11291_10-e0116923a-incpubb2012 by CIG

DATI DI COPERTINA E PREMESSA DEL PROGETTO

E0116923A

Sistemi di misurazione del gas Dispositivi di misurazione del gas su base oraria Parte 10: Sicurezza

Gas measurement systems Hourly based gas metering systems Part 10: Safety

ORGANO COMPETENTE

CIG - Comitato Italiano Gas

CO-AUTORE

SOMMARIO

La specifica tecnica definisce le prescrizioni relative alla sicurezza dei dispositivi che sono utilizzati nella rete di telegestione e per la sicurezza dei dati che sono scambiati tra i dispositivi stessi. La specifica tecnica si applica agli elementi che compongono il sistema di telegestione, i cui requisiti costruttivi e funzionali sono definiti nella serie UNI/TS 11291.

codice progetto: E0116923A © UNI - Milano. Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte di questo documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto di UNI.

DATI DI COPERTINA E PREMESSA DEL PROGETTO

E0116923A

Questo testo NON è una norma UNI, ma è un progetto di norma sottoposto alla fase di inchiesta pubblica, da utilizzare solo ed esclusivamente per fini informativi e per la formulazione di commenti. Il processo di elaborazione delle norme UNI prevede che i progetti vengano sottoposti all'inchiesta pubblica per raccogliere i commenti degli operatori: la norma UNI definitiva potrebbe quindi presentare differenze -anche sostanziali- rispetto al documento messo in inchiesta. Questo documento perde qualsiasi valore al termine dell'inchiesta pubblica, cioè il:05-11-12 UNI non è responsabile delle conseguenze che possono derivare dall'uso improprio del testo dei progetti in inchiesta pubblica.

RELAZIONI NAZIONALI

RELAZIONI INTERN.LI

La specifica tecnica viene riesaminata ogni tre anni.

PREMESSA Eventuali osservazioni sulla UNI/TS 11291-10 devono pervenire all'UNI entro mese anno.@@ La presente specifica tecnica è stata elaborata sotto la competenza dell'ente federato all'UNI@ CIG - Comitato Italiano Gas@ @ La Commissione Centrale Tecnica dell'UNI ha dato la sua approvazione il giorno mese anno. @

UNI/TS 11291-10

E0116923A

Introduzione L’Autorità per l’Energia Elettrica e il Gas (AEEG) ha emanato, in data 22/10/2008, la Deliberazione ARG/gas 155/08 “Direttive per la messa in servizio dei gruppi di misura del gas, caratterizzati da requisiti funzionali minimi e con funzioni di telelettura o telegestione, per i punti di riconsegna delle reti di distribuzione del gas naturale”; modifiche al testo della presente specifica tecnica potranno rendersi in futuro necessarie in conseguenza dei provvedimenti che l’AEEG dovesse adottare nell’ambito di attuazione della deliberazione citata. In generale, il concetto di “sicurezza” scaturisce dalla necessità di individuare l’insieme di misure adeguate e mirate alla “protezione di un bene”. Nello scenario che nel seguito si andrà a descrivere, il “bene” da proteggere è costituito da “informazioni”. Occuparsi della “sicurezza delle informazioni”, secondo prassi consolidata e standardizzata, significa identificare le misure di protezione atte a preservare: 

la loro “riservatezza” o “confidenzialità” (contrastando la possibilità che il contenuto delle stesse possa divenire noto a soggetti non autorizzati a conoscerlo);



la loro “integrità” (contrastando al possibilità che esse possano essere modificate, manomesse, corrotte; nel peggiore dei casi, provvedendo in modo che ciò possa essere rilevato);



la loro “disponibilità”(contrastando la possibilità di perdita, distruzione, impossibilità di accesso alle stesse).

In un “sistema di telegestione”, tutti gli apparati periferici (concentratori, traslatori, ripetitori, GdM) ad esso appartenenti sono da ritenere come componenti significative del sistema nello scenario che si andrà a descrivere. Ciascuna di queste componenti, in termini di “sicurezza delle informazioni”, deve essere considerata sotto 2 aspetti:

UNI/TS 11291-10

E0116923A



quello di apparato come “contenitore” fisico di software e dati da proteggere;



quello di apparato come sorgente/destinatario nello scambio delle stesse nella comunicazione con il Sistema Cent

Nel caso dell’apparato visto come “contenitore”, è necessario prevedere l’impiego di opportune misure di protezione fisica, funzionale e del software installato. Nel caso dell’apparato visto come “sorgente/destinatario”, è opportuno prevedere adeguate misure di protezione, delle informazioni scambiate, da integrare nei protocolli di comunicazione adottati. In particolare per quanto riguarda le misure di protezione da applicare nei protocolli di comunicazione, esse dovrebbero essere: 

la “cifratura”, nei casi in cui è richiesta la “riservatezza”;



l’”autenticazione” dei messaggi , che oltre alla ”integrità” delle informazioni scambiate provvede anche alla certificazione della sorgente delle stesse;



la “non copiabilità”, per prevenire la clonazione indebita delle informazioni scambiate;



le opportune procedure e strategie di recupero delle informazioni perse negli scambi, per riconquistarne la “disponibilità”.

Scopo e campo di applicazione

La presente specifica tecnica definisce le prescrizioni relative alla sicurezza dei dispositivi che sono utilizzati nella rete di telegestione e per la sicurezza dei dati che sono scambiati tra i dispositivi stessi. La presente specifica tecnica si applica agli elementi checompongono il sistema di telegestione, i cui requisiti costruttivi e funzionali sono definiti nella serie UNI/TS 11291.

Riferimenti Normativi La presente specifica tecnica rimanda, mediante riferimenti datati e non, a disposizioni contenute in altre pubblicazioni. Tali riferimenti normativi sono citati nei punti appropriati del testo e sono di seguito elencati. Per quanto riguarda i riferimenti datati, successive modifiche o revisioni apportate © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

a dette pubblicazioni valgono unicamente se introdotte nella presente specifica tecnica come aggiornamento o revisione. Per i riferimenti non datati vale l'ultima edizione della pubblicazione alla quale si fa riferimento (compresi gli aggiornamenti). UNI/TS 11291 (Tutte le parti) Sistemi di misurazione del gas – Dispositivi di misurazione del gas su base oraria UNI CEI ISO/IEC 27001 Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti ISO/IEC 27002Information technology. Security techniques. Code of practice for information security management

Termini e definizioni, Simboli e abbreviazioni 3.1 Termini e definizioni Ai fini della presente specifica tecnica si applicano i termini e le definizioni di cui alla UNI/TS 11291-1. 3.2 Simboli e abbreviazioni Ai fini della presente specifica tecnica si applicano i simboli e le abbreviazioni seguenti: 3.2.1 A-PDU(Application Protocol Data Unit): Parte del messaggio inerente il protocollo applicativo 3.2.2CSMA-CSA acronimo inglese di Carrier Sense Multiple Access with Collision Avoidance, ovvero accesso multiplo tramite rilevamento della portante che evita collisioni 3.2.3 DoS, acronimo inglese di “denial of service” (negazione del servizio). Si intende un attacco informatico in cui si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio al limite delle prestazioni fino a renderlo non più in grado di erogare il servizio 3.2.4 HANacronimo inglese di “home area network” ovvero reti di comunicazione tra dispositivi digitali dislocati in area di tipo “domestico” 3.2.5 LANacronimo inglese di “local area network” ovvero reti di comunicazione tra dispositivi digitali dislocati in area limitata 3.2.6 WAN acronimo inglese di “wide area network” ovvero reti di comunicazione tra dispositivi digitali dislocati in area che si estende ad una o più regioni 3.2.7 PKIacronimo inglese diPublic Key Infrastructure © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

Aspetti critici degli scenari operativi

4.1

Generalità

Lo scenario operativo in cui sono coinvolti i GdM che comunicano col SAC mediante reti puntomultipunto, è senza dubbio, in termini di “security”, uno dei più complessi ed osticida affrontare, per la quantità e la qualità di punti di vulnerabilità potenziali, problematicità e criticità in esso presenti, dovute anche a necessità funzionali, operative e organizzative. Per molti di questi GdM, a valle della fase di installazione (che può essere anche “su strada”), non sono previste, per prassi consolidata, attività ordinarie di verifica periodica della loro “integrità” (sia hardware che software)e di quella dell’impianto, per tutta la durata delloro periodo di “vita operativa”. Vengono fisicamente rivisitati, in occasione della loro verifica metrologica, in occasione della loro sostituzione a conclusione di detto periodo di “vita”, della loro sostituzione per guasto o per operazioni ordinarie quali la sostituzione delle batterie, quando previsto. Tenuto conto che la “vita utile” di una batteriapuò essereanche di sette anni e che la lettura dei dati, con tecnologia wireless, non necessita di accesso “a vista”,se ne conclude che il GdM può rimanere non presidiato per periodi di tempo consistenti e comunque non trascurabili. In queste condizioni la protezione di ciascun GdM contro accessi diretti all’hardware (nel tentativo di manomettere il sistema di misura o i dati, oppure di impossessarsi delle chiavi crittografiche) è affidata alle intrinseche capacità del sistema di far fronte a detti accessi diretti non autorizzati, che potrebbero anche avvenirein un momento precedente all’installazione del GdM. Il requisito di utilizzare, per esempio e dove possibile, chiavi differenti per ogni GdM, si inquadra nell’obiettivo di limitare azioni fraudolente al solo GdM oggetto dell’attacco,del tipotipo “furto delle chiavi”. Lo scenario operativo in cui sono coinvolti i GdM che comunicano col SAC mediante reti punto-punto,è, rispetto a quello precedente mitigato dal fatto che in generale è più frequente la loro rivisitazione per la sostituzione delle batterie e/o per attività ordinarie di verifica periodica. Sebbene vada sottolineato il fatto che i GdM che operano in tale contesto, specie se utilizzano reti pubbliche, potrebbero essere oggetto di attacchi da parte di “hacker” che interessati soprattutto a generare disservizi, potrebbero condurre detteazionicomodamente ed indipendentemente dalla vicinanza al gruppo di misura,la comunicazione tra GdM e SAC è di regola iniziata dal GdM protraendosi generalmente per periodi molto limitati di © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

tempo. Inoltre il mezzo trasmissivo puòessere ulteriormente protetto direttamente dal gestore contro intrusioni o interferenze di soggettinon autorizzati. Lo scenario operativo in cui sono coinvolti i Concentratori che comunicano col SAC mediante reti puntopunto, è solo in parte mitigato dal fatto che detti apparati non sono direttamente coinvolti nella misurazione del gas e possono essere periodicamente visitatiper operazioni di manutenzione ordinaria (per esempio sostituzione batterie).D’altra parte lo scenarioè invece aggravato dal fatto che in essi possonorisiedere le chiavi di centinaia o migliaia di GdM che potrebbero divenire obiettiviinteressanti per attività terroristiche o mirate alla consumazione di frodi. Lo scenario operativo in cui sono coinvolti i Traslatori e Ripetitori, deve tenere in considerazioneche sia il Traslatore sia il Ripetitore non mantengono copia delle chiavi di cifratura dei GdM“affiliati” e quindi può risultare mitigata la protezione fisica di detti apparati mentre devono in ogni caso essere presi accorgimentiper contenere o mitigare attacchi di tipo DoS.

4.2

Apertura/chiusura Valvola gas

Per i GdM che la prevedono, elemento particolarmente critico è la valvola di intercettazione del gas, azionabile anche da remoto. Il controllo di tale dispositivo è determinante per chi esercisce il GdM, dato che la perdita di tale controllo potrebbe avere effetti anche per la sicurezza. Sono quindi altrettanto determinanti e fondamentali, in termini di sicurezza, sia la robustezza “fisica” del GdM sia la robustezza dei protocolli di comunicazione.

4.3

Batteria alimentazione

La presenza di una batteria di alimentazione, eventualmente sostituibile, costituisce una vulnerabilità potenziale (per esempio il suo furto ha l’effetto di un attacco DoS, oltre il danno economico per l’attività delsuo ripristino e per la mancata rilevazione dei dati di misura, se non si prevedono soluzioni tampone) di cui è opportuno tener conto anche nella comunicazione e nelle modalità di funzionamento degli apparati e in particolare dei GdM. Di questo componente si devono inoltre definire adeguate procedure di smaltimento in un piano, concordato tra gli esercenti, nell’ottica della protezione dell’ambiente.

