Tag Archive for 'dispositivi di firma digitale'

HSM certificati “crescono”

OCSI (Organismo di Certificazione della Sicurezza Informatica) ha dato notizia sul suo sito web di avere emesso il certificato relativo alla valutazione del prodotto “CoSign v7.1” della società ARX. La valutazione è stata condotta dal Laboratorio per la Valutazione della Sicurezza IMQ/LPS applicando lo standard dei Common Criteria per il livello di garanzia EAL4+ con aggiunta di AVA_VAN.5 (Advanced methodical vulnerability analysis, in pratica determina se l’ODV, Oggetto della Valutazione, nel suo ambiente operativo, ha delle vulnerabilità sfruttabili da un “attaccante informatico” in possesso di un alto potenziale di attacco). La pubblicazione del Rapporto di Certificazione è la conferma che il processo di valutazione è stato condotto in modo conforme a quanto richiesto dai criteri di valutazione Common Criteria e che nessuna vulnerabilità sfruttabile è stata trovata.

La valutazione è stata di tipo concomitante, cioè effettuata durante lo sviluppo dell’Oggetto Della Valutazione (ODV), ed è stata condotta in accordo ai requisiti stabiliti dallo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione. Il Rapporto di Certificazione deve essere consultato congiuntamente al Traguardo di Sicurezza (TDS), che specifica i requisiti funzionali e di garanzia e l’ambiente di utilizzo previsto.

Le modalità di certificazione

E’ utile ricordare che l’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:

  1. Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo  LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet già certificato (Attestato di Conformità n. 1/12). Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
  2. Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.

CoSign v. 7.1

CoSign è un dispositivo progettato per essere utilizzato come “Dispositivo sicuro di firma elettronica (Secure Signature-Creation Device, SSCD)” all’interno di un’organizzazione, fisicamente installato in un ambiente sicuro nel data-center dell’organizzazione e connesso alla rete dell’organizzazione stessa. Un singolo dispositivo può gestire in modo sicuro molti utenti, e per ogni account utente è possibile generare diverse chiavi di firma e i relativi certificati. Tre sono le tipologie di utenti autorizzati ad operare su CoSign:

  1. il Firmatario (c.d. utente semplice);
  2. l’Appliance Administrator, colui che installa il dispositivo e ne gestisce le funzionalità;
  3. lo Users Administrator, colui che gestisce gli account degli utenti.

Il Firmatario interagisce usando il modulo software “CoSign client” per eseguire la registrazione dei certificati e per effettuare le operazioni di firma. L’Amministratore interagisce con CoSign per eseguire le varie attività amministrative previste.

Ambiente operativo di CoSign:

  • OTP-Device: sono utilizzabili token Vasco compatibili con Vacman Controller oppure token che implementano l’algoritmo OATH HOTP;
  • OTP RADIUS Server: soluzione di One Time Password basata su protocollo di rete che fornisce l’autenticazione, autorizzazione e accounting (AAA) gestione centralizzata per gli utenti che si connettono e utilizzano un servizio di rete;
  • SCA: Signature Creation Application (software per la creazione della firma);
  • CEA: Certificate Enrollment Application (software per la iscrizione dei certificati di firma “lui è lui”);
  • CGA: Certificate Generation Application (software per la genenerazione dei certificati di firma “io sono io”) ;
  • Smart Card in formato Token USB per funzioni di backup

La sicurezza

Con il sistema CoSign il firmatario si collega all’HSM su canale sicuro e fornisce il suoi codici di accesso ed i dati per la firma. Il collegamento e l’intero perimetro della soluzione di firma fanno parte dell’accertamento dell’OCSI e della valutazione di sicurezza CC EAL4+.

Dal punto di vista della sicurezza, ad ogni utente è fornito un dispositivo OTP (One Time Password) univocamente identificato e univocamente associato ad un utente.

Un firmatario si autentica fornendo una password statica e una password dinamica che viene visualizzata sul display del dispositivo OTP. Quando un utente desidera firmare digitalmente un documento, il CoSign client apre una sessione utente protetta utilizzando un canale di comunicazione sicuro dedicato realizzato tramite il protocollo TLS v.1.0. Questo canale sicuro è utilizzato per ogni comunicazione tra il CoSign client e il dispositivo CoSign.

Il Traguardo di Sicurezza di CoSign permette di utilizzare CoSign in Alta Disponibilità con replica delle chiavi private del firmatario (art. 8 DPCM 22 febbraio 2013 – Regole techinice sulla firma digitale): nell’ambiente operativo è installato un solo dispositivo PRIMARY e uno o più dispositivi ALTERNATE.

