificataPosta certificata
Posta certificata
 
la posta elettronica certificata nelle aziende http://www.cre-attivo.it
la posta elettronica certificata nelle aziende http://www.cre-attivo.itla posta elettronica certificata nelle aziende http://www.cre-attivo.it
la posta elettronica certificata nelle aziende http://www.cre-attivo.it
 
3 corso pec come funziona
3 corso pec come funziona3 corso pec come funziona
3 corso pec come funziona
 
4 corso pec come funziona
4 corso pec come funziona4 corso pec come funziona
4 corso pec come funziona
 
PEC Keeper
PEC KeeperPEC Keeper
PEC Keeper
 
PEC - guida all'uso Register.it
PEC - guida all'uso Register.itPEC - guida all'uso Register.it
PEC - guida all'uso Register.it
 
03 Paolo Lessio, Processo civile telematico
03 Paolo Lessio, Processo civile telematico03 Paolo Lessio, Processo civile telematico
03 Paolo Lessio, Processo civile telematico
 
Posta Certificata
Posta CertificataPosta Certificata
Posta Certificata
 
1 corso pec
1 corso pec1 corso pec
1 corso pec
 
Altri strumenti di comunicazione
Altri strumenti di comunicazioneAltri strumenti di comunicazione
Altri strumenti di comunicazione
 
La PEC
La PECLa PEC
La PEC
 
T notice infografica nl
T notice infografica nlT notice infografica nl
T notice infografica nl
 
Relazione sulla presentazione di informatica
Relazione sulla presentazione di informaticaRelazione sulla presentazione di informatica
Relazione sulla presentazione di informatica
 
Globalcom 2016
Globalcom 2016Globalcom 2016
Globalcom 2016
 
Netfun italia
Netfun italiaNetfun italia
Netfun italia
 
Info ooss implementazione firma elettronica ptl.ppt
Info ooss implementazione firma elettronica ptl.pptInfo ooss implementazione firma elettronica ptl.ppt
Info ooss implementazione firma elettronica ptl.ppt
 
Articolo Pec
Articolo PecArticolo Pec
Articolo Pec
 
La fattura elettronica
La fattura elettronicaLa fattura elettronica
La fattura elettronica
 

More from Enrico Zimuel

More from Enrico Zimuel (20)

Password (in)security
Password (in)securityPassword (in)security
Password (in)security
 
Integrare Zend Framework in Wordpress
Integrare Zend Framework in WordpressIntegrare Zend Framework in Wordpress
Integrare Zend Framework in Wordpress
 
Quick start on Zend Framework 2
Quick start on Zend Framework 2Quick start on Zend Framework 2
Quick start on Zend Framework 2
 
Cryptography with Zend Framework
Cryptography with Zend FrameworkCryptography with Zend Framework
Cryptography with Zend Framework
 
A quick start on Zend Framework 2
A quick start on Zend Framework 2A quick start on Zend Framework 2
A quick start on Zend Framework 2
 
Zend Framework 2 quick start
Zend Framework 2 quick startZend Framework 2 quick start
Zend Framework 2 quick start
 
PHP goes mobile
PHP goes mobilePHP goes mobile
PHP goes mobile
 
Zend Framework 2
Zend Framework 2Zend Framework 2
Zend Framework 2
 
Cryptography in PHP: use cases
Cryptography in PHP: use casesCryptography in PHP: use cases
Cryptography in PHP: use cases
 
Manage cloud infrastructures in PHP using Zend Framework 2 (and 1)
Manage cloud infrastructures in PHP using Zend Framework 2 (and 1)Manage cloud infrastructures in PHP using Zend Framework 2 (and 1)
Manage cloud infrastructures in PHP using Zend Framework 2 (and 1)
 
Manage cloud infrastructures using Zend Framework 2 (and ZF1)
Manage cloud infrastructures using Zend Framework 2 (and ZF1)Manage cloud infrastructures using Zend Framework 2 (and ZF1)
Manage cloud infrastructures using Zend Framework 2 (and ZF1)
 