UNI/TS 11291-10

4.4

E0116923A

Gestione tempi di comunicazione

L’obiettivo di contenere al massimo il consumo delle batterie, impone di adottare, nel caso della comunicazione, il criterio di alternare brevi periodi di “veglia” a lunghi periodi di “sonno”. E’ necessario gestire al meglio tale situazione nelle procedure di comunicazione. Per esempio, a seconda della tecnologia scelta con diversi rapporti tra tempi di veglia e tempi di sonno ci sono due scenari: le tecnologie con lunghi tempi di sonno (maggiori del 99,9% del tempo totale) sono di difficile raggiungibilità, le tecnologie virtualmente sempre sveglie possono segnalare tempestivamente eventuali attacchi identificati. E’ necessario gestire al meglio tali situazioni nelle procedure di comunicazione allo scopo di contenere/mitigare al meglio attacchi di tipo DoS.

4.5

Accesso al mezzo di comunicazione Wireless

Le tecnologie “wireless” che si intendono adottare nelle comunicazioni di tipo “punto-multipunto” (di cui il “punto” è il Concentratore) hannocriteri di accesso di tipo “CSMA-CA”. I meccanismi di accesso al canale di tipo “CSMA-CA” non sono esenti dal problema noto in letteratura come “terminale nascosto”. Tale fenomeno occorre quando due nodi si trovano nel raggio di copertura di un terzo nodo, ma non sono in visibilità diretta fra di essi: vengono così incrementate le collisioni tra i trasmettitori, degradando così la qualità della comunicazione e portando a uno stallo delle trasmissioni. Di conseguenza, nelle procedure di comunicazione, si deve tener conto di questo problema anche per ovviare ad attacchi di tipo DoS.

4.6

Non riservatezza intrinseca della comunicazione Wireless

La comunicazione con tecnologia “wireless” consente a chiunque, con facilità e in assoluto anonimato, di poter “spiare” il traffico ed effettuare attacchi software (i più comuni sono quelli di tipo “forza bruta” e DoS) nel raggio di copertura della rete wireless . NOTA - Tale raggio può variare da qualche metro (LAN) fino alle centinaia di metri (WAN) a seconda della tecnologia utilizzata.

UNI/TS 11291-10

4.7

E0116923A

Sotto-tratte di comunicazione PM1

Nelle comunicazioni di tipo PM1, la tratta di comunicazione tra Concentratore e GdM, potrebbe prevedere sotto-tratte in cui potrebbero essere utilizzati vari tipi di mezzi di comunicazione e protocolli. Ciò potrebbe accrescere l’ostilità della “rete di comunicazione”, in particolar modo quando la tecnologia utilizzata in queste sotto-tratte abbia un grado di sicurezza inferiore a quella scelta come riferimento.

4.8

Terminali portatili e chiavi

Nel caso di comunicazione locale con terminali portatili, per attività d’installazione, di manutenzionee d’esercizio ( nel caso particolare di GdM non raggiungibili da remoto), è da tenere in considerazioneil problema della protezione delle eventuali chiavi crittografiche a bordo del terminale stesso anche e soprattutto nel caso esso possa essere di proprietà della impresa che offre il servizio di installazione e/o manutenzione e/o esercizio-locali. E’ necessario considerare, in detta problematica, anche i casi di furto/smarrimento dei terminali portatili. D’altra parte si deve tenere in conto la necessità di snellire per quanto possibile le operazioni di installazione degli apparati in campo, in particolare nella fase di sostituzione massiva, coniugando ciò con le prestazioni di sicurezza previste dal protocollo.

4.9

Efficienza protocolli e batteria

I protocolli di comunicazione, in particolare il protocollo applicativo, devono essere concepiti anche con l’obiettivo di risparmiare al massimo le batterie dei componenti del sistema, in particolare dei GdM (anche per far fronte ad attacchi mirati a ciò, riconducibili a quelli DoS); è quindi importante anche tenere conto della “efficienza” dei protocolli nel senso di non sottovalutarne l’eventuale“verbosità”.

4.10

Passaggio concessione tra Distributori

UNI/TS 11291-10

E0116923A

Tenuto conto che un sistema di tele gestionepuò avere nel tempo più esercenti per effetto di eventuali “passaggi di concessione”: 

deve essere tenuto in considerazione il problema dell’identificazione certa e univoca di ciascun componente il sistemaper evitare confusioni, in detti passaggi di concessione, sia in campo sia nei data basedei sistemi di telegestione, soprattutto per quanto riguarda la loro individuazione come “apparati” della rete dicomunicazione nella gestione degli istradamenti.



deve essere tenuto in considerazione il problema della integrità, disponibilità e segretezza delle chiavi crittografiche di ciascun componente del sistema, dato che detti passaggi di concessione avvengono tra operatori che, per quanto previsto dalla legge, possono trovarsi a concorrere per l’ottenimento delle stesse.

4.11

Individuazione delle vulnerabilità in fase di progettazione

In fase di progettazione del sistema(protocolli di comunicazione inclusi), è necessarioporre il massimo impegno e sforzo nella individuazione delle vulnerabilità e delle misure da applicare per la loro rimozione/mitigazione (senza ovviamente trascurare il tema costi-benefici), dal momento che una eventuale vulnerabilità riscontrata successivamente alla messa in esercizio potrebbe essere non semplice da arginare a posteriori.

4.12

Aspetti di criticitàdel concentratore

Dato che il Concentratore è un elemento cardine nella rete “punto-multipunto” di comunicazione tra SAC e GdM sottesi, è indispensabile, anche per questo apparato, definiretutti gli argomenti significativi, che condizionano le scelte realizzative in termini di sicurezza. Vulnerabilità eventualmente presenti nel Concentratorepossono rendere inefficaci e inutili alcune misure significative di sicurezzaapplicate sui GdM.

5 Protezioni fisiche e funzionali degli apparati

UNI/TS 11291-10

5.1

E0116923A

Generalità

In accordo con i concetti fondamentali sulla sicurezza,le vulnerabilità sopra descritte possono essere efficacemente contrastate adottando i seguenti criteri di base :

5.2

la sicurezza richiede necessariamente anche la sicurezza fisica dell’apparato;

nella realizzazione dei prodotti non sono ammissibili backdoor 3 sia hardware che software, utili per superare le barriere realizzate dalla sicurezza in caso di recupero delle funzionalità degli apparati. Infatti una backdoor una volta scoperta può diventare facile punto di attacco e manomissione funzionale;

nessuna porzione del software residente negli apparati può essere basata su altri software non sicuri;

fabbricantie distributori devono dotarsi di un’organizzazione orientata alla sicurezza che sia in grado di gestire, conservare , modificare e distribuire i parametri di sicurezza di tutti gli apparati del sistema definendo ruoli e responsabilità degli attori dell’organizzazione e verificando con periodiche verificheche tutti i processi collegati alla sicurezza siano conformi ai requisiti iniziali.

Livelli di sicurezza

I requisiti che i componenti del sistema di tele gestione o loro parti a cui afferiscono le funzionalità di sicurezza devono soddisfare, sono distinti in base ailivelli4.

5.3

Identificatore di Apparato

Per rendere possibile una gestione ordinata del sistema anche in relazione al cambio di concessione, ogni apparato del sistema di telegestione (GdM, Concentratore, Ripetitore, Traslatore), deve possedere un proprio identificatore ID univoco utilizzando opportune codifiche5. Lo ID, di opportuna

Le backdoor in informatica sono paragonabili a “porte di servizio” che consentono di superare in parte o in tutto le procedure di sicurezza. Queste "porte" possono essere intenzionalmente create dai produttori degli apparati per permettere una più agevole opera di manutenzione. 4 I livelli sono definiti nella ISO IEC 19790 eNIST-FIPS PUB 140-2

Tali codifiche sono previste da Enti preposti (per esempio Flag Association). © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

dimensione,deve essere impresso in fabbrica in maniera permanente e non modificabile e deve essere visibile anche ad apparato spento. Per gli apparati che comunicano in PM1 lo ID può essere utilizzatoanche come identificativo dell’apparato per le funzioni di comunicazione. Qualora il GdMfosse costituito da più moduli funzionali ciascun modulo deve essere dotato di un proprio ID ma soltanto quello relativo all’apparato che ha in gestione la sicurezzadeve valere come ID di apparato del sistema di telegestione/comunicazione.

Protezioni fisiche e funzionali dei GdM

6.1

Livelli di sicurezza per i GdM

Con riferimento ai requisiti di sicurezza e in conformità aquanto indicato al punto5.2, per i GdM utilizzati nella rete di telegestione realizzata secondo i requisiti della serie UNI/TS 11291, devono essere applicati i seguenti livelli (vedere prospetto 1). Prospetto 1: Livelli di sicurezza per i GdM Classe di GdM B,C A2,A1,A a)

6.2

Livello di sicurezza per gli apparati comunicanti in PP4 2a) 2 a)

Livello di sicurezza per gli apparati comunicanti in PM1 2 a)

con autenticazione del singolo utente

Protezione dell’Hardware

La protezione di ciascun GdM contro accessi/attacchi diretti alle componenti dell’hardware (attacchi mirati principalmente a favorire frodi mediante manomissioni) e cioè: 

alle schede elettroniche e rispettiva componentistica tra cui l’unità di elaborazione, memorie, porte logiche/analogiche, scheda radio, sensori per la misura del gas, batteria;



ai moduli di cui il GdM può essere costituito (vedere UNI/TS11291-1);

UNI/TS 11291-10



E0116923A

agli eventuali cablaggi presenti sia tra la componentistica sia tra gli eventuali moduli di cui sopra;

deve essere realizzata con caratteristiche tali da: -

prevedere comunque e in ogni caso la chiusura delle componenti sopradette con contenitori soluzioni meccaniche la cui rimozione, per poter accedere alle componenti sopradette, può avvenire solo con la rottura di elementi di tali soluzioni in modo da lasciare segni evidenti degli eventuali attacchi;

rendere non praticabile qualsiasi attacco (non distruttivo) su GdM già installati;

dissuadere eventuali attacchi rendendone difficoltosa e prolungata l’attività su GdM non installati,

disporre di soluzioni tali che il GdM possa evidenziare, registrare (su supporti indelebili) e comunicare i tentativi di manomissione e DoS con particolare riferimento ai cablaggi tra componentistica e/o moduli;

autenticare le connessioni fisiche (mediante meccanismi di controllo dell’integrità) tra gli eventuali moduli che costituiscono il GdM;

garantire l’ispezionabilità dell’impianto e delle connessioni fisiche, nel rispetto delle pertinenti norme applicabili in ambito impiantistico;

garantire la separazione impiantistica delle connessioni relative al GdM rispetto a quelle relative ad altri impianti.

6.3

Gestione della valvola di intercettazione del flusso

La gestione della valvola utilizzata per l’intercettazione del flusso di gas, nei GdM per i quali la funzione è prevista, deve soddisfare i seguenti requisiti: -

la chiusura della valvola che determina l’interruzione del flusso del gas deve poter essere comandata da locale e da remoto solo mediante opportuni comandi autenticati e cifrati;

l’apertura della valvola, precedentemente chiusa, che determina il ripristino della condizione operativa nella quale si può avere erogazione del gas, può essere effettuato solo in locale e solo previo consenso alla riapertura inoltrato, da locale o da remoto, da un ente abilitato.

