Tag Archive for 'apparati HSM'

HSM in valutazione “crescono”

Publicato il 17 maggio 2012 Tags: , , , , , .

OCSI, Organismo di Certificazione della Sicurezza Informatica, ha aggiornato di recente l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa. Come si potrà notare dall’elenco, fra i produttori che hanno in corso un processo di Accertamento di Conformità, si è aggiunto, dallo scorso 14 marzo 2012, un nuovo produttore, portando a quattro il numero dei dispositivi di firma di tipo HSM, soggetti a valutazione.

.

.

.

Ritornando all’elenco dei dispositivi di firma, la società Thales e-Security Ltd. ha ottenuto lo scorso 11 maggio 2012 il pronunciamento positivo (da parte di OCSI, ndr.) sull’adeguatezza del TDS (Traguardo di Sicurezza). Vale la pena ricordare che le due condizioni che devono essere soddisfatte, per l’adeguatezza dei dispositivi per l’apposizione di firme elettroniche con procedure automatiche, sono:

  1. che i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI);
  2. e che alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 ottobre 2011

Proroga del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003. (11A14291) (GU n. 254 del 31-10-2011)

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto l’articolo 35 del … [omissis]

Decreta

Art. 1

1. Le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

Ancora oggi CoSign, è l’unico dispositivo ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza che la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign, ma la buona notizia è che le nebbie del far west della firma digitale automatica e centralizzata si stanno diradando ulteriormente. “Consumatori” e produttori hanno capito che la strada della certificazione è sinonimo di garanzia e sicurezza per tutti.

Lo ribadiamo, garanzie concernenti:

  • adeguatezza,
  • qualità,
  • efficacia

dei dispositivi di sicurezza di un sistema informatico possono e devono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale.

Parafrasando il titolo del romanzo per ragazzi di Louisa May Alcott …

HSM in valutazione, si diradano le nebbie dell’illegalità?

Publicato il 11 marzo 2012 Tags: , , , , , , , , , , , .

OCSI, Organismo di Certificazione della Sicurezza Informatica, ha pubblicato lo scorso 15 febbraio la notizia, in bella vista sulla sua homepage, e su richiesta delle aziende produttrici, che riporta l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa.

I dispositivi in fase di accertamento sono tre:

.

.

.

  1. CoSign della società ARX
  2. LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet
  3. nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.

La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+

Vale solo la pena ricordare che la certificazione soddisfa importanti necessità di imparzialità, oggettività, ripetibilità e riproducibilità di una valutazione condotta in base a criteri definiti, noti e riconosciuti validi. L’uso di criteri ben definiti ed internazionalmente accettati fornisce un’unità di misura (ad es. i 7 livelli di garanzia EAL nella succitata certificazione Common Criteria) per la sicurezza informatica presentando una serie di vantaggi:

  • da tempo i produttori e le CA offrono sistemi e prodotti dotati di funzionalità di sicurezza, per i quali “autodichiarano” (“oste com’é il vino?”) caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
  • in molte applicazioni caratterizzate da un elevato grado di criticità, le predette “autodichiarazioni” potrebbero risultare non sufficienti;
  • le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale;
  • chi acquista un oggetto certificato può dimostrare anche verso terzi, siano essi i “clienti”, o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza.

L’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:

  1. Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo  LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet. Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
  2. Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.

Cosa è il Certificato?

Il certificato è il documento rilasciato da un organismo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso di LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

OCSI ha previsto nella sua procedura per la Modalità 2 complessivamente 30 mesi per:

  1. l’ottenimento del Pronunciamento (Positivo o Negativo) della durata massima di 6 mesi;
  2. l’ottenimento della certificazione Common Criteria EAL4+ del prodotto sottoposto ad accertamento entro massimo 24 mesi.

Ritornando all’elenco dei dispositivi di firma di cui sopra, il primo, CoSign, è l’unico ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza (Security Target) il 13 settembre 2010 (n. prot. 59125/2010), sia la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign (n. prot. 88413/2011) secondo il Piano di Valutazione (PDV) presentato ad OCSI il 28 ottobre 2011, che pone l’HSM CoSign nella condizione di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per esso, alla medesima data (1° novembre 2011, ndr.), sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI)” così come prescitto dalla norma (DPCM 14-ottobre-2011).

