Dalla società Itagile Srl riceviamo e volentieri pubblichiamo.
Sicurezza e conformità della firma digitale “server side”
Il mercato della firma digitale è in rapida evoluzione verso soluzioni “server side” che progressivamente sostituiscono quelle basate su smartcard o chiavette USB, definite soluzioni di tipo “client side” o “distribuite”.
I benefici di una firma disponibile in “rete” sono evidenti ma è necessario prestare attenzione al tema della sicurezza. Sono infatti disponibili sul mercato soluzioni di firma “server side” perfettamente sicure ed efficienti, ma si è anche lasciato spazio a soluzioni insicure o illegali. Abbiamo quindi produttori seri con architetture sicure e verificate da processi di accertamento e certificazione pubblici, ma abbiamo anche numerosi soggetti che propongono soluzioni da verificare attentamente, se non si vuole andare incontro a sgradite sorprese. Questo vademecum intende quindi fornire gli strumenti per una corretta valutazione delle sicurezza e conformità normativa delle varie soluzioni di firma “server side”.
Nota: in questo documento si usa il termine “firma digitale”. Più precisamente si dovrebbe parlare di firma elettronica qualificata e firma digitale. Ai fini pratici oggi sono la stessa cosa e quindi si preferisce usare il termine più comune.
La firma digitale “server side”
In Italia la firma “server side” ha preso i nomi di “firma remota” o “firma massiva”. I due termini indicano contesti diversi di utilizzo ma rientrano comunque nel concetto di firma “server side”.
Da mercato di nicchia, la firma “server side” sta rapidamente diventando il mercato principale della firma digitale basata su PKI. I motivi di questa evoluzione sono molteplici e non è questa la sede per esaminarli. Resta il fatto che queste soluzioni di firma devono essere almeno altrettanto sicure delle soluzioni basate su una smartcard nelle mani del titolare.
Nella soluzione “server side” il punto essenziale è che la chiave privata non è più fisicamente nelle mani del firmatario ma è contenuta in un dispositivo sicuro, chiamato HSM (Hardware Security Module) che il firmatario utilizza da “remoto” attraverso una connessione di rete. E’ quindi necessario utilizzare meccanismi di sicurezza che consentano al titolare di mantenere il controllo esclusivo della sua chiave privata. Controllo esclusivo anche nei confronti di chi gestisce l’HSM.
Il tema è stato affrontato dall’azienda che per prima ha concepito e costruito una soluzione di firma digitale “server side”, Arx (www.arx.com). Arx ha creato, con il prodotto CoSign, un’architettura semplice, sicura ed in grado di scalare per qualsiasi esigenza di firma digitale fino a milioni di chiavi private gestite dentro l’HSM.
Purtroppo non altrettanto è stato fatto da altri attori di questo mercato. Per superare le limitazioni sul numero di chiavi private effettivamente utilizzabili all’interno di altri HSM, qualcuno si è avventurato in soluzioni nelle quali le chiavi private dei firmatari vengono maneggiate spericolatamente, al di fuori di ogni accertamento e valutazione di sicurezza, della normativa vigente e futura ed a volte anche del comune buonsenso. Altri, per evitare i costi degli HSM, hanno infilato un po’ di smartcard in una scatola, auto dichiarandola sicura.
Tutti questi soggetti possono essere raggruppati in tre categorie:
- i giocolieri delle chiavi private;
- i crypto comunisti;
- i suonatori di jukebox.
Questo documento descrive come ciascuna categoria accede alla chiave privata del firmatario e perché il suo modus operandi non soddisfa il requisito del controllo esclusivo. Requisito fondamentale per la firma digitale.
Come termine di paragone si descrive invece la soluzione di firma CoSign, realizzata espressamente allo scopo di attivare i processi di firma “server side” in modo sicuro.
La sicurezza informatica
Il principio fondamentale della reale sicurezza informatica è che la sicurezza non si basa sulle dichiarazioni e sui buoni propositi dei produttori. L’effettiva sicurezza di un sistema viene valutata da un laboratorio specializzato sotto la vigilanza di un ente pubblico. In Europa questo schema di valutazione si chiama Common Criteria e in Italia l’ente pubblico dedicato a questo scopo si chiama OCSI e opera all’interno del Ministero dello Sviluppo Economico.
Il livello di sicurezza richiesto dalla legge per il dispositivi di firma digitale è CC EAL4. Il significato di questa sigla è materia specialistica.
Il più della sigla CC EAL4+ indica che è la sicurezza deve essere “aumentata” utilizzando uno degli obbiettivi di sicurezza disponibili. Per la valutazione dei dispositivi di firma OCSI richiede che sia incluso l’obbiettivo di sicurezza AVA_VAN.5. Obbiettivo descritto in letteratura come segue. Advanced Methodical Analysis: objective is to determine whether the TOE, in its operational environment, has vulnerabilities exploitable by attacker possessing HIGH AP (TOE = Target Of Evaluation, AP = Attack Potential) . Significa che il sistema (TOE) deve resistere ad un attacco da parte di chi, nell’ambiente dove il sistema si trova, dispone di un alto potenziale di attacco.
