Il tema è molto complesso, ma prima di affrontarlo è utile ribadire un concetto già espresso: DigitPA e OCSI sono gli unici soggetti istituzionali che possono garantire che quanto venduto sia “a norma”.

    In particolare l’OCSI (Organismo di Certificazione della Sicurezza Informatica) gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione; tale Schema Nazionale è stato istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004). L’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico – Comunicazioni, a cui fa capo l’OCSI, è, per decreto, l’Organismo di Certificazione della Sicurezza Informatica nel settore della tecnologia dell’informazione. L’OCSI agisce in conformità agli standard internazionali ISO/IEC IS-15408 (Common Criteria) e ai criteri europei ITSEC e ITSEM. L’OCSI ha predisposto, e predispone, le Linee Guida per la conduzione dei processi di valutazione e certificazione.

    Per le precisazioni sui Common Criteria riporto qui di seguito, con l’autorizzazione degli autori, due commenti apparsi su “firma-facile”, che spero aiutino a districarsi nel complesso mondo della certificazione Common Criteria.

    Gianni Sandrucci
    2 ottobre 2010 at 07:04
    https://firma-facile.it/2010/09/29/luce-verde-da-ocsi-sul-security-target-di-cosign-digital-signature/#comment-47

    Tutte le certificazioni CC EAL4+ ottenute da alcune schede HSM non sono valide per la legge italiana ai fini della sottoscrizione di documenti, e quindi tutte le soluzione di firma basate su HSM (incluso CoSign Digital Signature) sono quindi “legali” grazie ad un regime transitorio che finirà a novembre 2011 (https://firma-facile.it/2010/09/23/autodichiarazione-autocertificazione-certificazione/).

    Perché non sono valide? Perché ottenute in base ad un Protection Profile che la Commissione Europea ha giudicato buono solamente per i servizi delle CA e non per la sottoscrizione dei documenti. E la legge italiana richiama appunto la decisione della Commissione Europea.

    Se un fornitore di soluzioni basate su HSM dichiara che il suo prodotto è buono per firmare documenti perché ha una certificazione CC EAL4+, dimenticandosi di dire che è sul Protection Profile sbagliato, fa intendere una cosa che non è vera (per usare un eufemismo). E non è vera nella sostanza dei requisiti di sicurezza necessari per la firma digitale dei documenti.

    Per i cultori della materia riporto sotto gli stralci della normativa a cui faccio riferimento:

    Articolo 9 DPCM 30 marzo 2009
    ——————————

    4. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma prevista dall’art. 35 del codice e’ effettuata secondo criteri non inferiori a quelli previsti:

    a) dal livello EAL 4+ in conformita’ ai Profili di Protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;

    b) dal livello EAL 4+ della norma ISO/IEC 15408, in conformita’ ai Profili di Protezione o traguardi di sicurezza giudicati adeguati ai sensi dell’art. 35, commi 5 e 6 del codice, e successive modificazioni.

    Decisione della Commissione europea 14 luglio 2003
    —————————————————

    A. List of generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex II f to Directive 1999/93/EC

    — CWA 14167-1 (March 2003): security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements

    — CWA 14167-2 (March 2002): security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO-PP)

    B. List of the generally recognised standards for electronic signature products that Member States shall presume are in compliance with the requirements laid down in Annex III to Directive 1999/93/EC

    — CWA 14169 (March 2002): secure signature-creation devices.

    Annex II della direttiva 1999/93/EC
    ————————————

    Requisiti relativi ai prestatori di servizi di certificazione che rilasciano certificati qualificati (quindi sono requisiti per firmare i certificati)

    Annex III della direttiva 1999/93/EC
    ————————————-

    Requisiti relativi ai dispositivi per la creazione di una firma sicura

    1. I dispositivi per la creazione di una firma sicura, mediante mezzi tecnici e procedurali appropriati, devono garantire almeno che:

    a) i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta e che è ragionevolmente garantita la loro riservatezza;

    b) i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l’impiego di tecnologia attualmente disponibile;

    c) i dati per la creazione della firma utilizzati nella generazione della stessa sono sufficientemente protetti dal firmatario legittimo contro l’uso da parte di terzi.

    2. I dispositivi per la creazione di una firma sicura non devono alterare i dati da firmare né impediscono che tali datisiano presentati al firmatario prima dell’operazione di firma.

    Giovanni Manca
    2 ottobre 2010 at 18:12
    https://firma-facile.it/2010/09/29/luce-verde-da-ocsi-sul-security-target-di-cosign-digital-signature/#comment-49

    Il Dott. Sandrucci ha ragione. La Certificazione CC non è sufficiente. Anche l’Ing. Valle dice delle cose vere ma la lettura della decicision of the commssion del luglio 2003 va fatta in ottica CC. Ciò significa cher il Protection profile CWA14169 è solo per smart card, il CWA 14167-2 è per HSM monochiave. Ricordo anche (ma i colleghi sono esperti) che un oggetto certificato perde la propria certificazione se utilizzato fuori dal Protection Profile.

    Il tema è molto complesso …

    Terrò un intervento sul tema a Omat Roma 2010  e spero di fare chiarezza. TUTTI tengano in conto che la mia posizione è in linea con quella di OCSI e di DigitPA.