Alcune delle funzioni di sicurezza implementate da CoSign  sono:

  • Controllo d’accesso: CoSign autorizza l’accesso degli utenti assegnando i diritti in base al loro ruolo: Firmatario, Appliance Administrator e User Administrator;
  • Identificazione e autenticazione: CoSign identifica univocamente e autentica gli utenti. Gli amministratori si autenticano con una password statica: per alcune operazioni, come l’attivazione dell’account e le operazioni di generazione ed uso delle chiavi crittografiche, i firmatari si autenticano, oltre che con una password statica, anche con una dinamica (One Time Password);
  • Operazioni crittografiche: CoSign permette di effettuare operazioni crittografiche, quali generazione chiavi, firma digitale, verifica della firma, oltre che di gestione di chiavi a scopo di protezione dei dati dell’utente;
  • Audit di sicurezza: CoSign registra una serie di eventi relativi alla sicurezza, permette all’Appliance Administrator di verificare i log registrati;
  • Comunicazioni sicure e gestione delle sessioni: le comunicazioni tra CoSign e RADIUS Server (server di autenticazione), tra CoSign Primary e CoSign Alternate e tra CoSign e Client avvengono in modo sicuro, garantendo la confidenzialità e l’integrità dei dati trasmessi e la separazione delle sessioni d’utente;
  • Rilevamento delle manomissioni: CoSign implementa meccanismi di verifica dell’integrità del software e anti-tampering fisico.

Riflessione “Common Buon Senso”

La certificazione è un passo molto importante fatto in direzione delle firme digitali interoperabili a livello europeo, eIDAS compliant (Electronic identification and trust services), garantito da uno standard riconosciuto da tutti a livello europeo, che può essere spesa su tutto il territorio dell’Unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. Dopo 15 anni si è conclusa in Italia la fase “fidati, te lo dico io” (autodichiarazione/autocertificazione), siamo i primi in Europa ad esserci mossi lungo il cammino della certificazione dei dispositivi di firma, confermando, almeno in questo ambito, l’italica indole di sognatori ed inventori

… ed anche un po’ sommi poeti!


La firma elettronica avanzata non è un prodotto, bensì un processo

E’ il caso, ancora una volta, di ribadirlo!

Volendo essere pragmatici, la Firma Elettronica Avanzata non è LA tavoletta grafica di firma, meglio nota come tablet di firma, bensì un processo che deve essere conforme ai vincoli contenuti nel Titolo V delle Regole Tecniche dedicato specificatamente alla Firma Elettronica Avanzata.

La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Art. 55 comma 1- Disposizioni generali
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...]

Sull’onda del primo comma dell’articolo 55 su riportato, si è aperto un nuovo “mercato di firme” elettroniche, sostenuto da una forte spinta generata dai produttori/rivenditori di tablet di firma, a loro volta sospinti da una clientela alla ricerca di soluzioni elettroniche di firma USABILI, che ha visto in prima fila gli operatori finanziari (banche e assicurazioni). Nelle more della pubblicazione delle regole tecniche, si è ahimè assitito ad un fiorire di proposte dalla dematerilizzazione facile, che molto, troppo spesso, hanno cavalcato l’onda lunga (durata due lunghissimi anni, vedasi a tal proposito: Habemus DPCM 22 febbraio 2013) dell’incertezza e del poco definito, per vendere soluzioni software e/o hardware dalla dubbia (per non dire altro) validità.

Fatta la doverosa premessa e ciò nonostante, la firma biometrica, meglio nota come firma grafometrica (la firma su tablet che raccoglie/calcola ritmo, velocità, pressione, accelerazione, movimento del gesto di firma), se opportunamente progettata può essere una Firma Elettronica Avanzata, venendoci così a trovare di fronte ad una FEA basata su tecnologie grafometriche.

La firma grafometrica basa la sua solidità su quattro pilastri:

  1. la tecnologia della tavoletta;
  2. la sicurezza nella protezione del dato biometrico;
  3. la sicurezza nella gestione della chiave di protezione (master key) del dato biometrico;
  4. la qualità del tool forensic (grafologia).

I punti suesposti si devono armonizzare con elementi organizzativi e di processo che definiscono gli ambiti entro i quali si sta parlando, e rendendo valida, la fattispecie Firma Elettronica Avanzata, secondo quanto disposto dagli articoli 56 (Caratteristiche delle soluzioni di firma elettronica avanzata) e 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata) delle succitate regole tecniche.

