Meno carta, meno tempo, meno costi: Key4Paperless 2015

KEY4PAPERLESS è un workshop informativo sui temi della dematerializzazione. Il suo scopo è fornire lo stato dell’arte tecnico e legale sui temi caldi del mondo paperless. Un aiuto per chi deve affrontare o è già impegnato nel passaggio dalla carta al digitale.

  • Fatturazione elettronica per la PA: come funziona, come si fa.
  • Firme elettroniche: come incrementare efficienza, produttività e ridurre i tempi di gestione dei documenti.
  • Le certificazioni di sicurezza dei dispositivi di firma: Italia apripista in Europa!
  • Conservazione digitale: le nuove regole, cosa è cambiato.
  • Come far crescere l’azienda collegando informazioni non strutturate e strutturate su carta e digitale con periferiche multifunzione intelligenti.
  • Gestione documentale: strumenti e progetti innovativi
  • Carta, il supporto fisico documentale ancora oggi più usato, rendiamola sicura! Proteggere il documento cartaceo dalla falsificazione. La digitalizzazione in formato cartaceo.
  • Regolamento europeo: identità digitale e firma digitale. Il 2016 sarà l’anno del passaggio definitivo del testimone fra stati membri ed Europa. Una opportunità per l’Italia.

Realizzato in collaborazione con itAgile, Land, Lexmark e Postel il roadshow sarà il 29 aprile a Milano ed il 21 maggio a Roma.

www.key4paperless.com

1 settembre 2015: le cavallette?

Dopo 15 anni, 8 decreti proroga, il prossimo 25 luglio 2014 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard (25 luglio 2014: la caduta del regime … delle autocertificazioni).

Click sull'immagine per ingrandire

Stop > Rewind …

ma prima partiamo dalla notizia.

AgID comunica in home page, dove campeggia l’emblematico motto “Il Paese che cambia passa da qui”,

… che il termine previsto dal DPCM 19 luglio 2012, che consente di utilizzare la firma digitale remota su dispositivi non certificati fino al 9 febbraio 2015, è stato differito al 1° settembre 2015, con DPCM a firma dei Ministri Madia, Guidi, Padoan.

Con qualche imbarazzo, crediamo, nella pagina interna, AgID spiega il perché dell’ennesima proroga: il differimento consentirà di ultimare la sostituzione dei dispositivi di firma senza provocare disservizi agli utenti. Copia integrale del decreto sarà resa disponibile a breve.

Dicevamo? Ah, si, rewind

Dopo 15 16 anni, 8 9 decreti proroga, il prossimo 25 luglio 2014 1 settembre 2015 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard.

Questo “passaggio epocale” sta diventando una barzelletta, e vediamo perchè:

1) il DPCM del 10 febbario 2010 (il 6° decreto proroga, ndr.) stabiliva che (art. 1 comma 1)  “a decorrere dal 1° febbraio 2010 e per i ventuno mesi successivi (fino a novembre 2011, ndr.) i certificatori di firma elettronica attestano, mediante autocertificazione, la rispondenza dei propri dispositivi per l’apposizione di firme elettroniche con procedure automatiche ai requisiti previsti dalla vigente normativa”; al comma 4 “entro centottanta giorni dall’entrata in vigore del presente decreto sono stabilite dall’Organismo di certificazione della sicurezza informatica (OCSI) di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 e pubblicate sul proprio sito istituzionale, la procedura per accertare la conformita’ di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall’allegato III della direttiva 1999/93/CE ed un documento di supporto che ne faciliti l’applicazione.”.

In pratica il decreto stabiliva la ulteriore proroga, la sesta, ma allo stesso tempo definiva il termine ultimo (1 novembre 2011) entro il quale sarebbe partito il processo di certificazione dei dispositivi, e quindi l’era delle certificazioni dei dispositivi di firma, e di questo se ne sarebbe occuapta OCSI dando le linee guida.

2) Si arriva al 1° novembre 2011 con un solo apparato conforme a quanto prescritto dalla norma (DPCM 14 ottobre 2011) e quindi in grado di gestire firme elettroniche con certificati di firma qualificati validi al suo interno, ma questo fa scatenare “l’opposizione” che grida dalle pagine di stampa titolata che “i certificatori hanno avuto meno di 24 ore per adeguarsi al nuovo DPCM, grosso pasticcio legislativo, è il caos!, le firme digitali rischiano il blocco, si attende un nuovo decreto che sbrogli la matassa”, quando invece il legislatore, abbiamo visto al precedente punto 1, aveva dato ben 21 mesi di tempo!

Succede una cosa strana, per quasi un anno, il decreto rimane in vigore, anche se poco pubblicizzato (AgID stessa non ne da notizia sul sito), fino alla apparazione in Gazzetta Ufficiale mercoledì 10 ottobre 2012, del 8° decreto, da qualcuno definito “Decreto salva HSM” (da me ribatezzato il decreto per salvare chi non rispetta la legge), che “RITENUTO il termine del 1° novembre 2011 […] non congruo in relazione alla complessità della procedura di accertamento di conformità dei dispositivi automatici di firma ai requisiti di sicurezza e CONSIDERATO che l’applicazione delle disposizioni di cui al citato articolo 1 potrebbe avere un significativo impatto sui servizi assicurati dell’utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministraioni ed enti pubblici” decreta un ennesima proroga, “CONSIDERATA pertanto, l’esigenza, sempre in relazione alle ragioni sopra evidenziate (non conguità e potrebbe avere, ndr.) di stabilire in via definitiva le condizioni volte all’attestazione della rispondenza dei dispositivi per l’apposizione di firma elettronica” così come “scaduti i termini stabiliti nel decreto, le dichiarazioni già rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano DEFINITIVAMENTE di avere efficacia.