Dall’elenco pubblicato da OCSI possiamo desumere quindi che:

  • un solo dispositivo (CoSign) è in regola con il DPCM 14 ottobre 2011 perché OCSI ha approvato il suo traguardo di sicurezza ed ha cominciato il processo di valutazione (certificazione)
    • Stato della Procedura: Pronunciamento positivo sull’adeguatezza del TDS rilasciato in data 13 settembre 2010 Processo di Certificazione CC avviato presso OCSI in data 31 ottobre 2011
  • un altro dispositivo (nShield Solo F3 PCIe HSM) ha cominciato la procedura il 26 ottobre 2011, solo cinque giorni prima della scadenza del DPCM 14 ottobre 2011, e se consideriamo che la prima fase della procedura in Modalità 2 prevede un tempo di sei mesi, a maggio potremmo avere qualche aggiornamento.
    • Stato della Procedura: In corso
  • un altro dispositivo (LUNA® PCI configured for use in LUNA® SA 4.1) ha cominciato la procedura l’11 aprire 2011 in Modalità 1, consistente  in una sola fase della durata massima prevista di sette mesi, ed undici mesi dopo, lo stato della procedura è ancora in corso.
    • Stato della Procedura: In corso
  • lapalissiano ed ultimo, ma non meno importante, tutti gli altri dispositivi non presenti nell’elenco, non sono in corso di Accertamento di Conformità presso OCSI stessa, tradotto in pratica, tutte le schede e/o apparati che sono “sparsi in giro” a fare firme automatiche/massive, firme digitali remote e/o qualsivoglia altra forma di firma elettronica qualificata sono furiliegge e vanno spenti … e le CA devono revocare i certificati.
    • “Stato della Procedura: Non in accertamento”

Rebus sic stantibus, è il caso di ribadire una volta ancora, che la soluzione CoSign è ad oggi l’unico dispositivo di firma HSM (Hardware Security Module) legalmente valido in Italia per la firma digitale e per la firma elettronica qualificata, essendo terminato il 1° novembre 2011 il regime transitorio che consentiva l’utilizzo di dispositivi HSM in mancanza di adeguati accertamenti di sicurezza.

Quindi: o si usa una smartcard nelle mani del titolare – e non infilata chissà dove – oppure si usa CoSign. In tutti gli altri casi non si ha una firma digitale, o firma elettronica qualificata e diventa oltremodo necessario che chi ha adottato ed usa HSM non certificati, o meglio, senza pronunciamento positivo sull’adeguatezza del TDS, smetta di offrire servizi di “Firma Digitale”, che tali non sono, in quanto impugnabili in sede di ricorso, e che espongono gli inconsapevoli “consumatori” all’invalidazione degli atti e dei documenti firmati tramite sistemi non conformi.

Un ringraziamento a Claudia Piccolo di IMQ per il suo contributo alla stesura di questo post per la parte di Certificazione CC

Quer pasticciaccio brutto de le firme digitali

Publicato il 29 gennaio 2012 Tags: , , , , , , , , .

Dalla società Itagile Srl riceviamo e volentieri pubblichiamo; questa rappresenta l’opinione di uno dei soggetti interessati. Saremo lieti naturalmente di ospitare l’opinione degli altri soggetti.

Nel suo articolo “Il pasticcio delle firme digitali” a firma di Umberto Torelli del 23 gennaio, il Corriere della Sera, per ovvie esigenze di spazio e di comunicazione giornalistica, non ha potuto fornire alcuni fatti che questo blog ha già ampiamente documentato, ma che vorrei sintetizzare, a futura memoria. Chiedo scusa in anticipo se procedo con l’accetta, ma non trovo più l’alabarda spaziale.

1. La firma digitale è una cosa utile. E’ un elemento importante della dematerializzazione, quindi produce minori costi, maggiore efficienza e maggiore sicurezza. Chi dice che in fondo non serve perché “il nostro sistema informativo è sicuro” apre la strada alla truffa.

2. La firma digitale deve essere fatta su un dispositivo sicuro altrimenti non è una firma digitale.

3. La sicurezza del dispositivo deve essere certificata da un organismo pubblico e non solamente dichiarata dal produttore altrimenti è certamente un imbroglio.