UNI/TS 11291-10

E0116923A

6.4

Gestione e protezione della Batteria dei GdM

6.4.1

“Punto critico” della batteria

Premesso che le UNI/TS 11291 stabiliscono che la segnalazione di “allarme batteria” debba avvenire al 10% di autonomia residua della stessa, si definisce il “punto critico” della batteria quel valore di autonomia residua al di sotto del quale il GdM non è più in grado di garantire in tutto o anche soltanto in parte le sue funzionalità, incluse quelle inerenti le protezioni funzionali e quelle per la misura. A tale scopo ogni costruttore deve individuare/definire per il proprio GdM il valore di detto “punto critico”. La quantificazione del punto critico deve essere tale da consentire, una volta raggiunto, che: a) la valvola utilizzata per la chiusura/apertura del flusso di gas, se presente nel GdM, blocchi il flusso; b) il GdMmantenga alcune o tutte delle sue funzionalità in relazione a quanto dichiarato dal costruttore e ai vincoli imposti dalla metrologia legale. La funzionalità diinterruzione del flusso al raggiungimento del punto critico della batteriadeve essere abilitabile/disabilitabile anche da remoto. 6.4.2

Batteria sostituibile

Nel caso il GdM sia dotato di batteria di alimentazionesostituibile6, il GdM deve prevedere l’apposizione di un sigillo sul coperchio di chiusura del vano batteria; per evitare manomissioni anche in sede di stoccaggiodel prodotto, tale sigillo deve essere apposto già in fabbrica e a valle di ogni sostituzione batteria. Il GdM deve essere in grado di registrare nel registro eventila sostituzione della batteria. Inoltre almeno i GdM di classe A1 e A2 devono essere predisposti con un totalizzatore (che non si azzera durante la vita attesa del dispositivo) che enumera i secondi di funzionamento dal momento della prima accensione. Al fine di dissuadere il furto delle batteria, la stessa non dovrebbe essere di tipoutilizzatonel mercato “electronic consumer”;in alternativa la batteria deve avere caratteristiche fisiche/geometriche esclusive. 6

Per “batteria sostituibile” si intende che la sostituzione della batteria, per effetto di normale usura o decadimento della sua capacità, non produce la rimozione dei sigilli metrici. © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

La sostituzione della batteria dovrebbeessere effettuata da personale autorizzato e previa autorizzazione del GdM stessoil quale , allo scopo, dovrebbe essere preventivamente predisposto per la sostituzione. A seguito e durantela sostituzione della batteria, la valvola nei GdM per i quali è prevista, deve rimanere nella posizione in cui si trovava prima della sostituzione. Se la sostituzione della batteria non è stata precedentemente autorizzata dal GdM oppure si protrae oltre un tempo (tsb) configurabile ( per esempiotsb = 2 min)la valvola, nei GdM per i quali è prevista, deve essere posta nello stato CHIUSO ed interrompere l’erogazione del gas. Questa funzione deve poter essere disattivabile/attivabile anche da remoto. L’apertura della valvola precedentemente chiusa per mancata autorizzazione alla sostituzione della batteria o per prolungata assenza di alimentazione deve poter essere effettuata da parte del personale autorizzato Quando almeno il modulo funzionale di misura del GdM è nello statoconseguente allarimozione non autorizzata della batteria o al guasto della stessa, esso deve garantiree mantenere attive in tale stato, per un tempo non inferiore a td (tempo di disalimentazione), la misura dei volumi (almeno alle condizioni termodinamiche di esercizio - Vm). Il valore td deve essere indicato dal costruttore e comunque non inferiore a 70 d nelle condizioni dichiarate. 6.4.3

Batteria integrata non sostituibile

Nel caso il GdM sia dotato di batteria di alimentazione non sostituibile,il GdM deve essere predisposto con un totalizzatore (che non si azzera durante la vita attesa del dispositivo) che enumera i secondi di funzionamento dal momento della prima accensione. Al fine di dissuadere il furto delle batteria, la stessa non dovrebbe essere di tipo utilizzatonel mercato “electronic consumer”; in alternativa la batteria deve avere caratteristiche fisiche/geometriche esclusive. 6.4.4

Batteria sostituibile dall’utente finale

Nel caso in cui è ammesso che la batteria sia sostituibile dall’utente finale, le sue caratteristiche fisiche possono anche essere pari a quelle commerciali, differentemente da quanto indicato al 6.4.2.

UNI/TS 11291-10

6.5

E0116923A

Presenza periodica di transazioni

Al fine di dissuadere attacchi di tipo DoS (esercitati a scopo di frode), i GdM che implementano la valvola per l’interruzione del servizio, a seguito della sua prima presa in carico dalla rete di comunicazione,

devono

enumerare

giorni

assenza

continua

comunicazione

col

Concentratore/SAC (IUT) . Qualora si verificasse che IUT > IUT_max (con IUT_max configurabile anche da remoto) il GdM provvede all’arresto dell’erogazione mediante chiusura della valvola. Tale funzione deve poter essere disattivabile anche da remoto.

6.6

Protezione del software installato nel GdM

Nel seguito si riporta delle misure attea consentire la rilevazione di eventuali manomissioni e/o modifiche e/o corruzioni volontarie del software installato nel GdM. Allo scopo di consentire l’accertamento della "genuinità" del software installato nel GdM di classe A2 o A1, detto software deve essere accompagnato da un “Certificato di genuinità”. Detto certificato,può essere costituito da un documento di tipo file ( per esempio in formato testo) contenente almeno: 

le generalità del costruttore;



i dati di versione del software di cui è certificata la genuinità;



eventuali note di rilascio;



la ”impronta digitale” del software da certificare, calcolata con un algoritmo accreditato (come per esempio MD5 o SHA-1 o SHA-2 o altri).

Tale file deve essere firmato utilizzando un certificato digitale di cui il costruttore è il titolare (che in tal modo non può ripudiare il software). Queste prescrizioni devono valere sia per la versione iniziale del software sia per i successivi aggiornamenti. E’ fortemente raccomandatoche detto certificato venga installato nel GdM (in opportuna parte dedicata di memoria non volatile del GdM), e aggiornato contestualmente al “download” del software a cui il certificato è associato. La verifica” del software installato col relativo “Certicato di genuinità”può essere effettuata fuori linea,utilizzando opportuna strumentazione.

UNI/TS 11291-10

E0116923A

7 Sicurezza fisica e funzionale dei Concentratori 7.1

Considerazioni generali

Il concentratore costituisce l’elemento del Sistema di Telegestione del gas in grado di gestirein maniera sicura i GdM ad esso sottesi, salvaguardando e proteggendo l’accesso ai dati in esso immagazzinati. Il concentratore svolge un proprio ruolo nella sicurezza del sistema, in quanto conserva copia dei dati e gestisce gli accessi agli elementi di rete sottesi e al SAC. Il concentratore deve proteggere i dati da accessi non autorizzati attraverso le diverse porte locali e remote, inoltre deve consentire l'accesso alle sole entità autorizzate. Il concentratore deve permettere connessioni solo attraverso porte e protocolli identificati: connessioni remote non sicure (per esempio:Telnet:23, HTTP:80) sono espressamente vietate. Nel caso più figure di operatore possano avere accesso al Concentratore, quest’ultimo deve gestire almeno tredifferenti profili di operatore (Amministratore, Operatore Remoto, Operatore locale) ciascuno con le rispettive credenziali e autorizzazioni. Il concentratore, per quanto riguarda lacomunicazione con il SAC, deve mettere a disposizione un canale sicuro secondo i profili di sicurezza prestabiliti, utilizzando strumenti generalmente disponibili sulle reti di comunicazione pubbliche. Il concentratore non è considerato un “trusted device” e come tale non può modificare autonomamente i parametri di sicurezza dei dispositivi sottesi. Il concentratore ogni volta che un nuovo Contatore viene arruolato nell’applicazione, riceve dal SAC tutti i parametri di sicurezza ad esso associati. Tali parametri devono inoltre essere memorizzati a bordo del concentratore in forma sicura. Il Concentratore deve essere realizzato in modo cheil livello di sicurezza garantito sia almeno di liv. 37.

I livelli sono definiti nella NIST FIPS PUB 140-2

UNI/TS 11291-10

7.2

E0116923A

Gestione e protezione dello stato di mancata alimentazione del concentratore

Il Concentratore è un apparato generalmente alimentato da sorgenti primarie quali la rete elettrica, pannello solare o altre sorgenti di alimentazione con elevata disponibilità ed è provvisto di un opportuna sorgente ausiliariadi alimentazione, secondo quanto prescritto nella UNI/TS 11291-7. Il collegamento alla sorgente primaria di alimentazione deve essere effettuato in modo tale da essere facilmente ispezionabile e non permettere l’interruzione accidentale dell’alimentazione; eventuali organi di sezionamento e sicurezza elettrica interposti tra il concentratore e la sorgente di alimentazione devono essere realizzati con lo stesso grado di protezione previsto per il concentratoree tali che si possa facilmente evidenziare la manomissione o l’intervento da parte di personale non autorizzato Nelle fasi di mancanza dell’alimentazione dalla sorgente primariaè necessario implementare accorgimenti tali per cui, il passaggio al funzionamento mediante sorgenti di riserva non deve avere impatto sulla sicurezza del concentratore. Durante il tempo in cui il Concentratore è alimentato solo dalla sorgente secondaria, devono essere mantenute attive per un tempo tdr(dichiarato dal costruttore), comunque non inferiore a 30 d, almeno la comunicazione verso il terminale locale etutte le funzioni antifrode con la conseguentecomunicazione verso il SAC, effettuata con le modalità e le tempistiche dichiarate dal costruttore. Trascorso il tempo tdr tutte le funzioni possono essere interrotte, ma in ogni caso non deve essere possibile accedere ai parametri di sicurezza (per esempio chiavi di cifratura) e ai dati sensibili memorizzati nel concentratore (per esempio i dati ricevuti cifrati dai GdM).

7.3

Adozione di un Sistema Operativo sicuro nel concentratore

Nel caso l’architettura del software del concentratore preveda l’adozione di un Sistema Operativo (sia custom che di acquisto), questo deve implementare primitive e funzionalità per la gestione della sicurezza ben documentate.

UNI/TS 11291-10

7.4

E0116923A

Download del Software Applicativo

Il download del software Applicativo deve essere possibile sia tramite porta locale o tramite interfaccia WAN. L’ aggiornamento del softwaredeve essere effettuata tramite l’utilizzo di oggetti e procedure definite nel protocollo PP3 (vedere UNI/TS 11291-8). Il nuovo software, al fine di garantirne la correttezza, l’autenticità e la genuinità deve essere firmato digitalmente tramite utilizzo di certificatiin ambito PKI.

7.5

Prima Installazione/Configurazione del Concentratore

La prima installazione, come per i GdM , deve essere effettuata in assoluta sicurezza adottando per esempio procedure simili a quanto descritto per i GdM ( apertura sessione locale, seguita da messaggio sicuro autoconsistente che instaura una chiave di sessione temporanea sulla base della quale avvengono gli scambi dati autenticati). I successivi accessi al concentratore a scopi manutentividevono seguire almeno le regole di sicurezza seguenti:

7.6



accesso dell’operatore identificato sulla base di credenziali di sicurezza;



messaggio iniziale di instaurazione chiave di sessione temporanea;



scambio dati almeno autenticati;



chiusura sessione con distruzione della chiave temporanea.

Archiviazione e gestione delle chiavi dei GdM presenti nel Concentratore

Le chiavi dei GdM sottesi al concentratore, sono trasferiti dal SAC al concentratore ogni volta che un GdM viene arruolato oppure ogni volta che per qualche motivo le chiavi vengono aggiornate.

UNI/TS 11291-10

E0116923A

Nel seguito si descrive un esempio di realizzazione di archiviazione e gestione delle chiavi che soddisfa il requisito di sicurezza imposto dal livello 38. Le chiavi sono memorizzate in un database cifrato con chiave simmetrica, fornita dal SAC al concentratore in maniera sicura e tale database risiede in un modulo di sicurezza dedicato e protetto. L’utilizzo della specifica chiave in uno scambio dati fra Concentratore e GdM dovrebbe avvenirecon la mediazione di tale modulo che ricevendo il blocco dati da autenticare e/o cifrare/decifrare

l’identificativo del GdM provvede a restituire il blocco dati cifrato/decifrato o il campo MAC senza che vi sia esposizione verso l’esterno delle chiavi. In caso venga rilevato un tentativo di accesso non autorizzato o di manomissione del database, dovrebbe almeno essere immediatamente cancellata (in maniera sicura) la chiave di cifratura del database.

7.7 Il

Sincronizzazione del Concentratore Concentratore

può

essere

sincronizzato

dal

SAC

oppureadottare

procedure

auto

sincronizzazionepurché ritenute sicure. Nel caso in cui non fosse possibile procedere alla sincronizzazione dell’orologio per un tempo TAS (tempo di assenza sincronizzazione ) configurabile da SAC , il Concentratore deve sospendere le attività di sincronizzazione dei dispositivi a lui affiliati.