Dato che, come abbiamo visto, la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva, l’onere della prova che quella utilizzata è “assolutamente una Firma Elettronica Avanzata”, ricade in capo a chi la realizza e conseguentemente a chi la propone. La fattispecie, come abbiamo visto, è fresca di Gazzetta Ufficiale, non esiste quindi prassi consolidata che definisca in maniera chiara ed inequivocabile quale sia la FEA buona e quella non buona, o quella così e così, ergo, per poterla confezionare/valutare nel migliore dei modi, a prova di possibile disconoscimento in sede giudiziaria (“signor giudice, mi dispiace ma quella con cui ha firmato il mio cliete non è una FEA!”), oltre alla diligenza e al buon senso del buon padre di famiglia, è il caso di rivolgersi ad autorità ed enti che siano in grado di guidare noi tutti (fornitori e consumatori) nel nostro “viaggio elettronico avanzato”.

E’ notizia di questi giorni il parere n. 396 del 12 settembre 2013 del Garante per la protezione dei dati personali (autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy – legge 31 dicembre 1996, n. 675) riguardante il sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da banca Fineco Bank S.p.A. “società operante esclusivamente online e tramite promotori finanziari dislocati su tutto il territorio nazionale di volersi dotare di un sistema (di firma grafometrica, ndr.) in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca”.

Il processo che Fineco ha intenzione di adottare si basa su una soluzione di firma grafometrica sviluppata da Namirial S.p.A. (organismo di certificazione accreditato presso l’Agenzia per l’Italia Digitale) che ha ricevuto la certificazione ISO 27001 per Impostare e Gestire un Sistema di Gestione della Sicurezza delle Informazioni (certificazione espressamente richiesta ex art. 58 delle Regole tecniche – Obblighi per i soggetti che realizzano per terzi soluzioni di firma elettronica avanzata) e su un “Archivio di conservazione a norma” di In.TE.SA. S.p.A. (organismo di certificazione accreditato anch’esso presso l’Agenzia per l’Italia Digitale, incaricato della gestione documentale e nello specifico responsabile della conservazione).

Il processo consta delle seguenti fasi:

  1. i promotori finanziari collaboratori della Banca illustrano al cliente le modalità di fruizione del servizio di “firma grafometrica”;
  2. il servizio verrebbe attivato su base esclusivamente volontaria, previa acquisizione del libero consenso informato di questi ultimi (ove il cliente non intendesse fornire il proprio consenso al trattamento, ovvero lo abbia successivamente revocato, i documenti resteranno sottoscrivibili secondo “il processo tradizionale” di firma su carta);
  3. il promotore rilascia la prevista Informativa ex art. 13 del Codice della Privacy e acquisisce il relativo consenso in caso di adesione al servizio;
  4. il promotore sottopone al cliente (previamente identificato) il documento in formato elettronico;
  5. il cliente appone la “firma grafometrica” su un dispositivo hardware in grado di acquisire i dati biometrici contestualmente all’atto di apposizione della firma;
  6. i dati biometrici cifrati (e “sigillati elettronicamente all’interno del documento informatico cui si riferiscono”) e il tratto grafico della firma sono inseriti in appositi campi del documento registrato in formato pdf;
  7. sono generate una serie di stringhe hash per la successiva verifica dell’integrità della firma e dei documenti acquisiti in formato elettronico;
  8. il documento informatico sottoscritto viene inviato tramite canali sicuri al “Sistema documentale di Fineco” e all’”Archivio di conservazione a norma” di In.TE.SA. S.p.A. per la relativa conservazione;
  9. il cliente riceve una copia cartacea del documento sottoscritto con “firma grafometrica” o, in alternativa, il duplicato informatico via posta elettronica.

In nessuno caso i dati biometrici del firmatario avrebbero “residenza”, nemmeno temporaneamente, all’interno dei “tablet” e, una volta incorporati nel documento, verrebbero “cancellati e sovrascritti dalla memoria del computer”, non risultando conseguentemente visualizzabili né dai promotori finanziari, né da In.TE.SA S.p.A., né, tantomeno, da Fineco Bank S.p.A. e da Namirial S.p.A.