All’epoca ci facemmo la domanda “ma perchè, prima c’era qualcosa di poco defintivo? Forse il precedente DPCM era uno scherzo, una burla, mancava di efficacia?”

3) Si arriva al 25 luglio 2014 dove scade l’ultimo termine DEFINITIVO di efficacia delle autocertificazioni, e stavolta “si fa sul serio” tant’è che la stessa AgID comunica, con largo anticipo di 4 mesi, che allo scadere del periodo di 6 mesi utili alla migrazione, “eventuali firme elettroniche generate successivamente a tale termine su dispositivi di firma che non hanno ottenuto la prevista certificazione, non sarebbero inquadrabili quali firme digitali o firme elettroniche qualificate e sempre con decorrenza 10 febbraio 2015, i certificatori accreditati hanno l’obbligo di revocare eventuali certificati qualificati le cui chiavi continuino a essere utilizzate su dispositivi per la generazione della firma non certificati”.

Insomma dopo 5 anni abbondanti di tira e molla sembra ormai raggiunto il traguardo della certificazione, ma c’e’ il colpo di scena: ecco la 9° proroga, peraltro solo annunciata sul sito AgID e non pubblicata in Gazzetta Ufficiale, quindi a rigore non dovrebbe avere valore, ma si ritorna al modello ricorrente di questi anni “fatta una legge speriamo che venga applicata”.

Adesso vediamo cosa succederà il prossimo 1° settembre 2015 …

le cavallette?

ΒΕΒΑΙΩΣΗ ΣΥΜΜΟΡΦΩΣΗΣ: EUnited Colors of Certification

ΒΕΒΑΙΩΣΗ ΣΥΜΜΟΡΦΩΣΗΣ, Vevaiòsi simmorfòsi, tradotto, Certificato di Conformità.

Effetti positivi delle certificazioni di sicrurezza nella comunità europea. Un paese membro, la Grecia, ha correttamente utilizzato e recepito la certificazione di sicurezza ottenuta in un altro paese membro, l’Italia.

EETTΕθνική Επιτροπή Τηλεπικοινωνιών & Ταχυδρομείων (tradotto, Hellenic Telecommunications and Post Commission) è l’autorità nazionale di regolamentazione ellenica, che supervisiona e regola le telecomunicazioni e il mercato dei servizi postali. Scopo istituzionale di EETT è quello di promuovere lo sviluppo dei due settori, per garantire il corretto funzionamento del mercato rilevante nel contesto di una sana concorrenza e per garantire la tutela degli interessi degli utenti finali.

Lo scorso 22 dicembre 2014 EETT ha rilasciato Cerificato di Conformità con i requisiti per la creazione di una firma sicura per il dispositivo “CoSign”.

Per la traduzione in inglese clicka sul documento

Alla luce dei documenti presentati:

1. Ai sensi dell’articolo 5(3) del decreto del Presidente della Repubblica greca 150/2001, “prodotti di firma elettronica che siano conformi alla legislazione applicabile dell’Unione Europea hanno le stesse conseguenze giuridiche dei corrispondenti prodotti di firma elettronica provenienti dalla Grecia. In particolare, la valutazione della conformità alla normativa applicabile dell’Unione Europea per quanto riguarda i requisiti per i dispositivi creazione di una firma sicura svolta da un ente incaricato di tale valutazione in conformità della legislazione di uno Stato Membro EU, ha effetto immediato in Grecia.

Inoltre, la Decisione EETT 295/64/2003  “Regolamento sulla valutazione della conformità dei dispositivi sicuri di creazione di una firma e moduli crittografici sicuri” (Gazetta Governativa 1730/Β/11-24-2003), in particolare l’articolo 10(1), stabilisce che “Certificati di Conformità di prodotto rilasciati da un Organismo per (certificazione, ndr.) Prodotti istituito in uno Stato membro dell’UE e designati in conformità della normativa comunitaria applicabile, sono immediatamente validi in Grecia”.

2. In virtù del vostro (di ARX, ndr.) documento (rif. Β), presentato alla nostra Agenzia, l’Attestato di Conformità del prodotto ARX CoSign ν.7.1. (n.2/14 del 30/11/2014) che attesta la conformità ai requisiti di sicurezza di cui all’allegato III della direttiva 1999/93/CE, rilasciato dall’Organismo italiano di Certificazione della Sicurezza (OCSI).

3. OCSI è un organismo designato ai sensi dell’articolo 3(4) della direttiva 1999/93/CE e notificato ai sensi dell’Articolo 11(1), punto 1, della stessa Direttiva come l’organismo responsabile in Italia per valutare la conformità dei sistemi di firma con i requisiti dell’Allegato III della suddetta Direttiva.

4. Questa Attestazione di Conformità attesta che CoSign v.7.1, un dispositivo per la creazione di firme elettroniche, soddisfa i requisiti di sicurezza di cui all’Allegato III della Direttiva 1999/93/CE. La Attestazione di Conformità è soggetta ai termini e alle condizioni del Rapporto di Valutazione allegato alla Attestazione di Conformità ed è parte integrante ed essenziale della stessa.

Sulla base di quanto sopra, il Certificato di Conformità (rif. Β) per il prodotto ARX CoSign ν.7.1, che certifica la conformità ai requisiti per i dispositivi sicuri per la creazione di una firma, è immediatamente valido in Grecia.

