Il 23 settembre 2008 17.58, Sandro Fontana <[EMAIL PROTECTED]> ha scritto: > giobbe wrote: >> Rissone Ruggero ha scritto .. > Considerate la "semplice" certificazione EAL4+ per gli HSM. > e' necessaria a renderli compliant alla normativa europea sulla firma > digitale: richiede di essere conforme ai security requirement > contenuti nei documenti CWA 14167-, CWA 14167-2, CWA 14169 del CEN > > La commissione europea prese questa decisione nel luglio 2003; da > quella data ad oggi, in pratica nessun fornitore di HSM ha ancora una > certificazione CC, nella migliore delle ipotesi sono FIPS-2 Lev 3.
Da quello che so, sono conformi (o dovrebbero esserlo) le smart-card di firma dei certificatori accreditati. La conformità a EAL4+ è anzi il motivo addotto (secure path, secure channel) per l'uso di Secure Messaging sulle stesse. Purtroppo non credo che siano sottoposte alla stessa valutazione i sw di firma, visto che in italia è invalsa l'abitudine di annegare le chiavi di secure messaging (simmetriche e statiche) all'interno delle librerie pkcs11. CWA 14890 (capitolo 8) specifica un'ottimo schema per la derivazione tramite crittografia asimmetrica di chiavi di SM statiche; non credo che nessuno in Italia usi quello schema. (Del resto, non è richiesto: basta andare a vedersi le specifiche CNS[1]) E' invece alla base delle specifiche ECC (European Citizen Card) [1] http://www.cnipa.gov.it/site/_files/CNS%20Functional%20Specification%201.1.3_06042006_.pdf Roberto Resoli ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