La decifrazione dei dati biometrici e il relativo accesso “in chiaro” sarebbero consentiti “esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti” (tipicamente riconducibili a ipotesi di contenzioso legate al disconoscimento della firma); in tale evenienza, Namirial S.p.A. metterebbe a disposizione del perito calligrafico nominato dall’autorità giudiziaria un apposito strumento (denominato “FirmaCerta Forense”) che consentirà di gestire la procedura di decriptazione secondo elevati standard di sicurezza, garantendo che le operazioni di “cifratura e decifratura [si svolgano] contestual[ment]e […] all’apertura e alla chiusura della perizia”.

Le valutazioni del Garante della protezione dei dati personali (a tutti noto come Garante della Privacy) stabiliscono (fra le altre) che:

  • sotto il profilo della sicurezza dei dati trattati, si può ritenere che l’insieme degli accorgimenti adottati nell’intero processo di gestione dei dati biometrici degli interessati costituiscano, nel complesso, misure di sicurezza che, sulla base delle attuali conoscenze, possono essere ritenute idonee;
  • il metodo di sottoscrizione biometrica può risultare funzionale, anche a garanzia del cliente della banca, in vista di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale, fornendo possibili elementi di valutazione utili anche in sede giudiziaria, in virtù del fatto che l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti. In altri termini, la Firma Elettronica Avanzata garantisce maggiormente il consumatore da frodi;
  • la riservatezza dei dati biometrici durante la fase di raccolta si basa, oltre che sulla robustezza del processo, anche sulla sicurezza dei dispositivi, aspetto sul quale la banca dovrà porre la massima attenzione garantendone l’uso esclusivo, nell’ambito del processo di specie, ai soli utenti (promotori finanziari) abilitati al relativo utilizzo.

In conclusione il Garante accoglie l’istanza di verifica preliminare presentata da Fineco Bank S.p.A., a condizione che:

1. Fineco Bank S.p.A., qualora non vi abbia già provveduto, adotti gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati:

    • idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware);
    • un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro. In particolare, dovranno risultare disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi;
    • adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico;

2. Fineco Bank S.p.A. si faccia rilasciare e conservi l’attestato di conformità di cui alla regola 25 – Misure di tutela e garanzia – dell’Allegato “B” del Codice (Disciplinare tecnico in materia di misure minime di sicurezza);

3. Fineco Bank S.p.A. osservi effettivamente tutti gli obblighi che, nel corso del procedimento, si è impegnata a rispettare (repetita iuvant) e quelli ulteriori eventualmente gravanti sulla base della disciplina vigente;

4. il processo venga effettuato con le modalità indicate e per le sole finalità dichiarate.

… per le sole finalità dichiarate …


Fatta una legge, non applicata, se ne fa un’altra … in via definitiva!


.
[...]
RITENUTO il termine del 1° novembre 2011 previsto dall’articolo 1 del citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, non congruo in relazione alla complessità della procedura di accertamento di conformità dei dispositivi automatici di firma ai requisiti di sicurezza;
CONSIDERATO  che l’applicazione delle disposizioni di cui al citato articolo 1 potrebbe avere un significativo impatto sui servizi assicurati dell’utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministraioni ed enti pubblici;
[...]
DPCM del 19 luglio 2012.

Ritenuto non congruo e considerato che potrebbe avere … interessante questo nuovo DPCM.

Qualcuno lo ha ribatezzato il “decreto Salva – HSM“, io lo ribattezzerei il decreto per salvare quelli che non rispettano le leggi.

Sui termini non congrui rimanderei alla lettura del post “Italia, terra di santi, poeti, navigatori, inventori e … cialtroni?“, dove a fronte degli allarmismi registrati sugli organi di stampa di settore e non, a ridosso (ottobre 2011) dell’entrata in vigore del DPCM “ritenuto non congruo”, veniva fatta una analisi storica dei fatti succedutisi nell’arco di 10 anni ed in particolare degli ultimi due anni (febbraio 2010 – novembre 2011), che dimostra invece l’esatto contratio, ovverosia la conguità dei tempi messi a disposizione da parte del legislatore verso tutti i protagonisti della “storia” della certificazione degli HSM in Italia.

Sulla non congruità, in relazione alla complessità della procedura di accertamento, come ulteriore spunto, suggerirei, anche al Ministro Profumo, di verificare i tempi intercorrenti fra la “Data di attivazione della Procedura” e il “Pronunciamento positivo (da parte dell’OCSI) sull’adeguatezza del TDS”, che nei casi dove l’iter si è completato, il tempo trascorso è rimasto abbondantemente all’interno dell’anno (7 mesi per entrambi i produttori, ARX e Thales e-Security Ltd.), anno che il legislatore aveva messo a disposizione dei produttori per avviare la procedura di certificazione, all’indomani della pubblicazione della stessa da parte di OCSI (luglio 2010).