La validità della Attestazione di Conformità è strettamente soggetta ai termini e alle condizioni del Rapporto di Valutazione, e l’uso del dispositivo CoSign v.7.1 deve essere conforme alle specifiche incluse nel Security Target e la Relazione di Certificazione (OCSI/CERT/IMQ/01/2011/RC ver 1.0 10 settembre 2014) (rif.a).

Per adesso, in attesa della interoperabilità dei certificati di firma figlia di eIDAS, si parte con la interoperabilità dei dispositivi di firma certificati. Grazie ad OCSI ed AgID l’Italia si porta (molto?) avanti nel processo di digitalizzazione che sta investendo l’Europa, facendo da riferimento per gli altri Paesi dell’Unione e anticipando gli obiettivi di Europa 2020.

La certificazione Common Criteria, è ancora una volta il caso di ribadirlo, assicura conformità internazionale nella gestione delle firme digitali e la massima tutela del consumatore che utilizza il dispositivo, mantenendone il controllo esclusivo. Gli standard internazionali aiutano ad armonizzare le specifiche tecniche dei prodotti e servizi per rendere le aziende più efficienti e abbattere le barriere al commercio internazionale. La conformità alle norme internazionali aiuta a rassicurare i consumatori (e di conseguenza gli Stati membri) che i prodotti sono sicuri ed efficienti.

L’Ocsi, l’Organismo di Certificazione della Sicurezza Informatica del Ministero dello Sviluppo Economico, ha rilasciato la prima certificazione di sicurezza per un dispositivo server di firma digitale remota capace di gestire milioni di firmatari: CoSign . L’Italia si piazza, così, in pole position nel processo di digitalizzazione che sta investendo l’Europa, avvicinandoci prima degli altri Paesi dell’Unione agli obiettivi di Europa 2020.

Uno “standard” interoperabile è stato raggiunto, e questo, ci auguriamo, sia solo l’inizio del “EUffetto domino” di riconoscimenti/interoperabilità.


I-PIN: SPID trust revolution

L’autenticazione è uno dei grandi temi dello sviluppo di una Europa digitale, non a caso il recente regolamento europeo emanato, eIDAS, è imperniato sui temi di Electronic identification and trust services. Nel 2015 si parlerà sempre più di fiducia in EUropa, in quanto la fiducia è alla base delle relazioni fra gli individui e fra le organizzazioni, ed è elemento cardine per la crescita. Il tema della identificazione/autenticazione per “tutte le stagioni e multi services” sta a cuore a molti, come dimostrato dai vari progetti che si sono susseguiti nel corso degli anni, dal governo di Singapore (One nation, one authentication),  a Symantec, Intel e Vasco (One device, one authentication), al progetto tutto italiano di autenticazione OTP distribuito I-Am (One person, one authentication), e ci fermiamo qui per non allungare troppo l’elenco; nel mondo del cloud, dei servizi telematici, del rapporto indiretto e intermediato dalla rete, ognuno di noi ha bisogno di farsi identificare per autenticarsi ed accedere ad un servizio.
Fino ad oggi l’identificazione è sempre avvenuta secondo lo schema “molti servizi altrettante identificazioni”, nel senso che qualsiasi fornitore di servizi in rete, che fosse una pubblica amministrazione, un fornitore di servizi finanziari, trasporti, energia, social, shopping online ecc. ecc. chiedeva, e tuttora chiede, di autenticarsi al proprio sistema secondo un proprio metodo “proprietario” di identificazione, determinando così una moltiplicazione dei sistemi di identificazione (pani) e conseguentemente di autenticazione (pesci), pressochè infinita, dalle fogge e dalle forme le più disparate, a partire dal semplice e molto poco (ormai) sicuro User ID e PWD a sistemi di autenticazione a due o tre fattori (OTP, drop call, grafo PIN, riconoscimenti biometrici, ecc.) a seconda del livello di sicurezza a cui deve rispondere il sistema di accesso al servizio.
La stessa Comunità ha adottato ECAS il servizio europeo per l’autenticazione della Commissione. Esso consente agli utenti di accedere a una vasta gamma di sistemi di informazione della Commissione, utilizzando un unico nome utente e password. Una volta che si accede, ECAS si ricorda del nostro login per tutto il tempo che resta attiva la nostra sessione di lavoro sul nostro browser, consentendo al “navigante” di poter accedere ai tanti e diversi servizi senza la necessità di effettuare nuovi ed ulteriori login.
Il 9 dicembre 2014 è stato pubblicato, in ritardo di un mese e mezzo rispetto alla firma (avvenuta il 24 ottobre 2014), il decreto attuativo del Sistema Pubblico per la gestione dell’Identità Digitale – SPID. Durante i due mesi che seguono dalla data di pubblicazione (pausa natalizia permettendo) dovranno essere emenati tre regolamenti da parte dell’Agenzia per l’Italia digitale sentito il parere del Garante della protezione dei dati personali:

2. Entro trenta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le regole tecniche e le modalità attuative per la realizzazione dello SPID.

3. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, defi nisce con proprio regolamento le modalità di accreditamento dei soggetti SPID.

4. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale.

DPCM 24 ottobre 2014 – Art. 4. Ruolo dell’Agenzia

I soggetti pubblici o privati che partecipano allo SPID sono:

  1. i gestori dell’identità digitale;
  2. i gestori degli attributi qualificati;
  3. i fornitori di servizi;
  4. l’Agenzia per l’Italia digitale;
  5. gli utenti.

