Esisto, sono, accedo.
… c’è anche il cellulare, che potrebbe utilmente diventare un fattore di autenticazione, evitando di trasformarci in portachiavi (o portatoken …).
Ing. Andrea CACCIA su Firma Facile
Tutte le identificazioni digitali basate su richieste di username+password sono diventate ormai altamente insicure, ma possono, e vengono rese sicure con sistemi di autenticazione forte, che utilizzano due, o più, fattori di identificazione (qualcosa che si conosce, qualcosa che si ha e qualcosa che si è).
Minacce ed esigenze di sicurezza crescenti hanno portato la gran parte dei fornitori di servizi online ad adottare metodi di autenticazione forte basate sul modello OTP (One Time Password), tecnologia diventata standard “de facto”, con password “a perdere” (One Time, appunto) generate dai token, con cui ormai abbiamo familiarizzato, soprattutto grazie ai conti in banca.
Risultato: per ogni servizio online, che preveda la gestione dei nostri dati sensibili (carte di credito, dati personali, numeri di conto, ecc.), ogni fornitore di servizio (Service Provider) rilascia il SUO token OTP, per l’autenticazione esclusiva al SUO servizio – e non altri, NON interoperabile con altri servizi e NON standardizzato, trasformando il portachiavi dell’utilizzatore di servizi (leggasi “il cliente”) in un portatoken.
In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto). OneKey è pensato nell’ottica “Highlander” de “alla fine ne resterà soltanto uno”, ciò nonostante, la centralizzazione del servizio di autenticazione non può prescindere però dalla ennesima distribuzione di un dispositivo, il token OTP OneKey.
Gli oltre dieci anni vissuti all’ombra dei dogmi “possesso” (… della smart-card) e “conoscenza”, ci hanno reso, in un certo qual modo, “token dependent”; il possesso, oltre ad essere fattore di strong authentication, peraltro ci conforta e rassicura, sopratutto a livello di inconscio, nella nostra capacità di controllo, e in ultima analisi sicurezza associata al processo di autenticazione che di volta in volta effettuiamo.
Le recenti evoluzioni tecnologiche e normative hanno però consentito, e stanno consentendo di spostare il paradigma del possesso, da qualcosa che si riceve/ottiene a qualcosa che già si ha (e che deve essere solamente configurato, ndr.); è questo il caso della firma digitale remota, eseguibile dal nostro computer collegato alla rete, ed è questo il caso di sistemi di autenticazione basati sui nostri smartphone e/o tablet pc.
Il progetto italiano free software I-AM sposa il paradigma di “qualcosa che già si ha” associato “a qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID).
Il progetto I-AM segue le dinamiche che sottendono ai processi di certificazione in ambito firma digitale, in questo caso ad essere coinvolti sono il Cliente, il Fornitore di Servizio (Service Provider) e le Terze Parti (Trust Provider), che certificano e garantiscono l’identità delle parti, le credenziali di accesso e in definitiva la validità/sicurezza della transazione. I Trust Provider sono distribuiti su due strati, il primo direttamente a ridosso del Service Provider e rappresenta l’anello di fiducia “più vicino”, o già esistente (per esemplificare quello che già gestisce il processo di identificazione e autenticazione “proprietario” fra Service Provider e Cliente, in soldoni, quello che ha fornito, o sta “dietro” alla fornitura, del token OTP hardware), il secondo strato, è rappresentato dai nodi della catena di fiducia (chain of trust) che collegano fra loro tutti i gestori di accesso tramite soluzioni OTP proprietarie, con il risultato che una volta identificato/autenticato presso un nodo, posso, le volte successive, farlo da qualsiasi altro nodo della rete I-AM, utilizzando sempre e solo un unico dispositivo di autenticazione: il MIO smartphone/tablet pc. La diffusione degli smart phone e degli altri dispositivi portatili in grado di connettersi con la Rete rappresenta la base tecnologica per una capillare distribuzione della soluzione e per la sua efficace gestione come sistema di autenticazione/accesso OTP distribuito (e diffuso) event based.
Per fare un parallelo, ci basti pensare alla carta di identità: ce la rilascia un Comune, ma è valida in tutti gli altri Comuni ed è anche utilizzabile nei paesi della UE, al di fuori del perimetro nazionale.
Una volta che il Cliente ha ottenuto le credenziali I-AM si può autenticare c/o qualsiasi Service provider, senza alcuna altra attività propedeutica di registrazione/attivazione.
Ogni Fornitore di Servizi online (Service Provider) ha un Fornitore di Fiducia online di riferimento (I-AM Community Trust Provider), con cui scambia tutti i messaggi di richiesta di autenticazione.
Lo schema di seguito riportato rappresenta una situazione ideale
Quale che sia l’I-AM Community Trust Provider che ha guidato la registrazione di uno USER, non ha rilevanza. Il circuito è organizzato affinchè tutte le componenti siano informate su quale Fornitore di Fiducia online di riferimento (I-AM CTP) sia necessario attivare per ottenere la verifica di una richiesta di autenticazione OTP del circuito I-AM/OTP.
I-AM garantisce la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale (ad esempio all’atto dell’emissione di una Carta d’Identità – elettronica, o meno, o del rilascio del PIN di una Carta Nazionale dei Servizi). Di seguito lo schema di registrazione/attivazione di un utente attraverso la sua Carta Nazionale dei Servizi (CNS).
I vantaggi derivanti dalla piena diffusione del progetto sono abbastanza evidenti:
- per i Clienti, l’estrema facilità d’uso dello strumento di autenticazione e poter scongiurare il pericolo di diventare dei … portatoken;
- per i Fornitori di Servizi online (Service Provider), la possibilità di fornire servizi senza ulteriori distribuzioni, sia a nuovi clienti che a clienti già autenticati (evitando laboriose, complicate e spesso poco, o per nulla user friendly, procedure di enrollment) e l’importante risparmio in termini di investimenti tecnologici in infrastrutture per la strong authentication;
- per i Fornitori di Fiducia la possibilità di “saltare”, o ereditare da un altro nodo della catena I-AM, il passaggio del enrollment e la fase della autenticazione, laddove questa sia necessaria, ad es. ad apporre una firma digitale remota (“se il Cliente è già iscritto al circuito I-AM non c’e’ bisogno di altro per utilizzare il servizio”).
Parafrasando Amleto … “accedo o non accedo, questo non è più il problema!”
Un ringraziamento a Andrea Caccia ed Egidio Casati per il contributo alla stesura di questo post. Per maggiori dettagli: http://www.i-am-association.org/it/
Nello schema che descrive l’architettura per layer, il layer CTL – I “garanti” della catena di fiducia – mi piacerebbe fosse pensato come la I-AM community nella sua totalità senza dover necessariamente fare riferimento ad autorità terze. Questo modello è tanto più forte quanto riesce ad essere auto consistente.