Sul si “potrebbe avere un significativo impatto sui servizi assicurati dall’utilizzo dei dispositivi automatici di firma”, il decreto della Presidenza del Consiglio dei Ministri, che modfica un  precedente proprio decreto sullo stesso tema, “si dimentica”  (ignorantia legis non excusat) della applicazione e vigenza di una legge dello Stato. Il dettato del DPCM 14 ottobre 2011, ad oggi ancora in vigore, recita in maniera chiara, e contenuta in un unico e non troppo lungo articolo (il numero 1), che potranno essere utilizzati solo gli HSM che “abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme”.

E tutti gli altri? Erano/sono da spegnere, fino al soddisfacimento delle due condizioni necessarie e sufficienti di cui sopra, utili alla riaccensione. Per fare un parallelo, è come se alla data in cui scadeva il termine per dotarsi di marmitta catalitica sul proprio mezzo di trasporto meccanico, i produttori non avessero prodotto vetture con marmitta catalitica, infischiandosene della normativa, e da parte degli automobilisti non in regola si fossero addotte scuse e motivazioni del tipo “non sapevo che ci fosse un termine, sicuramente ci dovrà essere una proroga”, “questo termine potrebbe avere un significativo impatto sui servizi di trasporto!”.

La storia drammatica della mancata applicazione della legge è sotto gli occhi di tutti noi nei recenti fatti dell’ILVA di Taranto.

Altro passaggio interessante: “CONSIDERATA pertanto, l’esigenza, sempre in relazione alle ragioni sopra evidenziate (non conguità e potrebbe avere, ndr.) di stabilire in via definitiva … “, ma perchè, prima c’era qualcosa di poco defintivo? Forse il precedente DPCM era uno scherzo, una burla, manca/mancava di effettività?

L’art. 2 del DPCM 19 luglio 2012 parla di emissione di nuove chiavi crittografiche afferenti a certificati qualificati solo dopo aver ottenuto per i relativi dispositivi il pronunciamento positivo sull’adeguatezza del TDS da parte di OCSI; nelle more del mancato pronunciamento chi controlla e vigila che venga rispettata in maniera “seria e definitiva” la legge? L’Agenzia per l’Italia Digitale, ieri DigitPA e l’altro ieri CNIPA ha censito gli apparati che fanno firme automatiche, è in grado di sapere chi si deve adeguare e definire la scaletta, certificatore per certificatore, utilizzatore (del dispositivo) per utilizzatore, dei termini per essere in regola?

Infine la conclusione. L’art. 5 che stabilisce in maniera definitiva (forse) che “scaduti i termini stabiliti nel presente decreto, le dichiarazioni già rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano DEFINITIVAMENTE di avere efficacia.

Sarà vero? Noi speriamo che ce la caviamo.

HSM in valutazione, si diradano le nebbie dell’illegalità?

OCSI, Organismo di Certificazione della Sicurezza Informatica, ha pubblicato lo scorso 15 febbraio la notizia, in bella vista sulla sua homepage, e su richiesta delle aziende produttrici, che riporta l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa.

I dispositivi in fase di accertamento sono tre:

.

.

.

  1. CoSign della società ARX
  2. LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet
  3. nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.

La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+

Vale solo la pena ricordare che la certificazione soddisfa importanti necessità di imparzialità, oggettività, ripetibilità e riproducibilità di una valutazione condotta in base a criteri definiti, noti e riconosciuti validi. L’uso di criteri ben definiti ed internazionalmente accettati fornisce un’unità di misura (ad es. i 7 livelli di garanzia EAL nella succitata certificazione Common Criteria) per la sicurezza informatica presentando una serie di vantaggi:

  • da tempo i produttori e le CA offrono sistemi e prodotti dotati di funzionalità di sicurezza, per i quali “autodichiarano” (“oste com’é il vino?”) caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
  • in molte applicazioni caratterizzate da un elevato grado di criticità, le predette “autodichiarazioni” potrebbero risultare non sufficienti;
  • le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale;
  • chi acquista un oggetto certificato può dimostrare anche verso terzi, siano essi i “clienti”, o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza.

L’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:

  1. Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo  LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet. Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
  2. Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.

Cosa è il Certificato?