Il sistema ricalca/assomiglia molto a quello per il rilascio della firma elettronica qualificata: il tutto ruota intorno ai fornitori di trust services (“servizi fiduciari” nella traduzione in italiano del testo del Regolamento EiDAS) che mettono a disposizione le loro infrastrutture tecnologiche e il loro ruolo di autorità di certificazione per garantire agli utenti, che ne faranno richiesta, la propria identità certificata da un terzo affidabile e accreditato (sia come CA già accreditata presso AgID che come fornitore di identità SPID) e ai fornitori di servizi che devono autenticare fare accedere un utente, che “io” sia veramente “io”. Gli identity provider (i gestori dell’identità digitale, ndr.) che partono nella fase pilota iniziale sono le CA Infocert, Poste Italiane e Telecom Italia.

Gli identity provider identificano, certificano e autenticano gli utenti (ai servizi dei fornitori di servizi), secondo i diversi livelli di sicurezza reputati necessari dai fornitori di servizi.

Livelli di sicurezza delle identità digitali: nel primo livello, sarà sufficiente una password, che l’utente otterrà dal gestore. Nel secondo e nel terzo livello, saranno necessarie strong authentication, autenticazioni a doppio fattore; oltre alla password statica bisognerà inserire una One Time Password generata dinamicamente da un dispositivo (uno smartphone dotato di app nel secondo livello, un dispositivo certificato nel terzo).

I gestori dell’identità digitale garantiscono che l’autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi di dotarsi di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l’autenticazione informatica (leggasi plugin, ndr.).

DPCM 24 ottobre 2014 – Art. 6. par. 3 Livelli di sicurezza delle identità digitali

I fornitori di servizi possono essere pubblici (per la fase pilota partono l’Inps, l’Inail, l’Agenzia delle Entrate, le Regioni Piemonte, Friuli, Emilia Romagna, Toscana, Marche e i Comuni di Firenze, Lecce e Milano) o privati (per adesso missing in action …).

Esistono poi i soggetti che hanno il potere di attestare attributi qualificati e renderli disponibili su SPID; sono accreditati di diritto i seguenti gestori di attributi qualificati:

  • il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi  PEC delle imprese e dei professionisti;
  • i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;
  • le camere di commercio, industria, artigianato eagricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;
  • l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi.

L’Agenzia per l’Italia Digitale:

  • accredita e vigila i gestori di identità;
  • accredita e vigila i gestori di attributi qualificati;
  • stipula convenzioni con i Gestori di identità, Gestori di attributi qualificati e Fornitori di servizi;
  • vigila sul rispetto delle convenzioni;
  • gestisce e pubblica il registro SPID contenente l’elenco dei soggetti abilitati a operare in qualità di gestori dell’identità digitale, di gestori degli attributi qualificati e di fornitori di servizi;
  • mantiene aggiornati i regolamenti attuativi;
  • coordina il pilota con l’obiettivo di emanare delle adeguate regole tecniche garantendone trasparenza e divulgazione.

Tutti i soggetti coinvolti in SPID, fatta ecccezzione per gli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel decreto e precisati nelle regole tecniche definite ed emanate dall’Agenzia, nei 60 gg. successivi alla pubblicazione del DPCM.

Il sistema SPID è speculare al sistema dei pagamenti/transazioni elettroniche online tramite carte di credito. Tutti gli esercenti (leggasi fornitori di servizi e prodotti) si appoggiano a dei circuiti di pagamento (principalmente di carte di credito) che verificano in tempo reale la validità delle carte e la disponibilità di fondi e rilasciano l’autorizzazione al pagamento (in altre parole rassicurano il venditore che il cliente che sta comprando un suo prodotto/servizio ha i soldi per pagare). Così come già esiste da tempo il terzo garante per la transazione economica (il circuito delle carte di credito), esisterà a breve un terzo garante per l’accesso ai servizi dei fornitori di servizi/esercenti.

Considerazioni finali

  • SPID è un enorme guadagno di sicurezza per tutti, consumatori e fornitori. I consumatori avranno la garanzia che le loro credenziali e i loro dati saranno gestiti dagli identity provider tramite sistemi ad alta affidabilità e sicurezza e sottoposti a vigilanza da parte di un ente pubblico (che ovviamente chiederà garanzie di accreditamento e di funzionamento). La gestione in outosorcing del processo di identificazione ed autenticazione garantirà a molti e-fornitori meno grattacapi dal punto di vista della sicurezza di accesso e tutela della privacy.
  • Il break even del sistema è rappresentato da una massa critica di utenti e di servizi che usufruiscono dei servizi SPID, che permetta di considerare il sistema pienamente operativo, di largo utilizzo e che a tendere potrà soppiantare in buona parte i sistemi proprietari di identificazione/autenticazione.
  • Non si rinviene traccia nelle comunicazioni fatte fino ad oggi di ROI (Return of Investment); immaginiamo che così come per le percentuali riscosse agli esercenti, da parte dei circuiti di carte di credito per le autorizzazioni ai pagamenti, lo stesso modello (o anche un una tantum, da rinnovare ogni x anni, così come avviene per le firme digitali) si potrà/dovrà applicare per SPID; c’è da aspettrsi a breve (non prima della conclusione della fase pilota) l’apparizione di messaggi del tipo: “ti vuoi autenticare con un’unica chiave di accesso, più sicura, unica e più pratica ad una moltitudine/vasta gamma di servizi? è facile con “SPID-ACME”, bastano pochi click e pochi euro”. Sarà da verificare se il costo di SPID lato utente lo sosterranno gli utenti oppure i fornitori di servzi.
  • Il governo parla di milioni di utenti SPID nel corso del 2015, l’utenza credo che sia inversamente proporzionale al numero di servizi che saranno accessibili tramite sistema SPID, a tal proposito il governo dovrebbe trovare il modo di agevolare l’adozione del sistema da parte anche di operatori privati (banche, assicurazioni, servizi di e-commerce, ecc.).
  • Così come per la carta e il digitale, continuerà ad esistere un interregno fra sistemi proprietari e sistema SPID, l’obiettivo, come detto, dovrà essere quello di spostare il più della identificazione/autenticazione online su SPID.

