.
Correva il mese di febbraio 2010 allorquando ARX (Algorithmic Research) e IMQ, rispettivamente il produttore dell’apparato CoSign Digital Signature e il laboratorio che fornisce la necessaria consulenza e attività di valutazione di sicurezza ai fini della certificazione Common Criteria, hanno consegnato la documentazione per la certificazione CC EAL4+ all’OCSI (Organismo di Certificazione della Sicurezza Informatica)
Lo scorso 13 settembre 2010 OCSI ha formalmente comunicato (Prot. n. 0059125 – 13/09/2010 – USCITA) ad ARX (Algorithmic Research) che il Security Target dell’apparato CoSign risulta adeguato a soddisfare i requisiti dell’allegato III della direttiva europea sulla firma digitale.
Nella sua comunicazione l’OCSI afferma che ci sono i “presupposti per il proseguimento della procedura di accertamento” del dispositivo CoSign® di ARX (Algorithmic Research), di cui il Laboratorio di Valutazione della Sicurezza (LVS) di IMQ ha esaminato il Security Target, dando evidenza della sua conformità, in particolare, ai requisiti dell’allegato III della direttiva europea sulla firma digitale.
Tale evidenza consente l’avvio delle pratiche per la valutazione e certificazione di sicurezza di CoSign® secondo i Common Criteria al livello di garanzia EAL4 (AVA_VAN.5).
Per la prima volta una soluzione di firma digitale di tipo HSM viene formalmente giudicata certificabile per l’utilizzo della firma digitale in Italia. E’ quindi possibile uscire dalla fase di incertezza determinata dal regime transitorio delle autodichiarazioni che terminerà a novembre 2011, allorquando i servizi di firma digitale remota potranno essere erogati solo con apparati HSM certificati.
Una volta tanto l’italia è “all’avanguardia”.
Questo è un risultato veramente importante non solo per l’italia ma, almeno, per tutta europa. Credo che dobbiamo fare i complimenti ad Arx non solo per la scrittura di un ottimo security target ma soprattutto per aver avuto il coraggio e la consapevolezza della loro soluzione.
Per quanto ne so tutte le certificazioni CC EAL4+ ottenute da alcune schede HSM non sono valide per la legge italiana ai fini della sottoscrizione di documenti e tutte le soluzione di firma basate su HSM (incluso CoSign) sono quindi “legali” solo in base ad un regime transitorio che finirà a novembre 2011.
Perché non sono valide? Perché ottenute in base ad un Protection Profile che la Commissione Europea ha giudicato buono solamente per i servizi delle CA e non per la sottoscrizione dei documenti. E la legge italiana richiama appunto la decisione della Commissione Europea.
Se un produttore dichiara che il suo prodotto è buono per firmare documenti perché ha una certificazione CC EAL4+, dimenticandosi di dire che è sul Protection Profile sbagliato, fa intendere una cosa che non è vera (per usare un eufemismo).
Chi pensava fosse solo una questione formale e che OCSI si sarebbe accontentato delle certificazioni EAL4+ così ottenute, penso abbia già avuto modo di ricredersi.
Per i cultori della materia riporto sotto gli stralci della normativa a cui faccio riferimento:
Articolo 9 DPCM 30 marzo 2009
——————————
4. La certificazione di sicurezza dei dispositivi sicuri per la
creazione di una firma prevista dall’art. 35 del codice e’ effettuata
secondo criteri non inferiori a quelli previsti:
a) dal livello EAL 4+ in conformita’ ai Profili di Protezione
indicati nella decisione della Commissione europea 14 luglio 2003 e
successive modificazioni;
b) dal livello EAL 4+ della norma ISO/IEC 15408, in conformita’ ai
Profili di Protezione o traguardi di sicurezza giudicati adeguati ai
sensi dell’art. 35, commi 5 e 6 del codice, e successive
modificazioni.
Decisione della Commissione europea 14 luglio 2003
—————————————————
A. List of generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex II f to Directive 1999/93/EC
— CWA 14167-1 (March 2003): security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements
— CWA 14167-2 (March 2002): security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO-PP)
B. List of the generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex III to Directive 1999/93/EC
CWA 14169 (March 2002): secure signature-creation devices.
Annex II della direttiva 1999/93/EC
————————————
Requisiti relativi ai prestatori di servizi di certificazione che rilasciano certificati qualificati (quindi sono requisiti per firmare i certificati)
Annex III della direttiva 1999/93/EC
————————————-
Requisiti relativi ai dispositivi per la creazione di una firma sicura
1. I dispositivi per la creazione di una firma sicura, mediante mezzi tecnici e procedurali appropriati, devono garantire
almeno che:
a) i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta e che è ragionevolmente garantita la loro riservatezza;
b) i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l’impiego di tecnologia attualmente
disponibile;
c) i dati per la creazione della firma utilizzati nella generazione della stessa sono sufficientemente protetti dal firmatario legittimo contro l’uso da parte di terzi.
2. I dispositivi per la creazione di una firma sicura non devono alterare i dati da firmare né impediscono che tali datisiano presentati al firmatario prima dell’operazione di firma.
Il Dott. Sandrucci ha ragione. La Certificazione CC non è sufficiente. Anche l’Ing. Valle dice delle cose vere ma la lettura della decicision of the commssion del luglio 2003 va fatta in ottica CC. Ciò significa cher il Protection profile CWA14169 è solo per smart card, il CWA 14167-2 è per HSM monochiave. Ricordo anche (ma i colleghi sono esperti) che un oggetto certificato perde la propria certificazione se utilizzato fuori dal Protection Profile.
Il tema è molto complesso…
Terrò un intervento sul tema a Omat Roma 2010 e spero di fare chiarezza. TUTTI tengano in conto che la mia posizione è in linea con quella di OCSI e di DigitPA.