4. I dispositivi sicuri sono oggi:

    • i chip certificati EAL4+ ed utilizzati dalla mano del titolare (e non infilati chissà dove, perché questo prevede il profilo di protezione CWA 14169);
    • gli HSM conformi al DPCM 14 ottobre 2011, ovvero CoSign.

Tutto il resto non produce firme digitali e non può essere usato con certificati qualificati.

5. Non c’è nessun monopolio da parte di un produttore, l’ARX Technolgies con CoSign. Il monopolio si forma perché lo Stato decide di avere un’esclusiva (ad esempio i tabacchi) o perché ci sono barriere di ingresso che rendono impossibile ad altri l’accesso. Nel nostro caso è stato il produttore con la dimensione più piccola a superare la “barriera”, non quelli più grandi. E non è nemmeno questa gran barriera, stiamo parlando di cose standard, complicate, ma standard. Parlare di “monopolio da evitare” è quindi fuori luogo.

6. I produttori di HSM sapevano da 21 mesi della scadenza del primo novembre 2011 e sapevano cosa dovevano fare per far accertare la sicurezza del proprio dispositivo. Il governo ha operato nell’interesse di tutti i produttori e del mercato limitando i requisiti richiesti al primo novembre, pur mantenendo un ragionevole grado di sicurezza . Chi afferma di averlo saputo solo il giorno prima della scadenza mente.

7. A causa del ritardo nella pubblicazione del DPCM 14 ottobre 2011, solo dopo il 1° novembre si è chiarita la situazione. Fino a quella data gli utilizzatori potevano basarsi solo sulla parola dei produttori. E’ quindi giusto pensare ad un ragionevole periodo transitorio per consentire agli utilizzatori di HSM di mettersi in regola senza subire ulteriori danni. Ma prorogare il termine del 1° novembre sarebbe un vero e proprio provvedimento “ad aziendam”, un premio per chi se n’è infischiato della legge. Violerebbe quindi il principio della libertà e soprattuto della lealtà della concorrenza. E sarebbe una presa in giro del produttore in regola.

Concludo con una domanda: siamo proprio sicuri che sia una buona idea servire a Passera e Monti la polpetta avvelenata di una proroga “ad aziendam” ?

Gianni Sandrucci

HSM in valutazione, firme digitali valide!

Publicato il 15 dicembre 2011 Tags: , , , , , , , .

Rimane comunque davvero incomprensibile l’atteggiamento di quanti non si sono preoccupati minimamente di adeguarsi a un obbligo esistente fin dal 1999, soprattutto laddove l’OCSI si è dimostrata sempre disponibile al dialogo e a offrire il proprio supporto per la certificazione.

Andrea Lisi
Luigi Foglia
Digital&Law Department – Studio Legale Lisi
http://punto-informatico.it/3361859/PI/Commenti/hsm-non-certificato-firme-digitali-non-valide.aspx

… e disponibile, in maniera trasparente, a fare la sua parte per diradare le “nebbie” intorno a chi si sta certificando realmente.


Sistemi, Prodotti e Profili di Protezione in corso di valutazione

Sono attualmente in corso le seguenti valutazioni di prodotto, svolte applicando lo standard dei Common Criteria.

ARX CoSign

Committente: ARX

Tipologia prodotto: dispositivo di firma HSM

Livello di garanzia CC: EAL4+

http://www.ocsi.isticom.it/index.php/elenchi-certificazioni/in-corso-di-valutazione

Come dicevamo a suo tempo nel post “Giuristi del sole control, filosofi del PKCS#7 e venditori di caffèDigitPA e OCSI sono gli unici soggetti istituzionali che possono garantire, e nel caso di DigitPA, vigilare, che quanto proposto/venduto/installato sia “a norma”.

Luce verde da OCSI all’avvio del processo di valutazione e certificazione della sicurezza di Cosign Digital Signature secondo i Common Criteria EAL4+

Publicato il 14 novembre 2011 Tags: , , , , , , , , .

Continua da http://www.firma-facile.it/2010/09/29/luce-verde-da-ocsi-sul-security-target-di-cosign-digital-signature/


.