Ben arrivato SPID!

HSM certificati “crescono”

OCSI (Organismo di Certificazione della Sicurezza Informatica) ha dato notizia sul suo sito web di avere emesso il certificato relativo alla valutazione del prodotto “CoSign v7.1” della società ARX. La valutazione è stata condotta dal Laboratorio per la Valutazione della Sicurezza IMQ/LPS applicando lo standard dei Common Criteria per il livello di garanzia EAL4+ con aggiunta di AVA_VAN.5 (Advanced methodical vulnerability analysis, in pratica determina se l’ODV, Oggetto della Valutazione, nel suo ambiente operativo, ha delle vulnerabilità sfruttabili da un “attaccante informatico” in possesso di un alto potenziale di attacco). La pubblicazione del Rapporto di Certificazione è la conferma che il processo di valutazione è stato condotto in modo conforme a quanto richiesto dai criteri di valutazione Common Criteria e che nessuna vulnerabilità sfruttabile è stata trovata.

La valutazione è stata di tipo concomitante, cioè effettuata durante lo sviluppo dell’Oggetto Della Valutazione (ODV), ed è stata condotta in accordo ai requisiti stabiliti dallo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione. Il Rapporto di Certificazione deve essere consultato congiuntamente al Traguardo di Sicurezza (TDS), che specifica i requisiti funzionali e di garanzia e l’ambiente di utilizzo previsto.

Le modalità di certificazione

E’ utile ricordare che l’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:

  1. Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo  LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet già certificato (Attestato di Conformità n. 1/12). Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
  2. Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.

CoSign v. 7.1

CoSign è un dispositivo progettato per essere utilizzato come “Dispositivo sicuro di firma elettronica (Secure Signature-Creation Device, SSCD)” all’interno di un’organizzazione, fisicamente installato in un ambiente sicuro nel data-center dell’organizzazione e connesso alla rete dell’organizzazione stessa. Un singolo dispositivo può gestire in modo sicuro molti utenti, e per ogni account utente è possibile generare diverse chiavi di firma e i relativi certificati. Tre sono le tipologie di utenti autorizzati ad operare su CoSign:

  1. il Firmatario (c.d. utente semplice);
  2. l’Appliance Administrator, colui che installa il dispositivo e ne gestisce le funzionalità;
  3. lo Users Administrator, colui che gestisce gli account degli utenti.

Il Firmatario interagisce usando il modulo software “CoSign client” per eseguire la registrazione dei certificati e per effettuare le operazioni di firma. L’Amministratore interagisce con CoSign per eseguire le varie attività amministrative previste.

Ambiente operativo di CoSign:

  • OTP-Device: sono utilizzabili token Vasco compatibili con Vacman Controller oppure token che implementano l’algoritmo OATH HOTP;
  • OTP RADIUS Server: soluzione di One Time Password basata su protocollo di rete che fornisce l’autenticazione, autorizzazione e accounting (AAA) gestione centralizzata per gli utenti che si connettono e utilizzano un servizio di rete;
  • SCA: Signature Creation Application (software per la creazione della firma);
  • CEA: Certificate Enrollment Application (software per la iscrizione dei certificati di firma “lui è lui”);
  • CGA: Certificate Generation Application (software per la genenerazione dei certificati di firma “io sono io”) ;
  • Smart Card in formato Token USB per funzioni di backup

La sicurezza

Con il sistema CoSign il firmatario si collega all’HSM su canale sicuro e fornisce il suoi codici di accesso ed i dati per la firma. Il collegamento e l’intero perimetro della soluzione di firma fanno parte dell’accertamento dell’OCSI e della valutazione di sicurezza CC EAL4+.

Dal punto di vista della sicurezza, ad ogni utente è fornito un dispositivo OTP (One Time Password) univocamente identificato e univocamente associato ad un utente.

Un firmatario si autentica fornendo una password statica e una password dinamica che viene visualizzata sul display del dispositivo OTP. Quando un utente desidera firmare digitalmente un documento, il CoSign client apre una sessione utente protetta utilizzando un canale di comunicazione sicuro dedicato realizzato tramite il protocollo TLS v.1.0. Questo canale sicuro è utilizzato per ogni comunicazione tra il CoSign client e il dispositivo CoSign.

Il Traguardo di Sicurezza di CoSign permette di utilizzare CoSign in Alta Disponibilità con replica delle chiavi private del firmatario (art. 8 DPCM 22 febbraio 2013 – Regole techinice sulla firma digitale): nell’ambiente operativo è installato un solo dispositivo PRIMARY e uno o più dispositivi ALTERNATE.

