Cassandra Crossing/ Difendiamo la SPID3

Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle insicure password si può cercare di snaturarlo

Roma – Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo , secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché?
Perché la società dell’informazione richiede una cultura e una pratica della sicurezza; e un’infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai).

La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza.
L’equilibrio tra interesse pubblico e interessi privati, quando funziona, è un’ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole.

Infatti si potrebbe andreottianamente pensare che l’attuale assenza di un’offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.

Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un’app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po’ pesante. I 24 lettori sono avvertiti…

AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
Attualmente l’adeguatezza dell’Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l’ edizione XIX di e-privacy , è adesso in votazione nell’organo tecnico UNI/CT 510/GL 02 ed è intitolato “E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell’autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115” .

SPID3 corrisponde al livello di assurance 4 (LOA4) dell’ISO 29115 , che richiede (ripetiamo “richiede”) l’utilizzo di dispositivi fisici (ripetiamo “fisici”) sotto il controllo dell’utente.
Lo standard in corso di valutazione non permette, per realizzare SPID3, l’utilizzo di due soluzioni che per l’Identity Provider sarebbero particolarmente facili ed economiche (qualcuno ha detto “appetibili”?) da implementare:

– l’utilizzo di App “interamente software” da installare sullo smartphone dell’utente.
Vi ricorda qualcosa?

– l’utilizzo di dispositivi di firma remota come strumenti di autenticazione SPID.
E qui potrebbe cascare l’asino!

Parentesi: la firma digitale remota è un altro esempio di smaterializzazione del token, concepita solo per esigenze particolarissime come i sistemi informatici delle pubbliche amministrazioni, ma oggi venduta con successo ai privati pigri, che sono ben contenti di non doversi portare dietro la smartcard e di cavarsela con una password.
Metà delle firme digitali attive in Italia sono ahimè diventate di questo tipo, perché si tratta un prodotto “conveniente” sia per i privati che per le aziende. Peccato che siano meno sicure; ed evviva la cultura e la pratica della sicurezza!

Torniamo allo SPID3. In pratica con questa soluzione, i requisiti di SPID3 si applicherebbero al dispositivo remoto situato presso l’Identity Provider, e l’accesso dell’utente al dispositivo di autenticazione potrebbe anche avvenire (ma vedi un po’!) con una semplice password. E comunque non sarebbe “qualcosa che hai”. Mamma mia!

Di conseguenza, alcuni soggetti stanno, legittimamente, premendo per rendere inefficace questa parte dello standard o per modificarla. Sono tra quelli che stanno votando il nuovo standard? Fatevi la domanda, datevi la risposta.
Speriamo che in questo caso sia possibile sapere chi sono, anche se il processo di votazione (che termina in questi giorni) non è pubblico.
Il fatto che la questione sia in votazione renderebbe tracciabili i tentativi di modifica, ma non permetterebbe di impedirli.
D’altra parte il processo prevede la possibilità che AGID alla fine possa non tenerne conto.
Perciò niente profezie oggi. Limitiamoci a sperare bene!

Marco Calamari @calamarim

Le profezie di Cassandra: @XingCassandra
Lo Slog (Static Blog) di Cassandra
L’archivio di Cassandra: scuola, formazione e pensiero