Il certificato è il documento rilasciato da un organismo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso di LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

OCSI ha previsto nella sua procedura per la Modalità 2 complessivamente 30 mesi per:

  1. l’ottenimento del Pronunciamento (Positivo o Negativo) della durata massima di 6 mesi;
  2. l’ottenimento della certificazione Common Criteria EAL4+ del prodotto sottoposto ad accertamento entro massimo 24 mesi.

Ritornando all’elenco dei dispositivi di firma di cui sopra, il primo, CoSign, è l’unico ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza (Security Target) il 13 settembre 2010 (n. prot. 59125/2010), sia la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign (n. prot. 88413/2011) secondo il Piano di Valutazione (PDV) presentato ad OCSI il 28 ottobre 2011, che pone l’HSM CoSign nella condizione di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per esso, alla medesima data (1° novembre 2011, ndr.), sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI)” così come prescitto dalla norma (DPCM 14-ottobre-2011).

Dall’elenco pubblicato da OCSI possiamo desumere quindi che:

  • un solo dispositivo (CoSign) è in regola con il DPCM 14 ottobre 2011 perché OCSI ha approvato il suo traguardo di sicurezza ed ha cominciato il processo di valutazione (certificazione)
    • Stato della Procedura: Pronunciamento positivo sull’adeguatezza del TDS rilasciato in data 13 settembre 2010 Processo di Certificazione CC avviato presso OCSI in data 31 ottobre 2011
  • un altro dispositivo (nShield Solo F3 PCIe HSM) ha cominciato la procedura il 26 ottobre 2011, solo cinque giorni prima della scadenza del DPCM 14 ottobre 2011, e se consideriamo che la prima fase della procedura in Modalità 2 prevede un tempo di sei mesi, a maggio potremmo avere qualche aggiornamento.
    • Stato della Procedura: In corso
  • un altro dispositivo (LUNA® PCI configured for use in LUNA® SA 4.1) ha cominciato la procedura l’11 aprire 2011 in Modalità 1, consistente  in una sola fase della durata massima prevista di sette mesi, ed undici mesi dopo, lo stato della procedura è ancora in corso.
    • Stato della Procedura: In corso
  • lapalissiano ed ultimo, ma non meno importante, tutti gli altri dispositivi non presenti nell’elenco, non sono in corso di Accertamento di Conformità presso OCSI stessa, tradotto in pratica, tutte le schede e/o apparati che sono “sparsi in giro” a fare firme automatiche/massive, firme digitali remote e/o qualsivoglia altra forma di firma elettronica qualificata sono furiliegge e vanno spenti … e le CA devono revocare i certificati.
    • “Stato della Procedura: Non in accertamento”

Rebus sic stantibus, è il caso di ribadire una volta ancora, che la soluzione CoSign è ad oggi l’unico dispositivo di firma HSM (Hardware Security Module) legalmente valido in Italia per la firma digitale e per la firma elettronica qualificata, essendo terminato il 1° novembre 2011 il regime transitorio che consentiva l’utilizzo di dispositivi HSM in mancanza di adeguati accertamenti di sicurezza.

Quindi: o si usa una smartcard nelle mani del titolare – e non infilata chissà dove – oppure si usa CoSign. In tutti gli altri casi non si ha una firma digitale, o firma elettronica qualificata e diventa oltremodo necessario che chi ha adottato ed usa HSM non certificati, o meglio, senza pronunciamento positivo sull’adeguatezza del TDS, smetta di offrire servizi di “Firma Digitale”, che tali non sono, in quanto impugnabili in sede di ricorso, e che espongono gli inconsapevoli “consumatori” all’invalidazione degli atti e dei documenti firmati tramite sistemi non conformi.

Un ringraziamento a Claudia Piccolo di IMQ per il suo contributo alla stesura di questo post per la parte di Certificazione CC

Firme digitali remote, chi garantisce e vigila?

Come avevamo avuto modo di raccontare nel post “Mi metta una firma qui e poi un’altra qui sotto, grazie” la firma digitale remota si è “mossa”, e fra i primi a muoversi, di cui esiste una evidenza mediatica, c’erano e ci sono le banche (l’elenco è in ordine di apparizione temporale, ndr.):

1

Banca Intesa San Paolo, prima fra tutte a muoversi a giugno 2010 con O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”;

2

nel 2011 si sono “mosse” Banca Sella con SellaDigit, la “tua firma digitale” pratica e semplice da usare per i clienti di Banca Sella, che non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!” e …

3

Deutsche Bank con db Identity Business, la nuova soluzione per il banking on-line, che grazie alla combinazione dei più recenti sistemi di sicurezza informatica, OTP token (generatore di codici di protezione dinamici), Certificato di firma digitale remoto, PEC (Posta Elettronica Certificata), offre al firmatario, autorizzato ad operare sui conti correnti dell’azienda, la possibilità di autenticarsi e firmare digitalmente transazioni online tramite il servizio db Corporate Banking.