8 Protezioni fisiche e funzionali dei Traslatori e Ripetitori 8.1

generalità

Nel contesto della rete di tele gestione definita nella UNI/TS 11291-1, i Traslatori sono apparti del sistema di tele gestione in grado di effettuare una traslazione di almeno uno dei primi tre livelli ISO-OSI (fisico; data link; trasporto) del protocollo di comunicazione tra GdM e Concentratore o SAC. Nel contesto della rete di tele gestione definita nella UNI/TS 11291-1, i Ripetitori sono elementi ausiliari della rete in grado di estendere la copertura radio dicomunicazione PM1; essi operano solo suilivelli di

I livelli sono definiti nella NIST FIPS PUB 140-2

UNI/TS 11291-10

E0116923A

protocollo “data link” e “network”, elaborano informazioni necessarie alla comunicazione ma non gestiscono dati GdMa livello applicativo. Nel contesto dei punti seguenti i GdM o i Ripetitori associati e gestiti da un Traslatore o dal Ripetitore sono indicati come i dispositivi “affiliati”. Il compito dei Ripetitori e dei Traslatori è ritrasmettere i messaggi correttamente ricevuti dai loro affiliati senza entrare nei merito del contesto dei dati contenuti nel messaggio e destinati al livello applicativo del SAC o del Concentratore;”Ripetitori e Traslatori non necessitano quindi di gestire le chiavi di cifratura dei loro affiliati. Con riferimentoagli aspetti critici degli scenari operativi trattati al punto4 e in conformità a

quanto

indicato al punto5.2,ai Traslatorie Ripetitori utilizzati nella rete di tele gestione, realizzata secondo i requisiti delle pertinenti parti delleUNI/TS 11291, può essere applicato il livello di sicurezza 1. Per quanto attiene la gestione delle funzionalità proprie dei traslatori e ripetitori, nonché per la loro configurazione, sia da remoto che da interfaccia locale, è richiesta l’autenticazione.

8.2

Protezione dell’Hardware

Con riferimento al livello di sicurezza minimo che deve essere garantito dal Traslatore/Ripetitore è necessario che il Traslatore/Ripetitore renda evidentei tentativi di intrusione o manomissione rivolti: 

alle schede elettroniche e rispettiva componentistica tra cui sicuramente l’unità di elaborazione, memorie, porte logiche/analogiche, scheda radio,batteria;



ai moduli di cui il Traslatore/Ripetitore può essere costituito;



agli eventuali cablaggi presenti sia tra la componentistica sia tra gli eventuali moduli di cui sopra;

Pertanto l’hardware del Traslatore/Ripetitoredeve essere realizzata in modo da: -

prevedere in ogni caso la chiusura delle componenti sopradettecon coperchi/calotte/contenitori idonei la cui rimozione, per poter accedere alle componenti sopradette, può avvenire solo con la rottura di detti coperchi/calotte/contenitori oppure previa l’asportazione di sigilli meccanici in modo da lasciare segni evidenti degli eventuali attacchi;

UNI/TS 11291-10

E0116923A

in alternativa al punto di cui sopra disporre di soluzioni tali che il Traslatore possa evidenziare,

registrare (su supporti indelebili) e comunicare i tentativi di manomissione e DoS con particolare riferimento all’alimentazione e ai cablaggi tra componentistica e/o moduli; autenticare le connessioni fisiche (mediante meccanismi di controllo dell’integrità) tra gli eventuali

moduli che costituiscono il Traslatore/Ripetitore; -

garantire l’ispezionabilità dell’impianto e delle connessioni fisiche;

garantire la separazione impiantistica (delle connessioni fisiche relative al Traslatore/Ripetitore rispetto a quelle relative ad altri impianti).

8.3 8.3.1

Gestione e protezione della sorgente di alimentazione Punto critico della batteria

Per i Traslatori/Ripetitori alimentati solamente a batteria, si definisce “punto critico” della batteria quel valore di autonomia residua al di sotto del quale il Traslatore non è più in grado di garantire in tutto o anche soltanto in parte le sue funzionalità, incluse quelle inerenti le protezioni funzionali. A tale scopo ogni costruttore deve individuare/definire per il proprio Traslatore/Ripetitore il valore di detto “punto critico”. Quando la batteria raggiunge il suo “punto critico”il Traslatore deve interrompere tutte o alcune delle sue funzionalità in relazione a quanto dichiarato dal costruttore ed inogni caso la funzione di sincronizzazione degli orologi degli “affiliati”. Quando la batteria raggiunge il suo “punto critico”il Ripetitore deve interrompere tutte o alcune delle sue funzionalità in relazione a quanto dichiarato dal costruttore. 8.3.2

Caso di alimentazione con batteria sostituibile

Nel caso in cui il Traslatore/Ripetitore sia dotato di batteria di alimentazione sostituibile, essodeve prevedere l’apposizione di un “sigillo” sul coperchio di chiusura del vano batteria; per evidenziare tentativi di manomissioni anche in sede di immagazzinamentodel prodotto, tale sigillo deve essere apposto già in fabbrica e a valle di ogni sostituzione batteria. Al fine di dissuadere il furto dellabatteria, la stessa non deveessere di tipo utilizzate nel mercato “electronic consumer”; in alternativa la batteria deve avere caratteristiche fisiche/geometriche esclusive.

UNI/TS 11291-10

E0116923A

La sostituzione della batteria deve avvenire previa autorizzazione del Traslatore/Ripetitore altrimenti deve essere generato un evento. 8.3.3

Caso di alimentazione da altra sorgente

Nel caso in cui il Traslatore/Ripetitoresiaalimentato da rete elettrica o da pannello solare o da altra sorgente esterna al Traslatore stesso,è necessario che la connessione alla rete elettrica o al pannello solare o alla sorgente esterna venga realizzata senza soluzione di continuità garantendo inoltreche nessun dispositivo utile all’interruzione della alimentazione sia accessibile senza provocare la rottura permanente di appositi sigilli fisici che possono essere ripristinati solo da personale autorizzato. 8.3.4

Gestione dello stato di “disalimentazione”

Quando il Traslatore/Ripetitore è nello stato di disalimentazione conseguente allarimozione della sorgente primaria di alimentazione (batteria, rete elettrica, pannello solare, ecc.)esso deve garantiree mantenere attive in tale stato, per un tempo non inferiore a td, almeno le funzionalità quali i contatori di tempo, il registro degli eventi, quelle eventuali e relative alla rilevazione delle manomissioni. Il tempo tddeve essere dichiarato dal costruttore e comunque non inferiore al valore indicato nellaUNI/TS 112917.

8.4

Protezione del software

Quanto nel seguito riportato ha lo scopo di indicare misure attea consentire la rilevazione di eventuali manomissioni e/o modifiche e/o corruzioni volontarie del software installato nel Traslatore/Ripetitore. Allo scopo di consentire l’accertamento della "genuinità" del software installato nel Traslatore/Ripetitore detto software deve essere accompagnato da un “Certificato di genuinità”. Detto certificato, può essere costituito da un documento di tipo file (per esempioin formato testo) contenente almeno: 

le generalità del costruttore;



i dati di versione del software di cui è certificata la genuinità;



eventuali note di rilascio;



la ”impronta digitale” del software da certificare, calcolata con un algoritmo accreditato (come per esempio MD5 o SHA-1 o SHA-2 o altri).

Detto file deve essere firmato utilizzando un certificato digitale di cui il costruttore è il titolare (che in tal modo non può ripudiare il software). Queste prescrizioni devono valere sia per la versione iniziale del software sia per i successivi aggiornamenti. © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

E’ fortemente raccomandatoche detto certificato sia installato nel Traslatore/Ripetitore (in opportuna parte dedicata di memoria non volatile), e aggiornato contestualmente al “download” del software a cui il certificato è associato. La verifica della “genuinità” del software installato può essere effettuata da chiunque, autorizzato, necessiti di tale verifica.

Raccomandazioni di Sicurezza per il SAC

Il SAC non fa parte della rete di distribuzione, tuttavia essendo in comunicazione con componenti di tale retedotati di chiavi la cui segretezza è fondamentale per la sicurezza e ricevendo da tali componenti informazioni la cui riservatezza deve essere protetta, anche il SAC deve soddisfare requisiti di sicurezza senza i quali costituirebbe esso stesso l’anello debole della catena della sicurezza, rischiando così di diventare la “back door” per l’intero sistema. Diversamente dagli altri apparati del sistema, il SAC non può essere visto come un singolo apparato dal confine fisico ben definito, né come un insieme di apparati con tale caratteristica. Al contrario il SAC deve essere visto come un componente logico che può essere distribuito su nodi fisici su cui risiedono anche altri componenti che non fanno parte del SAC stesso. I requisiti generali di sicurezza del SAC sono definiti nelleUNI CEI ISO/IEC 27001 e ISO/IEC 27002e devono essere rispondenti ai requisiti della legislazione in vigore9. .I requisiti generali di sicurezza a cui devono rispondere nel loro complesso tutti gli eventuali componenti del SAC sono in sintesi10: 

Controllo di accesso; il Gestore del servizio deve limitare l’accesso al SAC ad utenti autorizzati, a processi automatici, funzioni o transazioni agenti in nome e ruolo di utenti autorizzati, a dispositivi o altri sistemi informativi accreditati.



Identificazione e Autenticazione; il Gestore del servizio deve identificare e autenticare gli utenti del SAC, i processi automatici, funzioni o transazioni agenti nei confronti del SAC in nome e ruolo di utenti autorizzati, i dispositivi e gli altri sistemi informativi che interagiscono con il SAC.



Protezione fisica e ambientale; il Gestore del servizio deve:

Alla data di pubblicazione della presente specifica tecnica è in vigore il Decreto legislativo 30 giugno 2003, n. 196”codice in materia di protezione dei dati personali” 10 Vedere NIST FIPS-200 © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

(i) limitare l’accesso fisico ai sistemi e agli ambienti operativi su cui il SAC è installato a individui autorizzati; (ii) proteggere gli impianti e le infrastrutture su cui il SAC fonda le proprie funzionalità; (iii) procurare la disponibilità delle risorse che mantengano la continuità del servizio del SAC; (iv) proteggere il SAC dai rischi ambientali; (v) procurare adeguati controlli ambientali nelle strutture che ospitano i server su cui sono installate le componenti del SAC. Protezione dei Sistemi e delle Comunicazioni; il Gestore del servizio deve: (i) controllare, gestire e proteggere le comunicazioni al perimetro del SAC; (ii) adottare, progettare, sviluppare sistemi e metodologie che garantiscano l’efficienza delle comunicazioni, in particolare tra il SAC e i dispositivi di campo. Integrità dei Sistemi e delle Informazioni; il Gestore del servizio deve: (i) identificare, segnalare e correggere difetti del sistema e delle informazioni gestite in modo tempestivo; (ii) fornire adeguata protezione da codice dannoso (“malware”) nei punti appropriati all'interno dei sistemi informativi che ospitano il SAC. La principale preoccupazione concernente la sicurezza nel SAC riguarda la gestione delle chiavi degli apparati di campo. A questo proposito si specifica che la responsabilità del SAC può essere ristretta alla gestione in “run time” delle chiavi e non necessariamente estesa alla loro memorizzazione sicura a tempo indefinito. Il Gestore del servizio è tenuto alla memorizzazione sicura a tempo indefinito delle chiavi, ma questa funzionalità non è necessariamente interna al SAC, se il Gestore del servizio dispone di un adeguato sistema affidabile di deposito dei segreti di autenticazione, eventualmente condiviso nell’uso anche da altri sistemi. Nel caso in cui un deposito sicuro per i segreti esterno al SAC non sia disponibile, la memorizzazione sicura dei segreti degli apparati di campo diventa una responsabilità del SAC. In tal caso deve essere garantito almenoil livello 311(per esempio il SAC potrebbememorizzare in forma cifrata isegreti e la

I livelli sono definiti nella NIST FIPS PUB 140-2

UNI/TS 11291-10

E0116923A

chiave di cifratura con cui si è eseguita tale cifratura non deve risiedere nello stesso componente o data base che memorizza i segreti cifrati). Un’altra importante responsabilità funzionale del SAC è quella di garantire un controllo accurato e affidabile della sincronizzazione degli apparati con cui il SAC è in comunicazione diretta (concentratori, traslatori, GdM in comunicazione punto-punto). Perché questo requisito sia garantito con un sufficiente livello di sicurezza è necessario che il Gestore del Servizio individuifonti affidabili di servizi di sincronismo (per esempio server NTP) e procurial SAC la connessione ad almeno due di tali fonti. Sulla scorta di tale ridondanza, il SAC deve verificare che i valori del tempo corrente provenienti da tutte le fonti siano equivalenti e adotti tale valore per sincronizzare il proprio clock locale; in caso di discordanza tra le fonti di sincronismo o di mancata connessione con una delle fonti, il SAC deve generare una notifica diretta al Gestore del Servizio e sospendere la attività di sincronizzazione degli apparati ad esso arruolati.