Nei certificati disponibili sul sito http://www.commoncriteriaportal.org/ gli obbiettivi di sicurezza utilizzati sono indicati insieme al livello di certificazione.
CoSign: l’architettura sicura nata per la firma “server side”
Con il sistema CoSign il firmatario si collega all’HSM su canale sicuro e fornisce il suoi codici di accesso ed i dati per la firma. Il collegamento e l’intero perimetro della soluzione di firma fanno parte dell’accertamento dell’OCSI e della valutazione di sicurezza CC EAL4+.
CoSign: il perimetro di sicurezza certificato
La linea rossa indica il perimetro di sicurezza accertato e sottoposto a valutazione, quindi sicuro. Le chiavi private sono generate, persistite ed utilizzate esclusivamente all’interno del perimetro di sicurezza certificato. La sigla AC indica l’applicazione client alla quale il titolare sottopone i codici di accesso ed i dati per la firma. La sigla AS l’applicazione lato server che seleziona la chiave dell’utente e la usa per creare la firma.
Tutte le chiavi private sono gestite all’interno del perimetro di sicurezza certificato, anche in caso di soluzione in cluster.
CoSign in cluster
Qualsiasi tentativo di impossessarsi di una copia delle chiavi private deve superare la barriera fisica interposta dal server HSM certificato.
Nota bene: la linea rossa indica anche il perimetro nel quale opera esclusivamente il produttore della soluzione certificata. In altre parole nessun altro deve poter eseguire proprio codice all’interno del perimetro di sicurezza accertato. Questa eventualità compromette la sicurezza del sistema e fa perdere la sua certificazione.
I giocolieri delle chiavi private
Dove viene prelevata la chiave privata quando viene utilizzata per firmare? Nel dispositivo sicuro. Ma non ce ne possiamo tenere tante, perché non c’è spazio. Et voilà! La facciamo apparire, firmiamo, e la facciamo sparire.
Questa è la descrizione di quello che fanno i “giocolieri delle chiavi private”. Essi eseguono il loro numero in due scenari:
Giocolieri di chiavi private: scenario 1
Scenario 1: un applicativo (AS) che viene eseguito nella memoria di un server non certificato riceve le credenziali dell’utente (con i dati da firmare) dall’applicativo client (AC). AS richiede alla scheda crittografica certificata di prelevare da un supporto di memorizzazione esterno alla scheda, tramite protocollo certificato, la chiave privata dell’utente (criptata). La chiave viene decriptata ed utilizzata dentro il dispositivo per firmare.
Giocolieri di chiavi private: scenario 2
Scenario 2: un applicativo (AS) che viene eseguito nella memoria di un server non certificato riceve le credenziali dall’applicativo client (AC). AS preleva una chiave cifrata da un DB SQL, l’associa al codice di accesso ricevuto dall’utente, la inserisce nell’HSM dove la chiave simmetrica + il codice di accesso dell’utente consentono la decifrazione della chiave e quindi il suo utilizzo per la firma.
Osservazioni:
- Nei due scenari AS ha il pieno controllo delle credenziali dell’utente. AS viene eseguito in un ambiente non sicuro. Soggetti diversi dal produttore possono eseguire codice proprio nello stesso ambiente in cui viene eseguito AS.
- Nei due scenari tutte le chiavi criptate possono essere copiate altrove senza lasciare traccia. Quindi una copia (cifrata) della mia chiave privata può essere sottoposta a qualsiasi attacco senza che nessuno lo sappia.
- Nello scenario 2 l’attività di AS è estremamente critica dato che provvede interamente alla selezione della chiave dell’utente.
I crypto comunisti
I cytpo comunisti mettono in comune le chiavi private di un certo numero di firmatari. Le proteggono con lo stesso PIN e poi si adoperano per associare in qualche modo, del tutto esterno rispetto all’HSM, l’utente al suo certificato.
I crypto comunisti sfruttano una caratteristica tecnica dell’interfaccia PKCS#11, Questo standard infatti permette di avere in un solo dispositivo con interfaccia PKCS#11 più certificati. Ovviamente l’interfaccia è stata pensata per far utilizzare certificati diversi allo stesso soggetto.
In caso contrario è come mettere su una smartcard i certificati di firma di 10 persone e poi, quando una di queste deve firmare, gli si fornisce la smartcard ed il PIN, pregandoli gentilmente di usare solo il proprio certificato.