Alcune delle funzioni di sicurezza implementate da CoSign  sono:

  • Controllo d’accesso: CoSign autorizza l’accesso degli utenti assegnando i diritti in base al loro ruolo: Firmatario, Appliance Administrator e User Administrator;
  • Identificazione e autenticazione: CoSign identifica univocamente e autentica gli utenti. Gli amministratori si autenticano con una password statica: per alcune operazioni, come l’attivazione dell’account e le operazioni di generazione ed uso delle chiavi crittografiche, i firmatari si autenticano, oltre che con una password statica, anche con una dinamica (One Time Password);
  • Operazioni crittografiche: CoSign permette di effettuare operazioni crittografiche, quali generazione chiavi, firma digitale, verifica della firma, oltre che di gestione di chiavi a scopo di protezione dei dati dell’utente;
  • Audit di sicurezza: CoSign registra una serie di eventi relativi alla sicurezza, permette all’Appliance Administrator di verificare i log registrati;
  • Comunicazioni sicure e gestione delle sessioni: le comunicazioni tra CoSign e RADIUS Server (server di autenticazione), tra CoSign Primary e CoSign Alternate e tra CoSign e Client avvengono in modo sicuro, garantendo la confidenzialità e l’integrità dei dati trasmessi e la separazione delle sessioni d’utente;
  • Rilevamento delle manomissioni: CoSign implementa meccanismi di verifica dell’integrità del software e anti-tampering fisico.

Riflessione “Common Buon Senso”

La certificazione è un passo molto importante fatto in direzione delle firme digitali interoperabili a livello europeo, eIDAS compliant (Electronic identification and trust services), garantito da uno standard riconosciuto da tutti a livello europeo, che può essere spesa su tutto il territorio dell’Unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. Dopo 15 anni si è conclusa in Italia la fase “fidati, te lo dico io” (autodichiarazione/autocertificazione), siamo i primi in Europa ad esserci mossi lungo il cammino della certificazione dei dispositivi di firma, confermando, almeno in questo ambito, l’italica indole di sognatori ed inventori

… ed anche un po’ sommi poeti!


EIDAS: la dematerializzazione europea interoperoperabile diventa realtà

Il Consiglio dell’Unione Europea ha adottato il 23 luglio 2014 il regolamento EIDAS – Electronic Identification and Signature (Electronic Trust Services) che stabilisce le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica (eID – Electronic IDentification), le regole guida per i servizi fiduciari per le transazioni elettroniche (eTS – Electronic Trust Services), creando così un quadro giuridico europeo per le firme elettroniche, i sigilli elettronici, marche temporali elettroniche, documenti elettronici, nonché servizi di raccomandata elettronica (l’italica PEC) e servizi di certificazione per Autenticazione web (PE-CONS 60/14; dichiarazione: 11733/14 ADD 1).

Le nuove norme sono proposte con l’intento di consentire, garantire ed estendere il regime transfrontaliero previsto per merci e persone alle transazioni elettroniche. Il regolamento si propone di garantire che persone e imprese possano utilizzare i loro regimi nazionali di identificazione elettronica (eID) per accedere ai servizi pubblici in altri paesi dell’unione in cui sono disponibili altri sitemi eID nazionali; in pratica la firma digitale fatta con certificato emesso dalla CA italiana, “appoggiato” su un dispositivo di firma certificato (Common Criteria), potrà e dovrà essere riconosciuta negli altri stati dove vige uno schema nazionale di rilascio e “tenuta” dei certificati analogo.

L’adozione finale dell’atto legislativo da parte del Consiglio fa seguito ad un accordo raggiunto in prima lettura c/o il Parlamento europeo all’inizio dell’anno. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, che dovrebbe avvenire entro i prossimi giorni.

Ma che benefici possiamo aspettarci con l’entrata in vigore di “REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC  (abrogazione della Direttiva 1999/93/EC, ndr.)?

Transazioni transfrontaliere più semplici e sicure!

Il nuovo regolamento prevede una base comune per la sicurezza delle interazioni elettroniche tra le imprese, i cittadini e le autorità pubbliche. Esso mira ad aumentare l’efficienza dell’amministrazione pubblica e dei servizi privati ​​online, del business elettronico in generale e nello specifico del commercio elettronico UE, e migliorare/aumentare la fiducia delle transazioni elettroniche nel mercato interno. Il reciproco riconoscimento dell’identificazione e autenticazione elettronica risulta essere di vitale importanza, ad esempio per rendere realtà l’assistenza sanitaria transfrontaliera dei cittadini europei.

Sistema di riconoscimento reciproco dell’identificazione elettronica!

Le nuove regole obbligano gli Stati membri a riconoscere, a determinate condizioni, gli strumenti di identificazione elettronica delle persone fisiche e giuridiche che rientrano nell’ambito di uno schema di identificazione elettronica nazionale che sia stato notificato alla Commissione. Spetta agli Stati membri scegliere se vogliono notificare tutti, alcuni o nessuno degli schemi di identificazione elettronica utilizzati a livello nazionale per accedere almeno ai servizi online pubblici o ad altri specifici servizi.

Tali norme riguardano solo aspetti transfrontalieri di identificazione elettronica, mentre rimane invariato il regime di emissione di mezzi di identificazione elettronica che resta una prerogativa nazionale.

Timeline per il riconoscimento reciproco!

Gli Stati membri che lo desiderano possono aderire al regime di mutuo riconoscimento reciproco al più presto una volta che i necessari provvedimenti di attuazione saranno emanati. Questi sono previsti per la seconda metà del 2015. Prima della definitiva entrata in vigore, il regolamento richiede un’analisi degli standard attuali e di quelli nuovi. Ci sono circa 100 standard e capire cosa serve e cosa no non è, e non sarà impresa facile.  Da ora in poi, a seguito della emanazione del regolamento, partiranno i tavoli tecnici con gli organismi di standardizzazione e gli Stati Membri.

Il riconoscimento reciproco obbligatorio è comunque previsto nella seconda metà del 2018.