Framework software e Zend Framework
Framework software e Zend FrameworkFramework software e Zend Framework
Framework software e Zend Framework
 
Strong cryptography in PHP
Strong cryptography in PHPStrong cryptography in PHP
Strong cryptography in PHP
 
How to scale PHP applications
How to scale PHP applicationsHow to scale PHP applications
How to scale PHP applications
 
Velocizzare Joomla! con Zend Server Community Edition
Velocizzare Joomla! con Zend Server Community EditionVelocizzare Joomla! con Zend Server Community Edition
Velocizzare Joomla! con Zend Server Community Edition
 
Zend_Cache: how to improve the performance of PHP applications
Zend_Cache: how to improve the performance of PHP applicationsZend_Cache: how to improve the performance of PHP applications
Zend_Cache: how to improve the performance of PHP applications
 
XCheck a benchmark checker for XML query processors
XCheck a benchmark checker for XML query processorsXCheck a benchmark checker for XML query processors
XCheck a benchmark checker for XML query processors
 
Introduzione alle tabelle hash
Introduzione alle tabelle hashIntroduzione alle tabelle hash
Introduzione alle tabelle hash
 
Crittografia quantistica: fantascienza o realtà?
Crittografia quantistica: fantascienza o realtà?Crittografia quantistica: fantascienza o realtà?
Crittografia quantistica: fantascienza o realtà?
 
Introduzione alla crittografia
Introduzione alla crittografiaIntroduzione alla crittografia
Introduzione alla crittografia
 

Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche

  • 1. CrittoPEC 2011 Dipartimento Matematica – Facoltà di Scienze Università degli Studi di Trento Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche Dott. Enrico Zimuel – Secure Software Engineer http://www.zimuel.it - email: enrico@zimuel.it
  • 2. Introduzione alla PEC CrittoPEC 2011  Posta elettronica certificata (PEC): è un messaggio di posta elettronica con lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale  Regole tecniche:  Decreto Ministeriale 2 novembre 2005 [1], G.U. 15 novembre 2005, n. 266  DigitPa, ente nazionale per la digitalizzazione della Pubblica Amministrazione (http://www.digitpa.gov.it/)
  • 3. Regole tecniche CrittoPEC 2011  Alcune definizioni:  Punto di accesso: il sistema che fornisce i servizi di accesso per l’invio e la lettura dei messaggi PEC  Punto di ricezione: il sistema che riceve il messaggio all’interno di un dominio PEC  Punto di consegna: il sistema che compie la consegna del messaggio nella casella PEC del titolare destinatario
  • 4. Regole tecniche (2) CrittoPEC 2011  Alcune definizioni:  Busta di trasporto: la busta creata dal punto di accesso e sottoscritta con la firma del gestore di posta elettronica certificata mittente, all’interno della quale sono inseriti il messaggio originale inviato dall’utente di posta elettronica certificata ed i relativi dati di certificazione  Marca temporale: un'evidenza informatica con cui si attribuisce, ad uno o più documenti informatici, un riferimento temporale opponibile ai terzi (DPR 28 dicembre 2000, n. 445, DPCM 13 gennaio 2004)
  • 5. Schema di funzionamento CrittoPEC 2011 Busta di trasporto Punto di Punto di accesso ricezione Ricevuta Messaggio Mailbox destinatario accettazione Punto di consegna Mittente Ricevuta Punto di presa in carico consegna Punto di ricezione Destinatario Ricevuta Store ricevute avvenuta consegna
  • 6. Messaggi PEC CrittoPEC 2011  Il sistema di PEC genera i messaggi (ricevute, avvisi e buste) in formato MIME  I messaggi sono composti da una parte di testo descrittivo, per l’utente, e da una serie di allegati  Il messaggio è inserito in una struttura S/MIME v3 in formato CMS, firmata con la chiave privata del gestore di posta certificata  Il certificato associato alla chiave usata per la firma è incluso in tale struttura
  • 7. Messaggi PEC (2) CrittoPEC 2011  Il formato S/MIME usato per la firma dei messaggi generati dal sistema è il “multipart/signed” (formato .p7s) così come descritto nella RFC 2633 [2]  I messaggi sono trasferiti tra gestori usando una codifica a 7 bit sia per gli header sia per il corpo del messaggio e gli eventuali allegati (Base64)  Certificati in standard X.509v3
  • 8. Mittente del messaggio CrittoPEC 2011  Per garantire la verificabilità della firma da parte del client di posta ricevente, il mittente del messaggio deve coincidere con quello specificato all’interno del certificato usato per la firma S/MIME.  Msg. originale:  From: "Mario Bianchi" <mario.bianchi@dominio.it>  Busta trasporto:  From: "Per conto di: mario.bianchi@dominio.it" <posta-certificata@gestore.it>  Reply-To: "Mario Bianchi" <mario.bianchi@dominio.it>
  • 9. Controlli formali sui messaggi CrittoPEC 2011  Il punto di accesso deve garantire:  nel corpo del messaggio esista un campo “From” riportante un indirizzo email conforme alle specifiche RFC 2822  nel corpo del messaggio esista un campo “To” riportante uno o più indirizzi email conformi alle specifiche RFC  l’indirizzo del mittente del messaggio specificato nei dati di instradamento (reverse path) coincida con quanto specificato nel campo “From” del messaggio
  • 10. Controlli formali sui messaggi (2) CrittoPEC 2011  gli indirizzi dei destinatari del messaggio specificati nei dati di instradamento (forward path) coincidano con quelli presenti nei campi “To” o “Cc” del messaggio  non siano presenti indirizzi dei destinatari del messaggio specificati nel campo “Ccn” del messaggio.
  • 11. Punto di ricezione CrittoPEC 2011  Lo scambio di messaggi tra diversi gestori avviene tramite una transazione basata sul protocollo SMTP come definito dalla RFC 2821 [3]  Sicurezza:  SMTP su trasporto TLS  Il punto di ricezione deve prevedere ed annunciare il supporto per l’estensione STARTTLS ed accettare connessioni sia in chiaro (per la posta ordinaria) che su canale protetto
  • 12. Log CrittoPEC 2011  Tutte le attività sono memorizzate su un registro riportante i dati significativi dell’operazione:  il codice identificativo univoco assegnato al messaggio originale  la data e l’ora dell’evento  il mittente del messaggio originale  i destinatari del messaggio originale  l’oggetto del messaggio originale  il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.)  il codice identificativo (Message-ID) dei messaggi correlati generati (ricevute, errori, ecc.)  il gestore mittente
  • 13. Sicurezza (?) della PEC CrittoPEC 2011  La PEC garantisce soltanto l'avvenuta consegna  Non è garantita l'integrità del contenuto  Non è garantita l'identità del mittente  Non è garantita la privacy del contenuto  Firma digitale + PEC  Garantisco l'integrità del contenuto  Garantisco l'identità del mittente  Encryption + PEC  Garantisco la privacy del contenuto
  • 14. Sicurezza (?) della PEC (2) CrittoPEC 2011  Virus informatici  I messaggi PEC devono essere analizzati da un sistema antivirus che deve essere costantemente aggiornato  La conservazione per 30 mesi delle ricevute includono anche l'intero messaggio e suoi eventuali allegati che sono in chiaro  Cosa accade dopo i 30 mesi?  Il gestore PEC è l'unico ad avere le credenziali per aprire "la busta di trasporto" con tutto il suo contenuto
  • 15. Riferimenti CrittoPEC 2011 (1) Decreto Ministeriale 2 novembre 2005. Regole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata (2) RFC 2633, S/MIME Version 3 Message Specification (3) RFC 2821, Simple Mail Transfer Protocol (4) RFC 6109, La Posta Elettronica Certificata - Italian Certified Electronic Mail (5) DigitPA, Minigrafia - La Posta Elettronica Certificata (6) Emilio Robotti, La PEC, Posta Elettronica Certificata, Altalex eBook "Informatica Giuridica" (2010) (7) Massimo F. Penco, La posta elettronica: tecnica & best practice, Edisef (2010)