Protezioni nel Protocollo Applicativo

10.1

Generalità

Perle trame e procedure del protocollo applicativo è assunto come riferimento il modello architetturale ISO-OSI strutturato su sette livelli. Inquesto modello le trame del protocollo applicativo (dette “messaggi applicativi”) vengono identificate con l’acronimo A-PDU (Application Protocol Data Unit). Nel seguito, tale acronimo è utilizzato per distinguere in modo inequivocabile questogenere di trame. Ciascuna A-PDU è scambiata “incapsulata” nei protocolli che sono utilizzati nelle varie tratte di comunicazione e definiti nellaUNI/TS11291-8. Nel seguito, si indica con “Esercente”l’entità che integra in sé le componenti SAC ed eventualmente, ma non necessariamente concentratori o traslatori, utilizzati per la comunicazione con i GdM, fatta eccezione per gli eventuali casi in cui la distinzione di dette componentiè esplicitata.

UNI/TS 11291-10

10.2

E0116923A

Modello organizzativo gestionale

Nel sistema di tele gestione conforme ai requisiti della deliberazione ARG/gas 155/08 dell’AEEG, si giunge alla individuazione e definizione di un modello organizzativo/gestionale in cui possono operare i seguenti "attori", ciascuno dotato di propri e distinti ruoli e funzioni: 

Esercente, cioè colui che esercisce il parco dei GdM e degli altri componenti del sistema. Il ruolo può essere assunto in toto o in parte direttamente dal distributore che ha ottenuto i GdM in concessione oppure in toto o in parte da soggetto che offre/fornisce l’attività di esercizio al distributore. In questo secondo caso il distributore deve rilasciare all’Esercente tutte le informazioni necessarie per esercire il parco di GdM e/o degli altri componenti del sistema in concessione.



Autorità di Garanzia: istituzione di garanzia che deve fornire, su richiesta dell’Esercente subentrato, il "servizio" di assistenza per la riconfigurazione delle chiavi crittografiche di “esercizio” dei GdM, nelle fasi di loro passaggio di concessione; o in alternativa, per i casi in cui l’Esercente ha smarrito dette chiavi durante le fasi di normale esercizio. Il tutto allo scopo di riservarne segretezza e conoscenza esclusivamente all’Esercente che esercisce il parco dei GdM.L’Autorità di Garanzia è l’unica detentrice delle chiavi di servizio. Il ruolo di Autorità di Garanziapuò essere assunto dall’Esercenteo dal Costruttore degli apparati o da un Ente terzo legalmente riconosciuto, nel caso in cui questa figura di garante non venisse istituita. E’ in ogni caso raccomandatoche l’Esercente entrante modifichi nel modo più rapido possibile le chiavi di cifratura ed autenticazione degli apparati ricevuti nel cambio di concessione per mitigare eventuali rischi di attacco del tipo furto (intercettazione) e/o modifica indebita delle chiavi.



Utente: l'utilizzatore/consumatore finale del servizio di distribuzione del gas, con associato il rispettivo GdM per la misura dei consumi.



Installatore/Manutentore: addetto alle attività di installazione e/o manutenzione dei GdM.

10.3

Categorie di A-PDU

Gli “attori” sopra descritti portano conseguentemente alla definizione delle seguenti quattro categorie di A-PDU “end-to-end”, ciascuna, di regola, associata alla funzione svolta da ciascun “attore”.

UNI/TS 11291-10



E0116923A

A-PDU di “servizio”, utilizzate dall’Autorità di Garanziao da chi ne fa le veci per la riconfigurazione delle chiavi in occasione del passaggio di concessione;



A-PDU di “esercizio”, utilizzate solo dall’Esercente nella conduzione normale del sistema di telegestione;



A-PDU di “utenza”, utilizzate, quando previsto, per lo scambio di informazioni con l’Utente (per esempio per applicazioni “home display”);



A-PDU di “installazione/manutenzione”, utilizzate dal manutentore/installatore e dall’Esercente per la manutenzione del sistema di telegestione.

Con A-PDU “end-to-end” si intendono: 

A-PDU la cui struttura e contenuto restano immutati (in virtù del processo di ”incapsulamento” già esposto) nello scambio delle stesse tra un interlocutore interessato e l’altro, posizionati ad un capo estremo e l’atro dello scambio;



A-PDU autenticate e (eventualmente) cifrate, in fase di invio, con chiavi condivise e note solo agli interlocutori interessati dallo scambio di dette A-PDU, in modo tale che soltanto gli stessi interlocutori, in fase di ricezione, potranno essere in grado di verificarne l’autenticità e (se cifrate) leggerne il contenuto (vedere dettagli nei punti successivi);



A-PDU contenenti le informazioni per l’identificazione del mittente e quelle per la corretta lettura/interpretazione dell’A-PDU da parte del destinatario.

Per le procedure di scambio applicativi delle A-PDU è adottato lo schema di comunicazione “InitiatorResponder”. Lo ”Initiator” ha il controllo delle procedure di scambio, dato che è lui ad iniziare, con una APDU di richiesta, la transazione su istanza propria; il “Responder” invia la conseguente A-PDU di risposta, all’istanza ricevuta dall’”Initiator”. In questo schema di comunicazione “Initiator-Responder” si utilizza nel seguito anche la distinzione tra: 

A-PDU “in linea”, quelle che ”Initiator” e “Responder” si scambiano in modo diretto come a titolo esemplificativo: ‐

tra Esercente (Initiator) e GdM (Responder);

‐

tra terminale portatile (Initiator) e GdM (Responder); © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10



E0116923A

‐

tra GdM (Initiator) ed Esercente (Responder);

‐

tra GdM (Initiator) e Apparato dell’Utente (Responder).

A-PDU “fuori linea”, quelle che ”Initiator” e “Responder” si scambiano non direttamente, come per esempio quelle che Esercente (Initiator) e GdM (Responder) si scambiano attraverso il terminale portatile (che funge da ripetitore “fuori linea”) o eventuali altri dispositivi di ripetizione. Dette A-PDU, in virtù del processo di ”incapsulamento”, transitano nelle varie eventuali tratte intermedie di comunicazione nel rispetto della logica “end-to-end”.

Per quanto riguarda invece l’Autorità di Garanzia, lo schemaadottato dovrebbe tenere in considerazione che la stessa potrebbe non disporre di un proprio sistema di comunicazione (SAC e rispettivi concentratori) ma semplicemente di un interfaccia (per esempio web), messa a disposizione dall’Esercente per consentire a detta autorità di offrirgli i sevizi di assistenza richiesti dall’Esercente stesso. In tale contesto resterebbe compito dell’Esercente individuare i corretti instradamenti per consentire lo scambio delle A-PDU con i GdM interessati. L’utilizzo delle A-PDU può essere così delineato: 

per le A-PDU di “servizio”, tenuto conto che l’Autorità di Garanzia non deve essere obbligata a conoscere gli instradamenti applicati dall’Esercente, utilizzerà A-PDU di “servizio” per scambi “fuori linea” come scelta più conservativa;



per le A-PDU di “esercizio” deve esserne previsto l’utilizzo sia per scambi “in linea” sia “fuori linea”;



per le A-PDU di “utenza” deve esserne previsto un utilizzo solo per scambi “in linea”;



per le A-PDU di “installazione/manutenzione” deve esserne previsto un utilizzo solo per scambi “in linea”;

E’ opportuno evidenziare che le A-PDU di “servizio” e quelle di “esercizio” di tipo “fuori linea” consentono di evitare il trasporto, a bordo dei terminali portatili, delle chiavi crittografiche di “servizio” o “esercizio” dei GdM, evitando in tal modo rischi di compromissione delle chiavi stesse.

UNI/TS 11291-10

10.4

E0116923A

Protezione e struttura delle A-PDU

La protezione delle A-PDU deve esser ottenuta mediante la “cifratura”, “autenticazione”e metodi di “non copiabilità” delle stesse. Oltre a ciò deve essere aggiunto e precisato che: 

deve essere impiegato un modello di cifratura e autenticazione, che offra prestazioni di protezione non inferiori rispettoquello che si otterrebbe utilizzando “chiavi simmetriche condivise” di almeno 128 bit12;



la cifratura deve essere obbligatoriamente applicata nei casi in cui le informazioni trasportate saranno tra quelle classificate come “sensibili/riservate” da norme nazionali/internazionali e nei casi di scambi di A-PDU di “servizio”; può essere applicata anche su eventuali altre informazioni che l’Esercente ritenga, a suo giudizio, opportuno proteggere;



le A-PDU, anche se non cifrate, devono essere sempre e comunque autenticate e non copiabili

Per quanto riguarda la struttura delle A-PDU, questa deve avere caratteristiche tali da ridurre al minimo le ridondanze delle A-PDU stesse per ottimizzarne l’efficienza. La struttura generale dell’A-PDU dovrebbe prevedere i campi indicati nel prospetto 2(non necessariamente nell’ordine illustrato).

Prospetto 2: campi dell’A-PDU

Intestazione 

Corpo

Codice Autenticazione

“Intestazione” della A-PDU, trasmessa sempre in chiaro; le informazioni in essa contenute devono servire per una corretta interpretazione dell’intera A-PDU



“Corpo” della A-PDU, contenente le informazioni utili da trasmettere, cifrate se ritenute riservate o in chiaro ove la riservatezza non fosse necessaria.



“Codice di Autenticazione” (CA) della A-PDU, di dimensione non inferiore a 64 bitper le A_PDU utilizzate nelle comunicazioni PM1 e 32 bit per le A-PDU utilizzate nelle comunicazioni punto-punto, trasmettibile anche in chiaro e calcolato, con l’algoritmo di autenticazione prescelto, sulle

Tale specifiche sono contenute nelle pubblicazioni NIST © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

informazioni contenute nell’“intestazione”13 e il “corpo” in chiaro o già cifrato della A-PDU. In tale calcolo è possibile includere anche informazioni non espresse nella”intestazione” ne nel “corpo” della A-PDU ma implicitamente note e condivise da “Initiator” e “Responder” (come per esempiolo ID del GdM).

10.5

Algoritmi di cifratura e autenticazione e metodi per la non copiabilità delle A-PDU

La “cifratura” e l’“autenticazione” delle A-PDU devono essere realizzate utilizzando algoritmi accreditati e consolidati che utilizzino chiavi simmetriche di almeno 128 bit, come per esempio i seguenti: 

AES128-CMAC per l’autenticazione14;



AES128-CTR per la cifratura15;



AES 128 –CBC per la cifratura16;



AES128-GCM per la cifratura e/o l’autenticazione17;



AES128-GMAC per l’autenticazione18.

L’algoritmo AES-ECB (Electronic Code Book)19, non può essere utilizzato perché non ritenuto sufficientemente sicuro per garantire la confidenzialità dei dati. Il protocollo deve prevedere anche meccanismi per la “non copiabilità” della A-PDU. Devono essere considerate valide soltanto le A-PDU ricevute (dal”Initiator” o dal “Responder”) con codice di autenticazione (CA) congruente e rispondenti alle regole stabilite nel protocollo relativamente alla loro “non copiabilità”.

Possono fare eccezione le informazioni eventualmente contenute nelle A-PDU ma inerenti il funzionamento del layer di trasporto 14 Vedere NIST – SP 800-38B 15 Vedere NIST – SP 800-38A 16 Vedere NIST – SP 800-38A 17 Vedere NIST – SP 800-38D 18 Vedere NIST – SP 800-38D 19 Vedere NIST – SP 800-38A © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

10.6

E0116923A

Chiavi di cifratura ed autenticazione

Devono essere previste i seguenti tipi di chiavi simmetriche (ciascuna di almeno 128 bit) di cifratura/autenticazione per ciascun GdM, ognuna associata alla categoria del messaggio applicativo da proteggere: 

chiave di “servizio”;



chiave di “esercizio”;



chiave di “utenza”;



chiave di “installazione/manutenzione”.

Per le chiavi di ciascuna di queste tipologie, devono valere le prescrizioni indicate neipunti seguenti.

10.6.1

Caratteristiche generali e gestione delle chiavi

La chiave di cifratura e di autenticazione dello stesso A-PDU possono essere identiche20. Le chiavi di cifratura/autenticazione non devono in nessun caso essere trasmesse in chiaro. Il valore da assegnare a ciascuna chiave deve essere generato in modo casuale, impredicibile e complesso21. Non sono ammesse chiavi con tutti i bit a uno. Le chiavi con valore nullo (tutti i bit a zero) sono per definizione “disattivate”, nel senso che il “Responder” deve ignorare la messaggistica ad esse associate. Le chiavi di cifratura devono essere memorizzate negli apparati su supporto non volatile, devono essere modificabili (sovrascrivibili), ma non leggibili dall’esterno. Tutte le modifiche delle chiavi devono essere registrate nel registro eventi.