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    per chi e' troppo macaco per capire
    per chi e' troppo macaco per capire il senso di RCS vs wazzappa:http://www.gsma.com/network2020/universal-profile/http://www.vodafone.com/content/apps/ext/messageplus/phones/it/faqs.html
  • ottomano scrive:
    certo certo
    Andarsi a legare mani e piedi alle aziende di telecomunicazioni in stile MMS, così da avere "1000 messaggi!" inclusi nel piano, quando invece con un Whatsapp o un Telegram puoi inviare qualsiasi cosa al prezzo di una connessione ad internet.
    • Shiba scrive:
      Re: certo certo
      - Scritto da: ottomano
      Andarsi a legare mani e piedi alle aziende di
      telecomunicazioni in stile MMS, così da avere
      "1000 messaggi!" inclusi nel piano, quando invece
      con un Whatsapp o un Telegram puoi inviare
      qualsiasi cosa al prezzo di una connessione ad
      internet.E legarsi mani e piedi ad altre aziende. Ottima idea.
      • lorenzo scrive:
        Re: certo certo
        Ricordo quando installando msn meggenger j2me chattavi al prezzo della connessione ( e quindi gratis in wi-fi ) mentre con il #brand# messenger pagavi ogni sinngolo messaggio come un sms ... non cambiava nulla tranne il client , sempre su msn stavi ... RCS ? NO GRAZIE
        • iRoby scrive:
          Re: certo certo
          Quello che interessa è il contenuto.Ogni volta che un servizio di messaggistica ti viene dato gratis è dal contenuto che si fanno soldi.Quando anche gli SMS saranno dentro il calderone del rastrellamento dei dati, questo servizio sarà gratuito.Oggi alle TLC serve per guadagnare tanto. Ma è stato ucciso da app come Whatsapp. Di recente TIM blocca la connessione alla fine dei giga, e lo faranno anche gli altri, perché il solo rallentarla a 32kbit/s permetteva comunque la messaggistica IP senza acquistare ulteriore plafond dati..
          • lorenzo scrive:
            Re: certo certo
            Quindi meglio pagare col contenuto + un tot a messaggio ? :)
          • iRoby scrive:
            Re: certo certo
            No, andrebbe pagata solo la connettività.Poi che dati ci faccio passare sopra è affar mio.L'SMS sappiamo che storicamente era una feature tecnica della rete GSM che è stata trasformata in business milionario.Ucciso poi dall'applicazione IP.La App di Google è un tentativo di rastrellare qualcosa che per ora è appannaggio della sola rete dei gestori TLC.Google vuole aspirare tutto anche gli SMS.Ora come ora se usi questa app paghi l'SMS al gestore e vieni pure rastrellato da Google.Se proprio vuoi accettare il rastrellamento di Google, allora dammi l'SMS gratuito.
        • Shiba scrive:
          Re: certo certo
          - Scritto da: lorenzo
          sempre su msn staviQuesto è il problema.
    • bradipao scrive:
      Re: certo certo
      - Scritto da: ottomano
      Andarsi a legare mani e piedi alle aziende di
      telecomunicazioni in stile MMS, così da avere
      "1000 messaggi!" inclusi nel piano, quando invece
      con un Whatsapp o un Telegram puoi inviare
      qualsiasi cosa al prezzo di una connessione ad internet.L'importante è che ci siano più soluzione in competizione, solo in questo modo puoi veramente "scegliere".
      • Hopf scrive:
        Re: certo certo
        - Scritto da: bradipao
        - Scritto da: ottomano

        Andarsi a legare mani e piedi alle aziende di

        telecomunicazioni in stile MMS, così da avere

        "1000 messaggi!" inclusi nel piano, quando
        invece

        con un Whatsapp o un Telegram puoi inviare

        qualsiasi cosa al prezzo di una connessione ad
        internet.

        L'importante è che ci siano più soluzione in
        competizione, solo in questo modo puoi veramente
        "scegliere".... a chi legarti mani e piedi :(
        • bradipao scrive:
          Re: certo certo
          - Scritto da: Hopf

          L'importante è che ci siano più soluzione in

          competizione, solo in questo modo puoi veramente

          "scegliere".
          ... a chi legarti mani e piedi :(Parti dal presupposto che la soluzione "perfetta e ideale" non l'avrai mai, per cui l'importante è poterlo scegliere la meno peggio per il tuo scenario di utilizzo.
          • Hopf scrive:
            Re: certo certo
            - Scritto da: bradipao
            - Scritto da: Hopf


            L'importante è che ci siano più soluzione in


            competizione, solo in questo modo puoi
            veramente


            "scegliere".

            ... a chi legarti mani e piedi :(

            Parti dal presupposto che la soluzione "perfetta
            e ideale" non l'avrai mai, per cui l'importante è
            poterlo scegliere la meno peggio per il tuo
            scenario di
            utilizzo.Certo ma i presupposti non sono molto incoraggianti: ti ricordi quelli di don't be evil, oppure quelli che si son comprati whatsapp e che non avrebbero MAI usato i numeri di telefono dei loro utenti...
          • caio scrive:
            Re: certo certo
            - Scritto da: bradipao
            - Scritto da: Hopf


            L'importante è che ci siano più soluzione in


            competizione, solo in questo modo puoi
            veramente


            "scegliere".

            ... a chi legarti mani e piedi :(

            Parti dal presupposto che la soluzione "perfetta
            e ideale" non l'avrai mai, per cui l'importante è
            poterlo scegliere la meno peggio per il tuo
            scenario di
            utilizzo.Lato PC hai clients come Pidgin che supportano la maggior parte dei protocolli e ti permettono di connetterti a diverse reti.
Chiudi i commenti