Dalla firma elettronica ai servizi fiduciari!

Fino ad ora, ci sono state disposizioni comunitarie solo su firme elettroniche, stabilite dalla direttiva sulle firme elettroniche 1999/93/EC relativa ad un quadro comunitario per le firme elettroniche, che verrà abrogata nel mese di luglio 2016.

Il nuovo regolamento oltre a migliorare ed ampliare queste disposizioni, introduce anche, per la prima volta, norme a livello UE in materia di servizi fiduciari, come la creazione e la verifica di marche temporali/sigilli elettronici, servizi di posta certificata, nonché la creazione e la convalida di certificati per l’autenticazione dei siti web. Servizi fiduciari conformi al regolamento potranno “circolare” liberamente nel mercato unico. Inoltre, verrà creato un marchio di fiducia UE per identificare i servizi fiduciari che soddisfino determinati e rigorosi requisit anche se l’uso del marchio di fiducia sarà fatto su base volontaria.

In definitiva, solo fornendo certezza sulla validità giuridica e la mutualità di tutti questi servizi, le imprese e i cittadini utilizzeranno le interazioni digitali come il loro modo naturale di interagire.

eID ed ETS, hanno lo scopo di creare un contesto normativo armonizzato/prevedibile per consentire interazioni elettroniche sicure e senza soluzione di continuità tra le imprese, i cittadini e le autorità pubbliche. A tal proposito un piano d’azione in materia di firme elettroniche ed identificazioni elettroniche è stato adottato a partire dal 2008, con il chiaro obiettivo di rimuovere le barriere di interoperabilità.

“Le persone e le imprese dovrebbero essere in grado di effettuare transazioni in un mercato digitale unico senza confini, che rappresenta il valore di Internet.”

Neelie Kroes
Vice-President of the European Commission

“Da gestire per l’imprenditoria italiana il fatto che le regole UE saranno uguali per tutti gli Stati Membri. Se la cosa viene sfruttata bene possiamo avere buone chance nei confronti delle aziende estere.”

Giovanni Manca
Il “papà” della firma digitale italiana

Approvazione Rapporto Finale di Valutazione del prodotto “ARX CoSign v.7.1″

Con PEC inviata al distributore italiano della soluzione CoSign, il Ministero dello Sviluppo Economico – Istituto Superiore C.T.I. comunica che il Rapporto Finale di Valutazione prodotto dal LVS (Laboratorio di Valutazione della Sicurezza Informatica accreditato) IMQ è stato approvato dall’Organismo di Certificazione della Sicrezza Informatica (OCSI) in data 17 luglio 2014. Tale approvazione attesta che il relativo processo di valutazione di sicurezza secondo i Common Criteria si è concluso con esito positivo.

OCSI afferma che emetterà il Certificato Common Criteria e la relazione di Certificazione, entro il termine previsto (60 giorni) dallo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione.

Domani, 25 luglio 2014, scade il termine ultimo del regime delle autocertificazioni ad opera delle CA e si entra nell’era delle certificazioni dei dispositivi di firma digitale: da domani, che io firmi con una smartcard o con un dispositivo/server di firma centralizzata, requisito fondamentale sarà la certificazione del dispositivo di firma, conforme allo standard ISO/IEC 15408, meglio noto come Common Criteria, con un livello di assurance EAL 4+ (i livelli indicano quanto deve essere “robusto” il dispositivo sia a livello hardware che a livello software).

Rebus sic stantibus e riprendendo le fila della storia “La firma remota fra innovazione e sicurezza: lo stato dell’arte“, da domani, 25 luglio 2014, il mercato ha a disposizione due prodotti, che possono soddisfare qualsiasi esigenza presente e futura di firma remota:

  1. CoSign della società produttrice ARX

2. Luna® PCI Configured for Use in Luna SA 4.1 e Luna® PCI Configured for Use in Luna® SA 4.5.1 (RF) della società produttrice SafeNet

Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.

Da domani, chi non avrà a disposizione questi dispositivi per l’erogazione dei servizi di firma digitale, dovrà presentare ad AgID (Agenzia per l’Italia Digitale) un piano di migrazione verso i dispositivi di firma certificati menzionati, entro e non oltre il 10 agosto 2014 (15 giorni, ndr.). Dopodichè trascorreranno altri 6 mesi per effettuare la migrazione (febbraio 2015).

IMQ sottopone ad OCSI il suo Rapporto Finale di Valutazione sul dispositivo di firma CoSign

CoSign compie un altro passo verso la certificazione Common Criteria EAL4+ avendo completato con successo tutti i test di sicurezza hardware e software presso il laboratorio IMQ – Istituto Italiano del Marchio di Qualità, che lo scorso 25 giugno 2014 ha consegnato il report, contenente i risultati positivi dei test di sicurezza effettuati, ad OCSI (Organismo di Certificazione della Sicurezza Informatica), che gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, facente riferimento all’ente europeo CEN (European Committee for Standardization).

La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+. Il certificato, vale la pena ricordarlo, è il documento rilasciato da un organismo europeo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso del LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

L’OCSI esamina il Rapporto Finale di Valutazione (RFV) e lo utilizza come base per la produzione del Rapporto di Certificazione e del Certificato, concludendo con questo atto il processo di certificazione.

Il Rapporto di Certificazione attesta che l’LVS ha condotto la valutazione conformemente ai criteri, svolgendo tutte le attività elencate nel Piano di Valutazione (PDV) e previste per il livello di garanzia prescelto. Inoltre, le verifiche sono mirate a stabilire la correttezza e l’efficacia delle funzioni di sicurezza dichiarate nel Traguardo di Sicurezza. Di conseguenza, la certificazione può essere intesa come un giudizio sulla sicurezza dell’ODV unicamente se la si riferisce al contesto dichiarato nel Traguardo di Sicurezza.