In deroga a quanto previsto da NIST SP800-57 Vedere ANSI X9.31 Appendice A.2.4 © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10



E0116923A

Ogni rilevazione di A-PDU ricevuta con numerazione congruente e CA incongruente (evento associabile principalmente ad eventuali tentativi di attacco con chiavi non corrette), deve essere registrata (registro degli eventi) o almeno enumerata in un registro non azzerabile.

10.6.2 

Configurazione iniziale delle chiavi

La chiave di “servizio”, quando utilizzata, è inizialmente configurata in fabbrica e rilasciata (assieme all’ID dell’apparato) alla Autorità di Garanziacon modalità sicura.



La chiave di “esercizio” è inizialmente configurata in fabbrica e rilasciata (assieme all’ID dell’apparato) solo al distributore che ha acquistato l’apparato; nel caso che il ruolo di Esercente venga svolto da altro soggetto, è il distributore stesso a rilasciare a questo soggetto le stesse informazioni con modalità sicura.



La chiave di “utenza” può essere inizialmente configurata in fabbrica oppure dall’Esercente in fase di esercizio. In entrambi i casi è sempre l’Esercente o ente da lui autorizzato, a rilasciarla all’Utente con modalità sicura;



Chiave di “installazione/manutenzione”, per la fase diprima installazione del GdM, qualora dotato di porta di comunicazione locale,può essere configurata in fabbrica ad un valore di default (anche unico per tutti gli apparati della stessa categoria) assegnando ad essa una durata sufficiente a garantire l’installazione. Per la prima installazione di GdM non dotati di porta di comunicazione locale, la chiave di installazione/manutenzione può essere generata in modalità pseudocasuale (non sono

ammessi

valori

con

tutti

bit

“1”

oppure”0”)

automaticamente

dal

GdM

comunicataall’installatore, senza essere trasmessa via radio (per esempio il GdM può visualizzare sul displayun “seme” di 8 cifre che il GdM ed il terminale di manutenzione utilizzeranno per il calcolo della chiave secondo una procedura condivisa). Perla fase di manutenzione del GdM (a valle di quella di installazione) la chiave di installazione/manutenzione è configurata/attivatamediante opportuni messaggi di “esercizio”. Alla chiave di installazione/manutenzione, soprattutto per la fase di prima installazione, devono essere assegnati privilegi limitati e tali da non compromettere la sicurezza dell’apparato;

UNI/TS 11291-10



E0116923A

Il trasferimento delle chiavi di esercizio e di servizio dal Costruttore all’Esercente dovrebbe avvenire trasferendoil valore della nuova chiave con metodi di “Key Transport”22 (per esempio dopo aver subito un processo di “key incapsulation” che utilizza come chiave di incapsulamento la chiave pubblica di un certificatodell’Esercente).

10.6.3 

Proprietà delle chiavi

La chiave di “servizio” ha vita illimitata; può riconfigurare solo se stessa e quella di “esercizio”; può essere riconfigurata solo con opportuni messaggi di “servizio” e soltanto con una nuova chiave di valore non-nullo; deve essere possibile mediante opportuni messaggi di servizio sempre ripristinare il valore della chiave configurata originalmente in fabbrica; non può essere “disattivata” (quindi è sempre attiva ossia diversa da zero) ;



La chiave di “esercizio” ha vita illimitata; può riconfigurare se stessa, quella di “utenza” e quella di “installazione/manutenzione”; può essere disattivata e può essere riconfigurata con opportuni messaggi di “servizio” o “esercizio”; consente lo svolgimento di tutte le attività di esercizio previste.



La chiave di “utenza” ha vita illimitata; può essere disattivata; può riconfigurare solo se stessa; può essere riconfigurata con opportuni messaggi di “esercizio” o “utenza”; consente soltanto la gestione dei messaggi destinati all’utente;



La chiave di “installazione/manutenzione”ha vita limitata; non può riconfigurare se stessa ma può essere riconfigurata con opportuni messaggi di “esercizio”;le attività che con essa si possono svolgere e il tempo di vita in fase di installazione sono definiti;si disattivano autonomamente alla scadenza del loro tempo di vita o artificialmente con opportuni messaggi di “servizio” e/o “installazione/manutenzione”. Alla chiave di “installazione/manutenzione” devono essere associati “privilegi” che identificano quali attività (funzioni) sono consentite.

In conformità a quanto previsto da NIST SP800-57 © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

10.6.4

E0116923A

Custodia delle chiavi

La chiave di “servizio” deve rimanere custoditasolonel sistema centrale dell’Autorità di Garanzia. La chiave di “esercizio” deve rimanere custoditanel sistema centrale dell’Esercente e al più anche nel concentratore (no traslatore) se quest’ultimo possiede adeguati requisiti di sicurezza da poter essere considerato un’“appendice” del sistema centrale. Per la chiave di “utenza”, è responsabilità dell’Utente la sua custodia, dopo il suo rilascio da parte dell’Esercente. Relativamente alla chiave di “installazione/manutenzione”, per la fase di manutenzione, è responsabilità del manutentore la sua custodia, dopo il suo rilascio da parte dell’Esercente. 10.6.5

Specificità dei GdM di classe A1, A, B e C

Per iGdM di classe B e C (vedereUNI/TS11291-1) e per i GdM di classe A1, A che comunicano col SAC in modalità punto-punto, tenuto conto delle caratteristiche del mezzo trasmissivo e di quanto richiesto dalle UNI/TS 11291-4 e UNI/TS 11291-5, devono essere considerate le prescrizioni addizionali richiamate nel presente capitolo.

10.6.5.1

Profili e credenziali di accesso

GdM con classi di misuratori > G10 che comunicano col SAC in modalità punto-punto, sono genericamente suddivisi in apparati semplici (classe A1 e A) con 1 profilo d’accesso, e in apparati evoluti (Classe B e C) che possono gestire fino a cinqueprofili di accesso23. Per ogni profilo di accesso deve essere prevista una distinta chiave di cifratura di esercizio e la possibilità di gestire differenti operatori a ciascuno dei quali deve poter essere associata unadifferente credenziale di accesso. La credenziale di accesso è utilizzata per l’identificazione dell’operatore, nelle comunicazioni col GdM.

Per la definizione di “profilo di accesso” vedere la UNI/TS 11291-1 © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

Uno dei profili suindicati èAmministratore del Servizio (AS - amministratore del servizio) , ed ogni altro profilo deve avere un proprio amministratore (AP – amministratore del profilo) che gode di privilegi superiori rispetto a quelli degli altri operatori dello stesso profilo. Aciascun operatore AS sono riservati i seguenti privilegi (non modificabili): 

lettura e scrittura di tutte le variabili;



abilitazione dei privilegi di lettura e scrittura di ciascuna variabile o funzione per gli altri profili;



possibilità di modificare le chiavi di cifratura di tutti i profili (inclusa quella del profilo AS stesso);



possibilità di modificare solo le credenziale di accesso degli amministratori dei rimanenti profili(inclusa la propria).

A ciascun operatore AP sono riservati i seguenti privilegi (non modificabili): 

possibilità di modificare la chiave di cifratura del proprio profilo (se la funzione è stata preventivamente autorizzata da uno degli operatori AS).



possibilità di annullare/modificare la credenziale di accesso degli operatori del proprio profilo (inclusa la propria).

10.6.5.2

Requisiti per la Gestione delle Credenziale di accesso e Chiavi di Cifratura

Oltre i requisiti di sicurezza espressi nei capitoli precedenti, i GdM di classe B e C e quelli di classe A che comunicano in modalità punto punto, devono rispettare le seguenti prescrizioni : -

le credenziali di accesso di identificazione non devono mai essere trasmesse in chiaro;

ad ogni profilo è associata una Chiave di Esercizio (Kc) . La chiave di esercizio di ogni profilo, diverso da AS, può essere modificata dall’amministratore di quelprofilo, se abilitato il privilegio di scrittura di quella chiave dall’AS, e da un amministratore del servizio (AS);

il profilo AS ha tutti i privilegi di scrittura e lettura e non possono essere inibiti; ciascun operatore del profilo AS ha facoltà di assegnare dinamicamente agli altri profili i privilegi di scrittura/lettura di ciascuna variabile e di esecuzione di ciascuna funzione;

La chiave temporanea di installazione/manutenzione è associata al solo profilo AS.Pertanto l’attivazione della chiave di installazione/manutenzione deve essere effettuata con un comando appropriato cifrato con la chiave di esercizio del profilo AS,

UNI/TS 11291-10

E0116923A

Il GdM, quando la chiave di installazione/manutenzioneè attiva, deve rifiutare ogni comando cifrato con la chiave di installazione/manutenzione che comporta la modifica di chiavi e/ocredenziale di accesso, ogni comando che permette la disattivazione di sigilli logici ei comandi finalizzati all’aggiornamento del software;

Tutte le comunicazioni col SAC devono sempre essere autenticate; possono fare eccezionequelle relativi a messaggi di servizio (quali le conferme e i dinieghi all’esecuzione di comandi o la richiesta di identificazione);

Le modifiche delle chiavi, di qualsiasi profilo, devono essere registrate in un apposito registro non cancellabile se non localmente e previa l’asportazione di un apposito sigillo.

Ogni tentativo di comunicare col GdM con chiave di cifratura errata deve essere registrato nel registro eventi o enumerato in un registro non azzerabile;

Ogni tentativo di accesso al GdM di operatore non identificato (con credenziale di accesso errata) deve essere registratonel registro eventi o enumerato in un registro non azzerabile.

Nella fase di prima installazione il GdM rende attiva la chiave di installazione/manutenzionedi default configurata in fabbrica per il profilo AS: l’installatore utilizza la chiave di installazione/manutenzione per la sicurezza dei messaggi utili per la prima configurazione dell’apparato. Alla conclusione della fase di installazione la chiave di installazione/manutenzione deve poter essere resa inattiva. Uno qualsiasi deglioperatori di profilo AS può modificare, utilizzando la chiave di esercizio del profilo,la chiave di esercizio del proprio profilo e quella dei rimanenti profili quando gestiti. Uno qualsiasi deglioperatori di profilo AS puòmodificare/attivare, utilizzando la chiave di esercizio, lachiave di installazione/manutenzione. Almeno la chiave di esercizio del profilo AS dovrebbe essere modificata periodicamente. Per i GdM che gestiscono più di un profilo (per esempio i GdM di classe B e C) uno dei quattro profili disponibili può essere riservato al “servizio di manutenzione” ai cui operatori l’AS assegna i privilegi necessari per una completa e corretta manutenzione del GdM: ciascun manutentore si autentica col GdM sempre con quel profilo utilizzandone la relativa chiave di esercizio. Per

GdM

che

gestiscono

solo

profilo

(quello

amministratore),

chiave

installazione/manutenzione permette di effettuare la manutenzione degli apparati da personale addetto a cui non potrebbe essere concessa la conoscenza della chiave di esercizio. A tale scopo l’attivazione © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

della chiave di installazione/manutenzionedeveessere effettuata mediante comando cifrato con la chiave di esercizio e deve poter avvenire senza che il personale addetto alla manutenzione sia a conoscenza della chiave di esercizio in uso (per esempio con messaggi recanti A_PDU “fuori linea”).