Il 1° novembre 2011, stante il DPCM del 14 ottobre 2011, è terminato il regime provvisorio che consentiva alle Certification Authority l’autocertificazione della rispondenza dei propri dispositivi HSM (Hardware Security Module) per l’apposizione di firme elettroniche con procedure automatiche ai requisiti di sicurezza Common Criteria EAL4+ definiti da OCSI (Organismo di Certificazione della Sicurezza Informatica) in apposita procedura pubblicata il 02/11/2010 sul proprio sito web.

Oggi quindi sono pienamente in regola esclusivamente gli HSM che – entro il 1° novembre 2011 – hanno ottenuto da OCSI il pronunciamento positivo sul proprio Traguardo di Sicurezza (Security Target) e, sempre alla stessa data del 1° novembre, hanno effettivamente avviato il processo di certificazione CC EAL4+ c/o OCSI, o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

Per quanto riguarda CoSign Digital Signature, il 13 settembre 2010 era stata ottenuta da OCSI l’approvazione del Security Target (n. prot. 59125/2010),

mentre lo scorso 31 ottobre 2011 è stato formalmente iscritto e avviato nello schema italiano il processo di valutazione e certificazione CC EAL4+ di CoSign (n. prot. 88413/2011): OCSI ha formalmente autorizzato il Laboratorio per la Valutazione della Sicurezza (LVS) di IMQ ad iniziare le attività di valutazione secondo il Piano di Valutazione (PDV) presentato ad OCSI il 28 ottobre 2011.

Novembre 2011 … firme massive e fatturazione elettronica, una soluzione c’è!

Publicato il 3 novembre 2011 Tags: , , , , , , , .

Come avevamo avuto modo di dire nel post dello scorso marzo 2011 “Novembre 2011 … fatturazione elettronica 404?“,

“Rebus sic stantibus, in attesa del ”parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente), nella forma delle nuove regole tecniche, da elaborare entro i 12 mesi successivi all’entrata in vigore del nuovo CAD (avvenuta a gennaio 2011, ndr.), a novembre 2011, scadendo il periodo di deroghe e dell’autocertificazione, solo i dispositivi sicuri certificati presso OCSI potranno garantire servizi di firma automatica e/o massiva funzionali alla fatturazione elettronica”.

Il legislatore, per non lasciare tutti a terra, ha pensato bene di emanare un nuovo decreto che proroga il termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza fino al 1° novembre 2013, esclusivamente però nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.


DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 ottobre 2011

Proroga del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003. (11A14291) (GU n. 254 del 31-10-2011)

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto l’articolo 35 del … [omissis]

Decreta

Art. 1

1. Le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

2. Il presente decreto non reca oneri aggiuntivi per il bilancio dello Stato.

Il presente decreto e’ inviato ai competenti organi di controllo e sara’ pubblicato nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 14 ottobre 2011

p. il Presidente del Consiglio dei Ministri
Il Ministro delegato per la pubblica amministrazione e l’innovazione
Brunetta
Il Ministro dello sviluppo economico
Romani
Il Ministro dell’economia e delle finanze
Tremonti

Ri-rebus sic stantibus, per quanto a mia conoscenza e salvo smentite da parte di OCSI (Organismo di Certificazione della Sicurezza Informatica), o di altri organismi di certificazione europei facenti riferimento al CEN (European Committee for Standardization), ad oggi, almeno un apparato HSM che si trova nella succitata condizione di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza” esiste, e risulta essere CoSign Digital Signatures.

Novembre 2011 … fatturazione elettronica 404?

Publicato il 3 marzo 2011 Tags: , , , , , , , , .

Leggendo l’art. 35 del CAD testo vigente relativo ai “Dispositivi sicuri e procedure per la generazione della firma” al comma 3 si parla di firma apposta con procedura automatica (quella “buona” per la fatturazione elettronica, per intendersi) e al successivo comma 4 si dice che i dispositivi sicuri di firma devono essere dotati di certificazione – non autocertificazione – di sicurezza ai sensi dello schema nazionale di cui al successivo comma 5, che spiega come le conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, dall’Organismo di certificazione della sicurezza informatica, meglio noto come OCSI, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione, e in Europa (successivo comma 6) da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.