I certificati Common Criteria (CC), con i relativi marchi e loghi, vengono forniti allo scopo di indicare ufficialmente che una particolare versione di un prodotto IT è stata valutata con successo secondo i CC, in accordo con i requisiti dello Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti IT.

Per ulteriori informazioni http://www.arx.com/blog/digital-signature-legislation/imq-submits-final-approval-of-common-criteria-eal4-certification-for-cosign-by-arx/

Storie di ordinaria inusabilità

Tante buone intenzioni e voglia di dematerializzare frustrate da un Error loading pkcs#11 criptoki library.

E’ ancora una volta il caso di ribadire il motto del blog, una tecnologia utile deve essere usabile!

Procedo ad acquistare il servizio Legalinvoice PA, “la soluzione web semplice e sicura per la fatturazione elettronica alle PA” presso il negozio online InfoCert https://ecommerce.infocert.it

Il servizio Legalinvoice PA, nella sua versione standard, include:

  • la gestione di una realtà emittente fattura, la firma digitale delle fatture elettroniche;
  • l’invio di 50 fatture elettroniche alle PA;
  • un GB di conservazione (sostitutiva, ndr.) a norma delle fatture garantita per 10 anni.

Dopo aver effettuato il pagamento “in via anticipata” con carta di credito, arriva il momento della firma del contratto per richiedere l’attivazione del Servizio Legal Invoice PA

La procedura di attivazione del servizio consente la scelta della procedura:

  1. firmare digitalmente la Richiesta di Attivazione
  2. stampare e inviare per fax la Richiesta di Attivazione

“Wow – penso io – una vera vera dematerilizzazione senza produzione di carta carta”, scelgo la procedura con firma digitale.

Mi viene richiesto di selezionare il tipo di firma digitale da usare ed io scelgo di selezionare Firma con smartcard/token, avendo una CNS (Carta Nazionale dei Servizi) della Camera di Commercio, rilasciata, coincidenza vuole, dallo stesso fornitore del servizio Legalinvoice PA.

Peccato che una volta clickato il pulsante Continua quello che mi appare è un messaggio di errore per nulla rassicurante:

la Firma però è in corso … e quindi aspetto fiducioso, ma il tempo passa inesorabile e il mio ottimismo si rivela eccessivo, e la Firma in corso … non si materializza. Cambio browser, aggiorno Java, provo a firmare un documento di prova con un client di firma per verificare che i driver del lettore funzionino, chiedo a tecnici che ne sanno più di me (“non hai la libreria PKCS#11 buona”), chiamo il call center che mi suggerisce due cose:

  1. “stampi il documento, lo firmi (con la penna, ndr.), lo scansioni, lo firmi digitalmente e ce lo rimandi” (la dematerilizzazione mezza vuota);
  2. per poter utilizzare correttamente il browser di Microsoft per la navigazione SSL (autenticazione sicura, firma su moduli online…), e’ necessario installare il modulo CSP (Cryptograpic Service Provider, il software indispensabile per l’importazione del certificato di autenticazione nello store Microsoft). I moduli CSP sono diversi, a seconda del dispositivo di firma utilizzato (per i dettagli sui dispositivi di firma, vedere la tabella delle caratteristiche generali al link https://www.firma.infocert.it/installazione/certificato3.php) (tecnologia usabile? don’t make me think?).

Installo il mdulo CSP, ma neanche questo tentativo porta alla soluzione del problema, a questo punto (trascorse già alcune ore) scrivo all’help desk descrivendogli il mio problema, ma che oltre a mandarmi una risposta automatica di generazione del mio ticket in tempi rapidissimi (qualche secondo), resta muto per 10 lunghi giorni, per risponermi ad ulteriore sollecito, che la mia richiesta è stata inoltrata al reparto competente.

Alla fine scelgo la via della stampa con firme autografe e digitale, risparmiandomi almeno l’invio via fax, sulla cui tenuta in sede di controversia giudiziale ho seri dubbi che possa “tenere botta”, vista la presenza delle calusole vessatorie, ma qui si sconfina nel campo delle ipotesi e del legale e lascio volentieri la parola a chi ne sa molto di più.

A quando la tecnologia Fisher-Sign?


6 giugno 2014: F-Day della Fatturazione Elettronica PA

Tutti pronti?

Speriamo che il mito che solo il 2% dei fornitori arriveranno pronti alla scadenza rimanga tale!

Sarebbe interessante conoscere in tempo reale i dati sul volume di invi giornalieri a SdI di modo da poter avere l’indice dello stato avanzamento adesioni/adozioni da parte degli operatori economici. Speriamo che qualcuno ci ascolti e ci faccia sapere …

Alla ricerca di indizi sul come stiamo messi: Credemtel annuncia sulla sua homepaga che lo scorso 29 maggio (2014, ndr.) ha ricevuto la conferma della prima FatturaPA inviata al Ministero della Salute mediante il suo servizio GEDFATT, ponendo l’azienda tra i primi 5 (cinque!!!) intermediari in Italia ad aver veicolato fatture elettroniche verso la PA in generale, ma tra i primi in assoluto ad averlo fatto utilizzando il formato di firma XADES.

Se qualcuno ne ha altri, di indizi, si faccia sentire …

FatturaPA questa sconosciuta? Vedasi: FatturaPA, la fatturazione elettronica verso la PA