Alla “rivoluzione copernicana digitale remota” delle banche (abbiamo citato solo le principali), vanno aggiunti anche altri soggetti extra bancari, fra cui, per citare solo i più noti, rinveniamo:

4

InfoCert con LegalCert Remote sign, che “consente al titolare di effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card “virtuale””.

5

Aruba Pec con la Firma Digitale Remota che consente di “effettuare tutte le operazioni volte alla sottoscrizione di documenti digitali in modo rapido, semplice e totalmente sicuro, grazie all’utilizzo di una comoda Smart Card Virtuale, Password OTP (One Time Password) e Software di Firma e Verifica;

6

Poste Italiane con l’offerta Postemailbox per privati, per “inviare e ricevere comunicazioni sicure e certificate, firmare digitalmente documenti elettronici, conservare i tuoi dati nella sezione archivio” (che si tratti di firma digitale remota nel caso di Postemailbox lo si evince dall’art. 1 delle Condizioni Generali del servizio ““POSTECERT – Firma Digitale” (Utenza Privati Postemailbox) dove la “generazione delle chiavi asimmetriche (avviene, ndr.) all’interno di un dispositivo di firma centralizzato tenuto presso il Certificatore”);

Per quanto mi è dato sapere, il numero di firme digitali remote rilasciabili dalle sei realtà citate, escludendo InfoCert di cui non ho evidenza di numeri al riguardo, assomma a circa 7.400.000 unità, che rappresenta, se ricomprendiamo nel conteggio anche Infocert e quanti non considerati, oltre il doppio dei 3.700.000 certificati di firma digitale rilasciati principalmente su smart card, o chiavette USB, alla fine del 2010, così come riportato nel “Rapporto E-Gov Italia 2010“.

Ora come allora in “Chi garantisce e vigila?“, ci si trova di fronte alla continua evoluzione della normativa e delle regole tecniche (vedasi il recente caso del decreto relativo alla “certificazione” dei dispositivi HSM per firma digitale remota – DPCM 14/10/2011, che “guarda caso” regola i quasi 8 milioni di firme di cui sopra) che richiedono spesso chiarimenti, precisazioni, rassicurazioni (nel caso degli HSM “ma chi mi garantisce che questa firma digitale remota è valida? ma la certificazione del dispositivo è valida per erogare firme digitali remote?”) e non ultime interpretazioni precise ed autorevoli (leggasi pareri DigitPA – Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione, e OCSI – Organismo di Certificazione della Sicurezza Informatica), che mal si combinano con il processo di “depauperamento” in fieri degli organismi di vigilanza e di supporto tecnico, normativo e di certificazione, a suo tempo denunciato nel succitato “Chi garantisce e vigila?“.

Se avevamo evidenziato in passato il problema, che chi dovrebbe fare chiarezza è “poco visibile” nei media e sul mercato, vis à vis dei famosi “venditori di caffè“, proprio lì dove avvengono i processi di compravendita delle “tecnologie normate” fra clienti e fornitori, oggi e domani come possiamo sperare di poter contare sui giusti riferimenti per chiarirsi le idee su cosa è “buono” e su cosa “no buono” (o non del tutto)?

In ultima battuta, chi fa rispettare la legge?


Novembre 2011 … fatturazione elettronica 404?

Leggendo l’art. 35 del CAD testo vigente relativo ai “Dispositivi sicuri e procedure per la generazione della firma” al comma 3 si parla di firma apposta con procedura automatica (quella “buona” per la fatturazione elettronica, per intendersi) e al successivo comma 4 si dice che i dispositivi sicuri di firma devono essere dotati di certificazione – non autocertificazione – di sicurezza ai sensi dello schema nazionale di cui al successivo comma 5, che spiega come le conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, dall’Organismo di certificazione della sicurezza informatica, meglio noto come OCSI, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione, e in Europa (successivo comma 6) da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.