10.7

Modello di numerazione delle A-PDU

10.7.1

Generalità

Fatte salve soluzioni alternative, già definite da protocolli applicativi approvati a livello internazionale, deve essere previsto un modello di numerazione delle A-PDU strutturato e organizzato in modo tale da possedere i seguenti requisiti e fornire le seguenti prestazioni: a) essere in grado di garantire, per le A-PDU di ciascun tipo, l’univocità di quelle che potenzialmente potrebbero essere scambiate in un arco di tempo non minore di 15 anni (per esempio 20 anni come valore conservativo); b) consentire che: 

la numerazione delle A-PDU di ciascun tipo possa essere indipendente e scorrelata rispetto la numerazione delle A-PDU degli altri tipi allo scopo di eliminare ogni possibile reciproco condizionamento, tra A-PDU dei diversi insiemi, nelle fasi di loro impiego operativo;



nel caso di A-PDU del tipo “Broadcast” o “Multicast”, possa non essere prevista alcuna numerazione in quanto la non copiabilità del messaggio deve essere realizzata con diversi metodi dell’applicazione.

c) consentire, per le A-PDU di ciascun tipo ed ove si intenda adottare, di mettere in relazione il numero assegnato a ciascuna A-PDU con l’ammontare delle A-PDU effettivamente scambiate, allo scopo di permettere: 

la ricostruzione dell’ordine/consecutività delle A-PDU ricevute, ricostruzione indispensabile nei casi in cui ordine/consecutività delle informazioni contenute nelle A-PDU ricevute fosse necessaria;



la rilevazione tempestiva della presenza di anomalie eventualmente riscontrate nella numerazione delle A-PDU ricevute, imputabili, per esempio, a smarrimento di A-PDU, a malfunzionamenti nel processo di numerazione, a scambi di false A-PDU; © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A



l’utilizzo di metodi di recupero delle A-PDU smarrite che siano automatici e soprattutto efficienti;



l’impiego del criterio di accettazione a “finestra scorrevole”delle A-PDU ricevute dal “Responder”, consistente nell’accettazione delle A-PDU ritenute “valide” la cui numerazione progressiva risulterà compresa in una finestra costituita da limiti numerici predefiniti; nel punto10.7.2viene riportata in dettaglio la caratterizzazione di detta “finestra scorrevole” e la definizione del significato di “validità” di una A-PDU.

d) escludere che tale modello possa essere condizionato da sincronizzazioni/allineamenti tra gli orologi degli interlocutori interessati dallo scambio di A-PDU. e) consentire l’azzeramento della numerazione progressiva delle A-PDU dei tipi appartenenti ad una categoria,

contestualmente

alla

configurazione/riconfigurazione

della

chiave

cifratura/autenticazione associata a quella categoria (tale operazione si presenta per esempio particolarmente utile all’Esercente subentrante nei casi di riconfigurazione delle chiavi di “esercizio” dei GdM, da parte della Autorità di Garanzia, nelle fasi di passaggio di concessione). 10.7.2

Criteri e procedure di accettazione con “finestra scorrevole” delle A-PDU ricevute dal “Responder”.

Di seguito sono descritti e definiti i requisiti della “finestra scorrevole” ed il significato di “validità” di una A-PDU ricevuta dal “Responder”. Per comodità di esposizione si riporta quanto segue: 

con A-PDU “congruente” si intende nel seguito indicare una A-PDU ricevuta (dal “Responder” o dall’”Initiator”) con CA congruente;



con A-PDU. “accettata” dal “Responder” si intende nel seguito indicare una A-PDU “congruente” la cui numerazione progressiva rispetterà le regole che nel seguito verranno passo-passo definite,



con “n” si indica il numero progressivo della A-PDU, ricevuta e “accettata” dal “Responder”, il cui valore risulterà il più elevato tra quelli delle A-PDU già ricevute ed “accettate”,

detto “Responder” deve essere in grado di gestire l’accettazione:

UNI/TS 11291-10



E0116923A

se non già avvenuta, delle A-PDU “congruenti” con numerazione progressiva “q” il cui valore sia n≥q≥(n-I) , con I configurabile (si noti che la scelta di porre I=0 equivale a decidere di escludere l’accettazione di A-PDU con q<n);



ancora da avvenire, delle A-PDU “congruenti” con numerazione progressiva “q” il cui valore sia n<q≤(n+S), con S configurabile e 1≤S≤MAX (dove “MAX” è il valore massimo consentito, di cui al punto a) del punto 10.7.1).

Il numero “n” costituisce il “riferimento” della “finestra scorrevole”e il suo valore assume dinamicamente quello del numero progressivo “q” più elevato tra quelli delle A-PDU già ricevute ed “accettate”. I numeri “n-I” e “n+S” costituiscono i limiti “relativi”, rispettivamente inferiore e superiore, della stessa finestra. I numeri I e S costituiscono i limiti “assoluti”, rispettivamente inferiore e superiore, della stessa finestra. Per concludere, una A-PDU ricevuta dal "Responder" deve essere considerata "valida", e quindi anche essere accettata, nel caso che essa possegga i seguenti requisiti: 

il suo CA deve risultare congruente;



la sua numerazione progressiva deve risultare compresa nei limiti "relativi" della “finestra scorrevole”;



deve risultare la prima ad essere ricevuta con detta numerazione progressiva.

Per le A-PDU ricevute dal “Responder” che risulteranno invece “non valide” e cioè quelle: 

con numerazioni progressive al di fuori dei limiti “relativi”;



con numerazioni progressive comprese nei limiti “relativi”, ma con CA incongruenti;



con numerazioni progressive comprese nei limiti “relativi”, con CA congruenti, ma ciascuna già preceduta da una A-PDU “valida” con identica numerazione,

i criteri di accettazione impiegati dal “Responder” saranno caratterizzati da regole e procedure applicate come descritto precedentemente.

UNI/TS 11291-10

10.7.3

E0116923A

Criteri e procedure di risposta alle A-PDU ricevute dal “Responder”

Devono essere adottati criteri e procedure, da parte del “Responder”, tali da gestire nel modo più “efficiente” possibile (anche dal punto di vista del risparmio del consumo delle batterie) le risposte alle APDU in arrivo “valide” e “non valide”. Tenuto conto della definizione di “validità” o meno di una A-PDU ricevuta dal “Responder” e che: 

una A-PDU ricevuta dal “Responder” può essere considerata come “associabile” a quella consecutivamente ricevuta in precedenza se risultano identiche le loro numerazioni progressive; l’APDU ricevuta considerata “associabile” può anche non essere processata per la verifica della sua “congruenza”;



per le A-PDU di “esercizio” “spontanee”, il “Responder” può non fornire alcuna risposta;



per le A-PDU “broadcast” o “multicast”, il “Responder” non deve fornire alcuna risposta;

devono essere rispettati i seguenti requisiti: -

Il “Responder” risponde a comandi “non validi “ o “associabili” dello “Initiator” solo per un numero limitato e configurabile di volte (per esempio: tre);

se il comando dell’Initiator è “associabile” di “lettura” oppure una “spontanea”, la risposta è quella relativa alla richiesta (in tal modo la risposta è sempre attualizzata);

se il comando è “ non valido”oppure “associabile” di scrittura (o di richiesta di esecuzione di una funzione ), il comandonon deve essere eseguito ma deve esserefornita risposta che deveriportare un codice di errore e le informazioni che permettanoallo “Initiator” di individuare la motivazione della mancata esecuzione (per esempio: risposta con codice che indichi “comando_di_scrittura_già_eseguito”, riportante il valore del numeratore di messaggio corrente).

Si riporta nel prospetto 3 10.7.3 un esempio di criteri e procedure di risposta, rappresentato in forma di “stati”, “eventi” e “azioni”, applicabile per tutti i tipi di A-PDU ad eccezione di quelle “spontanee” e quelle “broadcast” o “multicast”.

UNI/TS 11291-10

E0116923A

Prospetto 3: esempio di criteri e procedure di risposta Stato Corrente

EVENTI

AZIONI

Stato Successivo

R_AV

[AV]a0 ; I_AC

R_ANV

[ANV]b0 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ ANV (con ANV "associabile" a [AV]a0)

[ANV]a1 ; I_AC

R_ANV (con ANV non "associabile" a [AV]a0)

[ANV]b0 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ ANV (con ANV "associabile" a [ANV]a1)

[ANV]a2 ; I_AC

R_ANV (con ANV non "associabile" a [ANV]a1)

[ANV]b0 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ ANV (con ANV "associabile" a [ANV]a2)

[ANV]a2 ; Nessun Invio

R_ANV (con ANV non "associabile" a [ANV]a2)

[ANV]b0 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ANV (con ANV consecutiva a [ANV]b0)

[ANV]b1 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ANV (con ANV consecutiva a [ANV]b1)

[ANV]b2 ; I_AN

R_AV

[AV]a0 ; I_AC

R_ANV (con ANV consecutiva a [ANV]b2)

[ANV]b2 ; Nessun Invio

START

B2 NOTE R : Ricezione. I : Invio. AV : A-PDU Valida. ANV : A-PDU Non Valida. AC : A-PDU " Congruente" con quanto richiesto nella A-PDU ricevuta. AN : A-PDU di Notifica della "non validità" della A-PDU ricevuta. [XXX]αn : rappresentazione in "azione" della A-PDU (AV o ANV) temporalmente ultima ricevuta (riportata in "evento"), marcata dai pedici "αn" (α= a, b ; n= 0, 1, 2) per renderla riferimento identificabile quando richiamata in "eventi" immediatamente successivi alla suddetta "azione". A0, A1, A2 : stati collegati ad "eventi" di ricezione di AV consecutive e non e ANV consecutive e "associabili" alle AV . B0, B1, B2 : stati collegati ad "eventi" di ricezione di ANV non "associabili" e ANV consecutive a quelle non "associabili". © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

10.8

E0116923A

Specificità delle chiavi di cifratura dei Traslatori

10.8.1 Generalità Il Traslatore al contrario del Concentratore non mantiene copia delle chiavi di cifratura di servizio e/o esercizio e/o installazione/manutenzione e/o utente, dei suoi “affiliati”. Il Traslatore non effettua alcuna elaborazione delle A-PDU relative ai messaggi end – to-end scambiati tra SAC o Concentratore e GdM. Il Traslatore per le sole funzioni attinenti la gestione della rete può gestire un’ulteriore chiave di cifratura/autenticazione detta “chiave di rete”con le seguenti proprietà: 

ha vita illimitata;



può essere riconfigurata solo con opportuni messaggi di servizio inviati dal SAC;



se ha valore nullo è disabilitata;



permette di svolgere attività di sincronizzazione degli orologi degli affiliati nella modalità indicatanel punto10.8.2;



permette di svolgere attività di trasferimento del nuovo software destinato agli affiliati (vedereil punto11);

La chiave di “rete” nei GdM e nei Ripetitori affiliati ad un Traslatore deve essere configurata/riconfigurata dal SAC. La chiave di “rete” deve rimanere custodita nel sistema centrale dell’Esercente. Le A-PDU cifrate ed autenticate con la chiave di “rete” devono seguire il modello di numerazione ed accettazione indicati al punto10.7.

10.8.2

Sincronizzazione degli apparati affiliati al Traslatore

La sincronizzazione dell’orologio di un GdM o Ripetitore affiliato ad un Traslatore deve essere effettuataper evitare che gli orologi del Traslatore e del GdM e/o del Ripetitore possano derivare per più del tempo ammesso ed indicato nella UNI/TS 11291-1.

UNI/TS 11291-10

E0116923A

La sincronizzazione remota dell’orologio da parte di un Traslatore è permessa solo per i GdM e i Ripetitori affiliati al Traslatore ed “arruolati” al SAC ovvero che sono stati già riconosciuti e presi in carico dal SAC. Il GdM/Ripetitore è sincronizzato con i seguentiprocessi indipendenti mediati dal Traslatore: a. il processo di sincronizzazione denominata“leggera” , avviato dal Traslatore che permette una limitata correzione dell’orologio del GdM/Ripetitore ed effettuato autonomamente dal Traslatore con comandi cifrati con la chiave di rete; b. il processo di sincronizzazione denominata“forte-indiretta”, avviato dal SAC, che abilita il GdM/Ripetitore, mediante comandi cifrati con la chiave di esercizio del GdM/Ripetitore ad eseguire una sincronizzazione più ampia dell’orologio in occasione della successiva sincronizzazione leggera avviata dal Traslatore. In condizioni di normale operatività il Traslatore esegue autonomamente la sincronizzazione “leggera”, inviando ai propri GdM/Ripetitori affiliati ed arruolati un comando che soddisfa i seguenti requisiti: -

riporta la data e ora con la definizione del secondo

è cifrato ed autenticato con la chiave di rete

Alla ricezione del comando di sincronizzazione “leggera”, il GdM/Ripetitore deve: -

accettare e rispondere al comando solo se è già stato arruolato

calcolare lo “scostamento” come differenza tra la data e ora_propria e la data e ora_riportata nel comando;

accettare il comando solo se lo “scostamento” (in valore assoluto) è minore di 60 s; in caso contrario deve essere restituita al SAC una condizione di errore;

accettare solo “scostamenti” per un totale complessivo in valore assoluto di 60 s al mese; nel caso in cui questo limite venisse superato è restituita al Traslatore una condizione di errore;

Quando il SAC rileva una condizione di errore nella procedura di sincronizzazione leggera del GdM/Ripetitore, può avviare la procedura di sincronizzazione “forte-indiretta”. Per la sincronizzazione “forte-indiretta” il SAC invia al GdM un comando individuale, mediato dal Traslatore, che deve essere autenticato e cifrato con la chiave di esercizio del GdM/Ripetitore. Col comando il SAC abilita il GdM/Ripetitore ad effettuare la sincronizzazione forte in corrispondenza del successivo comando di sincronizzazione “leggera” emesso dal Traslatore. © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

Il GdM accetta in ogni caso il comando di autorizzazione alla sincronizzazione “forte-indiretta”. L’abilitazione alla sincronizzazione “forte-indiretta” permane nel GdM/Ripetitore fino al successivo comando di sincronizzazione “leggera” ricevuto dal Traslatore. Il GdM/Ripetitore che riceve dal Traslatore un comando di sincronizzazione “leggera” successiva ad un comando di sincronizzazione “forte-indiretta” oppure un comando di sincronizzazione “forte-diretta”, deve allineare immediatamente il proprio orologio all’orologio del Traslatore contenuto nel comando di sincronizzazione leggera con le regole di sincronizzazione previste dalla pertinente parte della serieUNI/TS 11291.

