Marco Calamari

Cassandra Crossing/ Difendiamo la SPID3

Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle insicure password si può cercare di snaturarlo

Roma - Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo, secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché?
Perché la società dell'informazione richiede una cultura e una pratica della sicurezza; e un'infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai).

La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza.
L'equilibrio tra interesse pubblico e interessi privati, quando funziona, è un'ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole.

Infatti si potrebbe andreottianamente pensare che l'attuale assenza di un'offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.
Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un'app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po' pesante. I 24 lettori sono avvertiti...

AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
Attualmente l'adeguatezza dell'Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l'edizione XIX di e-privacy, è adesso in votazione nell'organo tecnico UNI/CT 510/GL 02 ed è intitolato "E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell'autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115".

SPID3 corrisponde al livello di assurance 4 (LOA4) dell'ISO 29115, che richiede (ripetiamo "richiede") l'utilizzo di dispositivi fisici (ripetiamo "fisici") sotto il controllo dell'utente.
Lo standard in corso di valutazione non permette, per realizzare SPID3, l'utilizzo di due soluzioni che per l'Identity Provider sarebbero particolarmente facili ed economiche (qualcuno ha detto "appetibili"?) da implementare:

- l'utilizzo di App "interamente software" da installare sullo smartphone dell'utente.
Vi ricorda qualcosa?

- l'utilizzo di dispositivi di firma remota come strumenti di autenticazione SPID.
E qui potrebbe cascare l'asino!

Parentesi: la firma digitale remota è un altro esempio di smaterializzazione del token, concepita solo per esigenze particolarissime come i sistemi informatici delle pubbliche amministrazioni, ma oggi venduta con successo ai privati pigri, che sono ben contenti di non doversi portare dietro la smartcard e di cavarsela con una password.
Metà delle firme digitali attive in Italia sono ahimè diventate di questo tipo, perché si tratta un prodotto "conveniente" sia per i privati che per le aziende. Peccato che siano meno sicure; ed evviva la cultura e la pratica della sicurezza!

Torniamo allo SPID3. In pratica con questa soluzione, i requisiti di SPID3 si applicherebbero al dispositivo remoto situato presso l'Identity Provider, e l'accesso dell'utente al dispositivo di autenticazione potrebbe anche avvenire (ma vedi un po'!) con una semplice password. E comunque non sarebbe "qualcosa che hai". Mamma mia!

Di conseguenza, alcuni soggetti stanno, legittimamente, premendo per rendere inefficace questa parte dello standard o per modificarla. Sono tra quelli che stanno votando il nuovo standard? Fatevi la domanda, datevi la risposta.
Speriamo che in questo caso sia possibile sapere chi sono, anche se il processo di votazione (che termina in questi giorni) non è pubblico.
Il fatto che la questione sia in votazione renderebbe tracciabili i tentativi di modifica, ma non permetterebbe di impedirli.
D'altra parte il processo prevede la possibilità che AGID alla fine possa non tenerne conto.
Perciò niente profezie oggi. Limitiamoci a sperare bene!

Marco Calamari - @calamarim

Le profezie di Cassandra: @XingCassandra
Lo Slog (Static Blog) di Cassandra
L'archivio di Cassandra: scuola, formazione e pensiero
Notizie collegate
8 Commenti alla Notizia Cassandra Crossing/ Difendiamo la SPID3
Ordina
  • Clicca per vedere le dimensioni originali

    Negli altri paesi come funziona lo Spid?
    non+autenticato
  • ArubaPec ha spid con token fisico.

    Ma quanti token fisici devo collezionare?
    Ne vorrei uno che posso usare per più fornitori di servizi.
    non+autenticato
  • NIST ha deprecato l’uso degli SMS-PIN come meccanismo di autenticazione equivalente ad un 2FA, dal luglio 2016.
    Accetta invece l’uso di App su mobile con token virtuali OTP, anche se riconosce ai token hardware un livello di sicurezza più alto.
    Il tema è al solito quello di trovare un giusto compromesso: lo smartphone è la device che sempre più fungerà da pivot in varie fasi della ns vita fisica/digitale.
    La necessità di utilizzarla come strumento di sicurezza a vari livelli, porterà prima o poi alla presenza di eSIM crittografiche (inserite nell’hardware del telefono) non legate al singolo operatore ma sotto il solo controllo del proprietario.

    /**/
    Solo per chiarezza:
    relativamente al GdL UNINFO, a questo era stato dato il compito di realizzare un documento (poi norma) che definisse gli ambiti e le regole a cui un Identity Provider doveva attenersi nel disegno dei processi di autenticazione SPID (tra utente ed Identity Provider)
    Nulla a che vedere con la definizione di uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
  • Sarebbe bello se si facessero avanti i produttori di smartphone con l'offerta di inserire un chip dedicato alle elaborazioni da super-privacy.

    Sarebbe una mossa utile a tutti, visto che i produttori di hw non possono pensare di profilare anche le transazioni pubblico-privato e pubblico-pubblico.

    Certo, ci vorrebbe una certificazione del produttore, con pesantissima sanzione in caso di inadempienza, e questo potrebbe scoraggiare un po'.

    Inoltre ci sarebbe da definire uno spazio software dedicato al chip, visto che i due mega-profilatori, Google e Apple non si lasciano scappare un singolo bit di quello che viene elaborato tramite i loro sistemi operativi. Copiati e coadiuvati dai produttori di app.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)