Cassandra Crossing/ Difendiamo la SPID3

 

Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo(*) , secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto ad esistere.

Perché?
Perché la società dell’informazione richiede una cultura ed una pratica della sicurezza, ed una infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori; qualcosa che sai più qualcosa che hai.

La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID ed operanti in regime di libero mercato e concorrenza.

L’equilibrio tra interesse pubblico e interessi privati, quando funziona, è un’ottima cosa, ma richiede per essere instaurato e mantenuto una continua attenzione ed una cura amorevole.

Infatti si potrebbe andreottianamente pensare che l’attuale assenza di un’offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business.
Probabilmente vero.
Il risultato è che il massimo di sicurezza che si può ottenere oggi come SPID è SPID2 con token software.
Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficentemente sicura.

Uno smartphone con un’app è un oggetto troppo complesso per poter essere sicuro.

Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare perché sarà un po’ pesante … i 24 lettori sono avvertiti.

AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire (“sicurezza delle informazioni un nuovo progetto di norma sottoposto allinchiesta pubblica preliminare“) uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
Attualmente infatti l’adeguatezza dell’Identity Provider è lasciata alla discrezionalità della valutazione e degli audit di Agid.
Questo documento che definirà lo standard, di cui si è discusso durante l’edizione XIX di e-privacy (E-privacy XIX), è adesso in votazione nell’organo tecnico UNI/CT 510/GL 02 ed è intitolato

“E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell’autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115”

SPID3 corrisponde al livello di assurance 4 (LOA4) dell’ISO 29115, che richiede (ripetiamo **richiede**) l’utilizzo di dispositivi fisici (ripetiamo **fisici**) sotto il controllo dell’utente.

Lo standard in corso di valutazione non permette, per realizzare SPID3, l’utilizzo di due soluzioni che per Identity Provider sarebbero particolarmente facili ed economiche (qualcuno ha detto “appetibili”?) da implementare:

– l’utilizzo di App “interamente software” da installare sullo smartphone dell’utente . Vi ricorda qualcosa?

– l’utilizzo di dispositivi di firma remota come strumenti di autenticazione SPID. E qui potrebbe cascare l’asino!

Parentesi; la firma digitale remota è un altro esempio di smaterializzazione del token, concepita solo per esigenze particolarissime come i sistemi informatici delle pubbliche amministrazioni, ma oggi venduta con successo ai privati pigri, che sono ben contenti di non doversi portare dietro la smartcard e di caversela con una password.

Metà delle firme digitali attive in Italia sono ahimè diventate di questo tipo, perché si tratta un prodotto “conveniente” sia per i privati che per le aziende. Peccato che siano meno sicure, ed evviva la cultura e la pratica della sicurezza!

Torniamo allo SPID3. In pratica con questa soluzione, i requisiti di SPID3 si applicherebbero al dispositivo remoto situato presso l’Identity Provider, e l’accesso dell’utente al dispositivo di autenticazione potrebbe anche avvenire (ma vedi un po’!) con una semplice password. E comunque non sarebbe “qualcosa che hai”. Mamma mia!

Di conseguenza, alcuni soggetti stanno, legittimamente, premendo per rendere inefficace questa parte dello standard (*) o per modificarla. Sono tra quelli che stanno votando il nuovo standard?
Fatevi la domanda, datevi la risposta.
Speriamo che in questo caso sia possibile, anche se il processo di votazione(termina ora, a fine febbraio) non è pubblico, sapere chi sono.

Il fatto che la questione sia in votazione renderebbe tracciabili i tentativi di modifica, ma non permetterebbe di impedirli.
D’altra parte il processo prevede la possibilità che AGID alla fine possa non tenerne conto.

Perciò niente profezie oggi. Limitiamoci a sperar bene!

 

Le profezie di Cassandra: @XingCassandra
Lo Slog (Static Blog) di Cassandra
L’archivio di Cassandra: scuola, formazione e pensiero

 


 

Cassandra Crossing/ Difendiamo la SPID3 was last modified: maggio 9th, 2017 by Marco Calamari

CC BY-NC-SA 4.0 Cassandra Crossing/ Difendiamo la SPID3 by Aneddotica Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

SHARE
Previous articleE’ giusto dare alle macchine una personalità giuridica?
Next articleIl popolo è un gatto, non un cane
Marco Calamari
Marco Calamari: ingegnere, classe 1955, talvolta noto come Cassandra, a 18 anni dovette decidere se comprarsi una macchina usata od un pc. Scelse il pc e da allora non si e' ancora completamente ripreso. Lavora come archeologo di software legacy in una grande multinazionale, ma e' appassionato di privacy e crittografia in Rete, dove collabora a progetti di software libero come Freenet, Mixmaster, Mixminion, Tor & GlobaLaks. E' il fondatore del Progetto Winston Smith e tra i fondatori dell'associazione Hermes Centro Studi Trasparenza e Diritti Umani Digitali. Dal 2002 organizza il convegno "e-privacy" dedicato alla privacy in Rete e fuori, ed e' editorialista di "Punto Informatico" dove pubblica la rubrica settimanale "Cassandra Crossing". ========================================================== Follow @XingCassandra

LEAVE A REPLY

Please enter your comment!
Please enter your name here