I suonatori di juke box
Chi non può, o non vuole sostenere i costi di certificazione di un HSM è ricorso all’espediente di mettere in batteria in certo numero di smartcard. L’utente accede quindi alla smartcard dove c’è il suo certificato attraverso un applicativo che, ovviamente, ha il pieno controllo delle credenziali dell’utente e, altrettanto ovviamente, viene eseguito in un ambiente non sottoposto all’accertamento di sicurezza necessario alla firma digitale.
Suonatori di juke box
Qui il perimetro di sicurezza effettivamente accertato è limitato alla sola smartcard, tutto il resto è solo auto dichiarato dal produttore.
Sugli aspetti legali di questa soluzione riportiamo qui un contributo di Giovanni Manca, già responsabile dell’Ufficio Sicurezza di DigitPA.
Requisiti legali per l’utilizzo di smart card non nella disponibilità fisica del sottoscrittore
di Giovanni Manca
Da qualche tempo al fine di gestire alcuni procedimenti amministrativi che richiedono sottoscrizioni con procedura automatica (articolo 35, comma 3 del decreto legislativo 30 dicembre 2010, n. 235) ovvero in modalità remota (la definizione di firma è presente nello schema di regole tecniche per le sottoscrizioni informatiche e in particolare nell’articolo 1, comma 1, lettera q) dello schema citato) vengono utilizzati apparati che contengono una serie di smart card “in batteria”.
Questi apparati sono realizzati in un box contenente una serie di lettori di smart card ciascuno sigillabile con un sistema tamper evident.
L’utilizzo di insieme di questi dispositivi può generare perplessità sul soddisfacimento dei requisiti legali sul tema del dispositivo sicuro per la creazione della firma e sul tema del controllo esclusivo sul dispositivo di firma da parte del titolare.
Chi produce questi apparati sostiene che la smart card utilizzate sono certificate sulla base dello standard ISO/IEC 15408 (Common Criteria), in conformità al Protection Profile CWA 14169 con livello di assurance EAL 4+. La circostanza di raggrupparle in un “contenitore” a rack dove la singola smart card è protetta con un sigillo “tamper evident” non modifica i requisiti da soddisfare per il mantenimento della certificazione e quindi il rack è un mero contenitore e quindi la legalità della singola carta continua a sussistere.
Questa analisi non è corretta per i motivi che vengono descritti di seguito.
Il profilo di certificazione della smart card si basa sul presupposto che la smart card è nella disponibilità del titolare. Qualora quest’ultimo intenda avvalersi di una sottoscrizione con procedura automatica applica quanto stabilito nello schema di regole tecniche di prossima pubblicazione che definiscono la firma automatica come la “particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo”.
Questa definizione, pur non essendo stata ancora pubblicata in Gazzetta Ufficiale è perfettamente in linea con la legislazione di riferimento già in vigore e in particolare con il CAD.
L’univoca identificazione che si sta sottoscrivendo con una procedura automatica è garantita dal fatto che il certificato qualificato contiene indicazione esplicita della circostanza.
La mancanza di questa indicazione comporta inequivocabilmente che il titolare sta sottoscrivendo con firma remota visto che non ha la disponibilità fisica del dispositivo anche se il sistema garantisce il controllo esclusivo delle chiavi private da parte dei titolari delle stesse.
In questo scenario emergono alcuni obblighi normativi per i produttori di “contenitori di smart card”.
Per prima cosa la presenza di più dispositivi nello stessa locazione fisica può configurare il fatto che il rack debba essere considerato un HSM (Hardware Security Module) e quindi da sottoporre alle procedure di accertamento e successiva certificazione da parte degli organismi competenti stabiliti nell’articolo 35, comma 5 del CAD.
In ogni caso l’apparato deve garantire il controllo esclusivo del dispositivo di firma da parte del titolare poiché:
- sono utilizzati dei sistemi di autenticazione per l’interazione fra il titolare e il dispositivo sicuro per la generazione della firma;
- il dispositivo sicuro deve poter essere attivato esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati, secondo le rispettive competenze dall’OCSI (Organismo per la Certificazione della Sicurezza Informatica) e da DigitPA,
l’apparato stesso deve essere accertato dall’OCSI per la verifica della conformità almeno della soluzione di “PIN dispatcher” ovvero di quel software che garantisce il percorso “sicuro” tra la tastiera dell’utente e la smart card inserita nell’apparato remoto.
E’ opportuno sottolineare che il sigillo che protegge il singolo slot è numerato ma non presenta particolari garanzie di non duplicabilità dello stesso.
Sulla base della valutazione dell’OCSI, in sede di vigilanza DigitPA valuta a sua volta se il sistema di autenticazione è utilizzato nei limiti imposti dal traguardo di sicurezza del sistema e dal contesto di utilizzo.
In assenza di queste valutazioni l’apparato descritto non è un dispositivo sicuro per la creazione della firma.
Commenti recenti