Rebus sic stantibus, in attesa del ”parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente), nella forma delle nuove regole tecniche, da elaborare entro i 12 mesi successivi all’entrata in vigore del nuovo CAD (gennaio 2011), a novembre 2011, scadendo il periodo di deroghe e dell’autocertificazione, solo i dispositivi sicuri certificati presso OCSI potranno garantire servizi di firma automatica e/o massiva funzionali alla fatturazione elettronica.

Oops …

OCSI – Procedura di Accertamento dei dispositivi di firma

Publicato il 30 novembre 2010 Tags: , , , , , .

Facendo seguito alla pubblicazione lo scorso 7 ottobre 2010 del modello per l’autocertificazione dei dispositivi di firma ai fini di attestarne la rispondenza ai requisiti di sicurezza previsti dalla vigente normativa, nella giornata odierna, 30 novembre 2010, è stato pubblicato lo schema per la procedura di accertamento dei dispositivi di firma.

Con riferimento al DPCM del 10 febbraio 2010 – “Fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza”, pubblicato in G.U. del 28 aprile 2010, n. 98, viene pubblicata la Procedura di Accertamento, mediante la quale è possibile accertare la conformità di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dalla direttiva 1999/93/CE sulla firma elettronica.

Per ulteriori info:
http://www.ocsi.isticom.it/index.php/dispositivi-di-firma/procedura-di-accertamento
http://www.firma-facile.it/2010/09/23/autodichiarazione-autocertificazione-certificazione/

Common Criteria EAL4+, precisazioni

Publicato il 4 ottobre 2010 Tags: , , , , , , , .

Il tema è molto complesso, ma prima di affrontarlo è utile ribadire un concetto già espresso: DigitPA e OCSI sono gli unici soggetti istituzionali che possono garantire che quanto venduto sia “a norma”.

In particolare l’OCSI (Organismo di Certificazione della Sicurezza Informatica) gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione; tale Schema Nazionale è stato istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004). L’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico – Comunicazioni, a cui fa capo l’OCSI, è, per decreto, l’Organismo di Certificazione della Sicurezza Informatica nel settore della tecnologia dell’informazione. L’OCSI agisce in conformità agli standard internazionali ISO/IEC IS-15408 (Common Criteria) e ai criteri europei ITSEC e ITSEM. L’OCSI ha predisposto, e predispone, le Linee Guida per la conduzione dei processi di valutazione e certificazione.

Per le precisazioni sui Common Criteria riporto qui di seguito, con l’autorizzazione degli autori, due commenti apparsi su ”firma-facile”, che spero aiutino a districarsi nel complesso mondo della certificazione Common Criteria.

Gianni Sandrucci
2 ottobre 2010 at 07:04
http://www.firma-facile.it/2010/09/29/luce-verde-da-ocsi-sul-security-target-di-cosign-digital-signature/#comment-47

Tutte le certificazioni CC EAL4+ ottenute da alcune schede HSM non sono valide per la legge italiana ai fini della sottoscrizione di documenti, e quindi tutte le soluzione di firma basate su HSM (incluso CoSign Digital Signature) sono quindi “legali” grazie ad un regime transitorio che finirà a novembre 2011 (http://www.firma-facile.it/2010/09/23/autodichiarazione-autocertificazione-certificazione/).

Perché non sono valide? Perché ottenute in base ad un Protection Profile che la Commissione Europea ha giudicato buono solamente per i servizi delle CA e non per la sottoscrizione dei documenti. E la legge italiana richiama appunto la decisione della Commissione Europea.

Se un fornitore di soluzioni basate su HSM dichiara che il suo prodotto è buono per firmare documenti perché ha una certificazione CC EAL4+, dimenticandosi di dire che è sul Protection Profile sbagliato, fa intendere una cosa che non è vera (per usare un eufemismo). E non è vera nella sostanza dei requisiti di sicurezza necessari per la firma digitale dei documenti.

Per i cultori della materia riporto sotto gli stralci della normativa a cui faccio riferimento:

Articolo 9 DPCM 30 marzo 2009
——————————

4. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma prevista dall’art. 35 del codice e’ effettuata secondo criteri non inferiori a quelli previsti:

a) dal livello EAL 4+ in conformita’ ai Profili di Protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;

b) dal livello EAL 4+ della norma ISO/IEC 15408, in conformita’ ai Profili di Protezione o traguardi di sicurezza giudicati adeguati ai sensi dell’art. 35, commi 5 e 6 del codice, e successive modificazioni.