10.9

Stati operativi

I GdM devono poter gestire i seguenti stati operativi: 1. stato P di fabbrica o pre-installazione: è lo stato in cui si trova il GdM dalla fine del processo di fabbricazione fino al momento della prima installazione (opzionale) 2. stato NC di apparato non configurato: a seguito della prima installazione finche l’apparato non venga configurato con i parametri minimi necessari alla misura e registrazione dei dati (eventualmente anche alla comunicazione) 3. stato C o stato di apparato configurato: a seguito della configurazione dei parametri minimi necessari alla misura e registrazione dei dati (eventualmente anche alla comunicazione) 4. stato M o stato di apparato in manutenzione: stato assunto dal GdM a seguito di opportuno comando; nello stato M, l’Esercente deve poter inibire al manutentore almeno alcune o tutte delle seguenti funzioni: 

Modifiche di parametri (di qualunque tipo);



Reset del registro eventi;



Download del software;



Modifica dei parametri a valenza metrologica (per esempio composizione del gas);



Modifica delle credenziali di accesso;



Gestione valvola (per i GdM che la supportano).

UNI/TS 11291-10

E0116923A

Nella fase di prima installazione il GdM genera e/o rende attiva la chiave temporanea di installazione /manutenzione inibendo, se ritenuto necessario, alcune delle funzioni sopra elencate (per esempio: reset registro eventi; modifica credenziali di accesso) Nella fase di prima installazione, l’installatore utilizza la chiave temporanea di installazione /manutenzione per la cifratura e l’autenticazione dei messaggi utili per la prima configurazione dell’apparato. Alla conclusione della fase di installazione la chiave temporanea deve poter essere resa inattiva. La chiave di esercizio è la sola ad essere utilizzata durante il normale funzionamento del GdM; la chiave di esercizio dovrebbe essere modificata periodicamente. L’attivazione della chiave temporanea di installazione/manutenzione,mediante comando cifrato con la chiave di esercizio, deve poter avvenire senza che il personale addetto alla manutenzione sia a conoscenza della chiave di esercizio in uso (per esempio con comandi “fuori linea”). I Traslatori e i Ripetitori devono poter gestire i seguenti stati operativi: 1. stato NC di apparato non configurato: a seguito della prima installazione finche l’apparato non venga configurato con i parametri minimi necessari al suo funzionamento (eventualmente anche alla comunicazione); 2. stato C o stato di apparato configurato: a seguito della configurazione dei parametri minimi necessari al suo funzionamento; 3. stato M o stato di apparato in manutenzione: stato assunto dal Traslatore/Ripetitore a seguito di opportuno comando (locale o remoto); nello stato M, l’Esercente deve poter inibire al manutentore almeno alcune o tutte delle seguenti funzioni: 

reset del registro eventi;



download del software;



modifica dello stato degli apparati affiliati;



modifica delle credenziali di accesso;

UNI/TS 11291-10

E0116923A

Nella fase di prima installazione il Traslatore/Ripetitore genera e/o rende attiva la chiave temporanea di installazione /manutenzione inibendo, se ritenuto necessario, alcune delle funzioni sopra elencate (per esempio: reset registro eventi; modifica credenziali di accesso) Nella fase di prima installazione, l’installatore utilizza la chiave temporanea di installazione /manutenzione per la cifratura e l’autenticazione dei messaggi utili per la prima configurazione dell’apparato. Alla conclusione della fase di installazione la chiave temporanea deve poter essere resa inattiva. La chiave di reteè la sola ad essere utilizzata durante il normale funzionamento del Traslatore nei confronti dei suoi affiliati. La chiave di esercizioè la sola ad essere utilizzata durante il normale funzionamento del Traslatore/Ripetitore nei confronti del SAC. Le chiavi di esercizio e di rete dovrebbero essere modificata periodicamente. L’attivazione della chiave temporanea di installazione/manutenzione nel Traslatore/Ripetitore,mediante comando cifrato con la relativa chiave di esercizio, deve poter avvenire senza che il personale addetto alla manutenzione sia a conoscenza della chiave di esercizio in uso (per esempio con comandi “fuori linea”).

Procedura di “download” del Software dei GdM

11.1

Generalità

La procedura di “download” (DL) riveste particolare importanza in quanto il DL del software applicativo è l’operazione più rischiosa in relazione alla sicurezza ed inoltre è sicuramente la più “dispendiosa” in termini di energia in quanto essa può richiedere la trasmissione di una quantità considerevole di informazioni. Le condizioni al contorno di cui occorre tener conto nella realizzazione della procedura sono le seguenti: 1. per ridurre il consumo di energia è ammesso, nelle reti punto-multipunto, effettuare il DL da remoto utilizzando messaggi trasmessi in “broadcast o multicast” ovvero destinati a un insieme, o a un suo sottoinsieme, di GdM che hanno in comune la stessa versione di software; 2. devono essere mantenute distinte la fase di trasferimento del nuovo software e la fase in cui esso può essere attivato. La fase di trasferimento può essere effettuata con messaggi anche non cifrati © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

ma è necessario che venga autenticato il soggetto preposto al trasferimento. La fasedi attivazione deve essere subordinata alla verifica da parte del GdM della completezza, integrità ed autenticità del software.

11.2

Procedura di download dei GdM che comunicano in PM1

La procedura deve essere utilizzata anche per i GdM di classe A2 che comunicano in modalità punto – punto con il SAC. Quando l’aggiornamento del software è effettuato da remoto, i GdM possono seguire la procedura individuata come interoperabile per il download del software, con le seguenti modalità: a) il SAC o il Concentratore (sollecitato dal SAC) abilita, con un messaggio autenticato e cifrato con chiave di esercizio, tutti i GdM che sono interessati dal DL fornendo anche una chiave (Kdl) per la verifica dell’autenticità: per ragioni pratiche di non avere differenti versioni di DL dello stesso software per ciascun GdM, la chiave potrebbe essere uguale per tutti i GdM. Il messaggio riporta, oltre i parametri utili per il DL, anche la data di entrata in vigore del nuovo software e la “firma” calcolata sull’intero codice con la chiave Kdl; b) il soggetto (SAC, Concentratore, Traslatore o Terminale) preposto ad effettuare il DL provvede ad inviare i segmenti di codice in modalità non necessariamente cifrata ma autenticata con la chiave di esercizio o di manutenzione o di rete; c) dopo la ricezione di tutti i segmenti il GdM, con le tempistiche necessarie, esegue un controllo sull’autenticità del software computando la “firma” del codice ricevuto con Kdl: se c’è coerenza tra la firma ricevuta e quella calcolata il GdM si predispone ad attivare il codice alla data indicata altrimenti rifiuta il codice ricevuto; d) il SAC può, ma non necessariamente, richiedere l’esito del controllo. Nel caso in cui l’aggiornamento del software debba essere effettuato localmente la procedura che garantisce l’interoperabilità evolve con le seguenti modalità: a) il SAC dell’Esercente genera comandi “auto consistenti” destinati a tutti i GdM oggetto di download, ciascuno cifrato ed autenticato con la chiave di esercizio del GdM interessato per l’attivazione della chiave temporanea di manutenzione; il SAC genera inoltre comandi“fuori

UNI/TS 11291-10

E0116923A

linea”, destinati ai singoli GdM oggetto del DL, ciascuno cifrato ed autenticato con la chiave di esercizio del GdM interessato, per l’abilitazione alla funzione di download. Ciascun comando fornisce anche una chiave (Kdl) per la verifica dell’autenticità che per ragioni pratiche di non avere differenti software per ciascun GdM, potrebbe essere uguale per tutti i GdM. Lo stesso comando, oltre la chiave Kdl, riporta anche la data di entrata in vigore del nuovo software e la “firma” calcolata sull’intero codice con la chiave Kdl; b) il soggetto preposto ad effettuare il DL , dotato di Terminale, provvede ad inviare localmente al GdM il o i relativi comandi “fuori linea” consegnatogli dal SAC per l’attivazione della chiave temporanea di manutenzione, e per l’abilitazione al download (vedere punto precedente), infine i segmenti di codice con comandi non necessariamente cifrati ma autenticati con la chiave di manutenzione; c) come nel caso di download da remoto.

11.3

Procedura di download dei GdM che comunicano in PP4

La procedura deve essere seguita da tutte le classi dei GdM ad eccezione della classe A2 per la quale si applica la procedura descritta nel punto precedente(procedura di download dei GdM che comunicano in PM1). Il download del software deve essere effettuato dal profilo amministratore dell’Esercenteo da altri profili da lui autorizzati. Il download del software può essere effettuato se il relativo sigillo logico e/o fisico è disattivo. Il download del software non può essere effettuato con messaggi cifrati con chiave di installazione/manutenzione. Considerata la tipicità della comunicazione punto-punto tra l’Esercente ed il GdM, ritenuta “più sicura” in quanto Esercente e GdM rimangono connessi per il periodo destinato al download, si ipotizza per i GdM che comunicano col SAC in modalità PP4, una procedura semplificata. Il downloading dei GdM che comunicano in PP4 è eseguito dall’Esercente in due fasi: la prima fase di “inizializzazione” dove il SACpredispone il GdMal processo di DL trasferendo al GdM le informazioni relative al software che deve essere trasferito(per esempio identificativo, data di entrata in vigore,numero di segmenti complessivi che devono essere trasmessi il codice di ridondanza a © Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com

UNI/TS 11291-10

E0116923A

protezione dell’integrità dell’intero codice); la seconda fase di “trasferimento del codice” il SAC invia segmenti successivi di programma ciascuno non necessariamente cifrato ma comunque autenticato con la chiave di esercizio del profilo AS. Il costruttore del GdM deve adottare opportuni strumenti di verifica della integrità del software ricevuto e dell’autenticità della fonte che lo ha generato. Eventuali elementi che permettono la verifica dell’autenticità del nuovo software sono contenuti all’interno del programma e quindi specifici del costruttore del GdM.

UNI/TS 11291-10

E0116923A

Bibliografia Deliberazione ARG/gas 155/08 “Direttiva per la messa in servizio dei gruppi di misura del gas, caratterizzati da requisiti funzionali minimi e con funzioni di telelettura o telegestione, per i punti di riconsegna delle reti di distribuzione del gas naturale” UNI CEI ISO 7498-2:1993 Sistemi per l elaborazione delle informazioni. Interconnessione di sistemi aperti (OSI). Modello di riferimento di base. Architettura di sicurezza. ISO/IEC 7498-1 Information technology - Open Systems Interconnection - Basic Reference Model: The Basic Model ISO/IEC 19790 Information technology -- Security techniques -- Security requirements for cryptographic modules ISO/IEC 24759 Test Requirements for Cryptographic Modules ANSI X9.31 Appendix A.2.4

Digital Signatures Using Reversible Public Key Cryptography for

the Financial Services Industry (rDSA), NIST FIPS PUB 140-2Security Requirements For Cryptographic Modules NIST FIPS200 (Minimum Security Requirements for Federal Information and Information Systems) NISTSP 800-38A:Recommendation for Block Cipher Modes of Operation -

Methods

andTechniques Addendum to NIST Special Publication 800-38A - Recommendation for Block Cipher Modes of Operation: Three Variants of Ciphertext Stealing for CBC Mode

UNI/TS 11291-10

E0116923A

NISTSP 800-38B Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication NIST SP 800-38D

Recommendation for Block Cipher Modes of Operation: Galois/Counter

Mode (GCM) and GMAC NIST SP 800-57Recommendation for KeyManagement – Part 1: General(Revision 3) Modello ISO/OSI (Open Systems Interconnection)

Copyright Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte del presente documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto dell’UNI.