Rebus sic stantibus, in attesa del ”parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente), nella forma delle nuove regole tecniche, da elaborare entro i 12 mesi successivi all’entrata in vigore del nuovo CAD (gennaio 2011), a novembre 2011, scadendo il periodo di deroghe e dell’autocertificazione, solo i dispositivi sicuri certificati presso OCSI potranno garantire servizi di firma automatica e/o massiva funzionali alla fatturazione elettronica.

Oops …

Evoluzione della specie: firma elettronica avanzata

Le recenti modifiche al Codice dell’Amministrazione Digitale (CAD), pubblicate sulla Gazzetta Ufficiale del 10 gennaio 2011, che entreranno in vigore dal prossimo 25 gennaio, hanno introdotto una nuova ed ulteriore tipologia di firma: la firma elettronica avanzata.

q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
Capo I – Sezione I – Art.1 del CAD – Testo vigente
La firma elettronica avanzata recepisce la definizione della medesima presente nella Direttiva 1999/93/CE relativa al quadro comunitario per le firme elettroniche.
La definizione è abbastanza neutra rispetto alla tecnologia, ma rispetto al valore probatorio del documento informatico sottoscritto con firma elettronica, il CAD conferma che il medesimo è liberamente valutabile in sede di giudizio (dal giudice, ndr.), tenendo conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e non modificabilità.
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata, o digitale, ha l’efficacia prevista dall’articolo 2702 del codice civile.
L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

La scrittura privata fa piena prova, fino a querela di falso (Cod. Proc. Civ. 221 e seguenti), della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta (Cod. Proc. Civ. 214, 215; Cod. Nav. 178, 775).

Art. 2702 Codice Civile – Efficacia della scrittura privata
2-bis. [...] le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale.

Capo II – Sezione I – Art.21 del CAD – Testo vigente

Per sapere come dovrà essere fatto il summenzionato dispositivo di firma bisognerà attendere l’”acquisizione obbligatoria del parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente) che si sostanzierà nell’elaborazione delle nuove regole tecniche entro 12 mesi dall’entrata in vigore del nuovo CAD. Fino a quella data “le regole tecniche vigenti nelle materie del presente codice restano in vigore fino alla adozione” … delle nuove, in altre parole nulla cambia.
In un ottica di sempre più crescente (e anche pressante) spinta verso una interoperabilità europea, è facile immaginare che DigitPA, nel definire i requisiti che dovrà avere il dispositivo di firma per apporre firme elettroniche avanzate, si ispirerà alla  Direttiva 1999/93/CE che recita:
Articolo 3 par.4
Accesso al mercato

La conformità dei dispositivi per la creazione di una firma sicura ai requisiti di cui all’allegato III è determinata dai pertinenti organismi pubblici o privati designati dagli Stati membri (in Italia l‘OCSI, ndr.).
Ci sarà da chiedersi se l’iPad su cui Obama ha apposto la sua firma, o altri dispositivi, potranno essere , o sono già da considerarsi adeguati per la firma elettronica avanzata.

Il dibattito è aperto …

OCSI – Procedura di Accertamento dei dispositivi di firma

Facendo seguito alla pubblicazione lo scorso 7 ottobre 2010 del modello per l’autocertificazione dei dispositivi di firma ai fini di attestarne la rispondenza ai requisiti di sicurezza previsti dalla vigente normativa, nella giornata odierna, 30 novembre 2010, è stato pubblicato lo schema per la procedura di accertamento dei dispositivi di firma.

Con riferimento al DPCM del 10 febbraio 2010 – “Fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza”, pubblicato in G.U. del 28 aprile 2010, n. 98, viene pubblicata la Procedura di Accertamento, mediante la quale è possibile accertare la conformità di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dalla direttiva 1999/93/CE sulla firma elettronica.

Per ulteriori info:
http://www.ocsi.isticom.it/index.php/dispositivi-di-firma/procedura-di-accertamento
http://www.firma-facile.it/2010/09/23/autodichiarazione-autocertificazione-certificazione/

La superfirma digitale è pronta

Il 3 settembre 2010 (domani ndr.) entrano in vigore le nuove regole tecniche stabilite dalla deliberazione n. 45 del 21 maggio 2009 del Cnipa e dalle successive modifiche apportate dalla determinazione commissariale n.69 del 28 luglio 2010. Da “rottamare” i codici 1202, negli altri casi i possessori di dispositivi di firma digitale dovranno aggiornare il software del proprio device prelevabile dal sito web del proprio certificatore ed installabile in automatico. Superfirma_digitale_ItaliaOggi_20100901

“Installabile in automatico” … auguri e “Superfirme maschi”.