HSM in valutazione, si diradano le nebbie dell’illegalità?

    da | Mar 11, 2012 | Senza categoria | 0 commenti

    OCSI, Organismo di Certificazione della Sicurezza Informatica, ha pubblicato lo scorso 15 febbraio la notizia, in bella vista sulla sua homepage, e su richiesta delle aziende produttrici, che riporta l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa.

    I dispositivi in fase di accertamento sono tre:

    .

    .

    .

    1. CoSign della società ARX
    2. LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet
    3. nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.

    La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+

    Vale solo la pena ricordare che la certificazione soddisfa importanti necessità di imparzialità, oggettività, ripetibilità e riproducibilità di una valutazione condotta in base a criteri definiti, noti e riconosciuti validi. L’uso di criteri ben definiti ed internazionalmente accettati fornisce un’unità di misura (ad es. i 7 livelli di garanzia EAL nella succitata certificazione Common Criteria) per la sicurezza informatica presentando una serie di vantaggi:

    • da tempo i produttori e le CA offrono sistemi e prodotti dotati di funzionalità di sicurezza, per i quali “autodichiarano” (“oste com’é il vino?”) caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
    • in molte applicazioni caratterizzate da un elevato grado di criticità, le predette “autodichiarazioni” potrebbero risultare non sufficienti;
    • le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale;
    • chi acquista un oggetto certificato può dimostrare anche verso terzi, siano essi i “clienti”, o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza.

    L’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:

    1. Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo  LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet. Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
    2. Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.

    Cosa è il Certificato?

    Il certificato è il documento rilasciato da un organismo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso di LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

    OCSI ha previsto nella sua procedura per la Modalità 2 complessivamente 30 mesi per:

    1. l’ottenimento del Pronunciamento (Positivo o Negativo) della durata massima di 6 mesi;
    2. l’ottenimento della certificazione Common Criteria EAL4+ del prodotto sottoposto ad accertamento entro massimo 24 mesi.

    Ritornando all’elenco dei dispositivi di firma di cui sopra, il primo, CoSign, è l’unico ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza (Security Target) il 13 settembre 2010 (n. prot. 59125/2010), sia la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign (n. prot. 88413/2011) secondo il Piano di Valutazione (PDV) presentato ad OCSI il 28 ottobre 2011, che pone l’HSM CoSign nella condizione di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per esso, alla medesima data (1° novembre 2011, ndr.), sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI)” così come prescitto dalla norma (DPCM 14-ottobre-2011).

    Dall’elenco pubblicato da OCSI possiamo desumere quindi che:

    • un solo dispositivo (CoSign) è in regola con il DPCM 14 ottobre 2011 perché OCSI ha approvato il suo traguardo di sicurezza ed ha cominciato il processo di valutazione (certificazione)
      • Stato della Procedura: Pronunciamento positivo sull’adeguatezza del TDS rilasciato in data 13 settembre 2010 Processo di Certificazione CC avviato presso OCSI in data 31 ottobre 2011
    • un altro dispositivo (nShield Solo F3 PCIe HSM) ha cominciato la procedura il 26 ottobre 2011, solo cinque giorni prima della scadenza del DPCM 14 ottobre 2011, e se consideriamo che la prima fase della procedura in Modalità 2 prevede un tempo di sei mesi, a maggio potremmo avere qualche aggiornamento.
      • Stato della Procedura: In corso
    • un altro dispositivo (LUNA® PCI configured for use in LUNA® SA 4.1) ha cominciato la procedura l’11 aprire 2011 in Modalità 1, consistente  in una sola fase della durata massima prevista di sette mesi, ed undici mesi dopo, lo stato della procedura è ancora in corso.
      • Stato della Procedura: In corso
    • lapalissiano ed ultimo, ma non meno importante, tutti gli altri dispositivi non presenti nell’elenco, non sono in corso di Accertamento di Conformità presso OCSI stessa, tradotto in pratica, tutte le schede e/o apparati che sono “sparsi in giro” a fare firme automatiche/massive, firme digitali remote e/o qualsivoglia altra forma di firma elettronica qualificata sono furiliegge e vanno spenti … e le CA devono revocare i certificati.
      • “Stato della Procedura: Non in accertamento”

    Rebus sic stantibus, è il caso di ribadire una volta ancora, che la soluzione CoSign è ad oggi l’unico dispositivo di firma HSM (Hardware Security Module) legalmente valido in Italia per la firma digitale e per la firma elettronica qualificata, essendo terminato il 1° novembre 2011 il regime transitorio che consentiva l’utilizzo di dispositivi HSM in mancanza di adeguati accertamenti di sicurezza.

    Quindi: o si usa una smartcard nelle mani del titolare – e non infilata chissà dove – oppure si usa CoSign. In tutti gli altri casi non si ha una firma digitale, o firma elettronica qualificata e diventa oltremodo necessario che chi ha adottato ed usa HSM non certificati, o meglio, senza pronunciamento positivo sull’adeguatezza del TDS, smetta di offrire servizi di “Firma Digitale”, che tali non sono, in quanto impugnabili in sede di ricorso, e che espongono gli inconsapevoli “consumatori” all’invalidazione degli atti e dei documenti firmati tramite sistemi non conformi.

    Un ringraziamento a Claudia Piccolo di IMQ per il suo contributo alla stesura di questo post per la parte di Certificazione CC

    Invia commento