Decisione della Commissione europea 14 luglio 2003
—————————————————

A. List of generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex II f to Directive 1999/93/EC

— CWA 14167-1 (March 2003): security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements

— CWA 14167-2 (March 2002): security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO-PP)

B. List of the generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex III to Directive 1999/93/EC

— CWA 14169 (March 2002): secure signature-creation devices.

Annex II della direttiva 1999/93/EC
————————————

Requisiti relativi ai prestatori di servizi di certificazione che rilasciano certificati qualificati (quindi sono requisiti per firmare i certificati)

Annex III della direttiva 1999/93/EC
————————————-

Requisiti relativi ai dispositivi per la creazione di una firma sicura

1. I dispositivi per la creazione di una firma sicura, mediante mezzi tecnici e procedurali appropriati, devono garantire almeno che:

a) i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta e che è ragionevolmente garantita la loro riservatezza;

b) i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l’impiego di tecnologia attualmente disponibile;

c) i dati per la creazione della firma utilizzati nella generazione della stessa sono sufficientemente protetti dal firmatario legittimo contro l’uso da parte di terzi.

2. I dispositivi per la creazione di una firma sicura non devono alterare i dati da firmare né impediscono che tali datisiano presentati al firmatario prima dell’operazione di firma.

Giovanni Manca
2 ottobre 2010 at 18:12
http://www.firma-facile.it/2010/09/29/luce-verde-da-ocsi-sul-security-target-di-cosign-digital-signature/#comment-49

Il Dott. Sandrucci ha ragione. La Certificazione CC non è sufficiente. Anche l’Ing. Valle dice delle cose vere ma la lettura della decicision of the commssion del luglio 2003 va fatta in ottica CC. Ciò significa cher il Protection profile CWA14169 è solo per smart card, il CWA 14167-2 è per HSM monochiave. Ricordo anche (ma i colleghi sono esperti) che un oggetto certificato perde la propria certificazione se utilizzato fuori dal Protection Profile.

Il tema è molto complesso …

Terrò un intervento sul tema a Omat Roma 2010  e spero di fare chiarezza. TUTTI tengano in conto che la mia posizione è in linea con quella di OCSI e di DigitPA.

Luce verde da OCSI sul Security Target di CoSign Digital Signature

Publicato il 29 settembre 2010 Tags: , , , , , , , , , , .

.

Correva il mese di febbraio 2010 allorquando ARX (Algorithmic Research) e IMQ, rispettivamente il produttore dell’apparato CoSign Digital Signature e il laboratorio che fornisce la necessaria consulenza e attività di valutazione di sicurezza ai fini della certificazione Common Criteria, hanno consegnato la documentazione per la certificazione CC EAL4+ all’OCSI (Organismo di Certificazione della Sicurezza Informatica)

Lo scorso 13 settembre 2010 OCSI ha formalmente comunicato (Prot. n. 0059125 – 13/09/2010 – USCITA) ad ARX (Algorithmic Research) che il Security Target dell’apparato CoSign risulta adeguato a soddisfare i requisiti dell’allegato III della direttiva europea sulla firma digitale.

Nella sua comunicazione l’OCSI afferma che ci sono i “presupposti per il proseguimento della procedura di accertamento” del dispositivo CoSign® di ARX (Algorithmic Research), di cui il Laboratorio di Valutazione della Sicurezza (LVS) di IMQ ha esaminato il Security Target, dando evidenza della sua conformità, in particolare, ai requisiti dell’allegato III della direttiva europea sulla firma digitale. 



Tale evidenza consente l’avvio delle pratiche per la valutazione e certificazione di sicurezza di CoSign® secondo i Common Criteria al livello di garanzia EAL4 (AVA_VAN.5).

Per la prima volta una soluzione di firma digitale di tipo HSM viene formalmente giudicata certificabile per l’utilizzo della firma digitale in Italia. E’ quindi possibile uscire dalla fase di incertezza determinata dal regime transitorio delle autodichiarazioni che terminerà a novembre 2011, allorquando i servizi di firma digitale remota potranno essere erogati solo con apparati HSM certificati.