OCSI (Organismo di Certificazione della Sicurezza Informatica) ha dato notizia sul suo sito web di avere emesso il certificato relativo alla valutazione del prodotto “CoSign v7.1” della società ARX. La valutazione è stata condotta dal Laboratorio per la Valutazione della Sicurezza IMQ/LPS applicando lo standard dei Common Criteria per il livello di garanzia EAL4+ con aggiunta di AVA_VAN.5 (Advanced methodical vulnerability analysis, in pratica determina se l’ODV, Oggetto della Valutazione, nel suo ambiente operativo, ha delle vulnerabilità sfruttabili da un “attaccante informatico” in possesso di un alto potenziale di attacco). La pubblicazione del Rapporto di Certificazione è la conferma che il processo di valutazione è stato condotto in modo conforme a quanto richiesto dai criteri di valutazione Common Criteria e che nessuna vulnerabilità sfruttabile è stata trovata.
La valutazione è stata di tipo concomitante, cioè effettuata durante lo sviluppo dell’Oggetto Della Valutazione (ODV), ed è stata condotta in accordo ai requisiti stabiliti dallo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione. Il Rapporto di Certificazione deve essere consultato congiuntamente al Traguardo di Sicurezza (TDS), che specifica i requisiti funzionali e di garanzia e l’ambiente di utilizzo previsto.
Le modalità di certificazione
E’ utile ricordare che l’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:
- Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet già certificato (Attestato di Conformità n. 1/12). Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
- Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.
CoSign v. 7.1
CoSign è un dispositivo progettato per essere utilizzato come “Dispositivo sicuro di firma elettronica (Secure Signature-Creation Device, SSCD)” all’interno di un’organizzazione, fisicamente installato in un ambiente sicuro nel data-center dell’organizzazione e connesso alla rete dell’organizzazione stessa. Un singolo dispositivo può gestire in modo sicuro molti utenti, e per ogni account utente è possibile generare diverse chiavi di firma e i relativi certificati. Tre sono le tipologie di utenti autorizzati ad operare su CoSign:
- il Firmatario (c.d. utente semplice);
- l’Appliance Administrator, colui che installa il dispositivo e ne gestisce le funzionalità;
- lo Users Administrator, colui che gestisce gli account degli utenti.
Il Firmatario interagisce usando il modulo software “CoSign client” per eseguire la registrazione dei certificati e per effettuare le operazioni di firma. L’Amministratore interagisce con CoSign per eseguire le varie attività amministrative previste.
Ambiente operativo di CoSign:
- OTP-Device: sono utilizzabili token Vasco compatibili con Vacman Controller oppure token che implementano l’algoritmo OATH HOTP;
- OTP RADIUS Server: soluzione di One Time Password basata su protocollo di rete che fornisce l’autenticazione, autorizzazione e accounting (AAA) gestione centralizzata per gli utenti che si connettono e utilizzano un servizio di rete;
- SCA: Signature Creation Application (software per la creazione della firma);
- CEA: Certificate Enrollment Application (software per la iscrizione dei certificati di firma “lui è lui”);
- CGA: Certificate Generation Application (software per la genenerazione dei certificati di firma “io sono io”) ;
- Smart Card in formato Token USB per funzioni di backup
La sicurezza
Con il sistema CoSign il firmatario si collega all’HSM su canale sicuro e fornisce il suoi codici di accesso ed i dati per la firma. Il collegamento e l’intero perimetro della soluzione di firma fanno parte dell’accertamento dell’OCSI e della valutazione di sicurezza CC EAL4+.
Dal punto di vista della sicurezza, ad ogni utente è fornito un dispositivo OTP (One Time Password) univocamente identificato e univocamente associato ad un utente.
Un firmatario si autentica fornendo una password statica e una password dinamica che viene visualizzata sul display del dispositivo OTP. Quando un utente desidera firmare digitalmente un documento, il CoSign client apre una sessione utente protetta utilizzando un canale di comunicazione sicuro dedicato realizzato tramite il protocollo TLS v.1.0. Questo canale sicuro è utilizzato per ogni comunicazione tra il CoSign client e il dispositivo CoSign.
Il Traguardo di Sicurezza di CoSign permette di utilizzare CoSign in Alta Disponibilità con replica delle chiavi private del firmatario (art. 8 DPCM 22 febbraio 2013 – Regole techinice sulla firma digitale): nell’ambiente operativo è installato un solo dispositivo PRIMARY e uno o più dispositivi ALTERNATE.
Alcune delle funzioni di sicurezza implementate da CoSign sono:
- Controllo d’accesso: CoSign autorizza l’accesso degli utenti assegnando i diritti in base al loro ruolo: Firmatario, Appliance Administrator e User Administrator;
- Identificazione e autenticazione: CoSign identifica univocamente e autentica gli utenti. Gli amministratori si autenticano con una password statica: per alcune operazioni, come l’attivazione dell’account e le operazioni di generazione ed uso delle chiavi crittografiche, i firmatari si autenticano, oltre che con una password statica, anche con una dinamica (One Time Password);
- Operazioni crittografiche: CoSign permette di effettuare operazioni crittografiche, quali generazione chiavi, firma digitale, verifica della firma, oltre che di gestione di chiavi a scopo di protezione dei dati dell’utente;
- Audit di sicurezza: CoSign registra una serie di eventi relativi alla sicurezza, permette all’Appliance Administrator di verificare i log registrati;
- Comunicazioni sicure e gestione delle sessioni: le comunicazioni tra CoSign e RADIUS Server (server di autenticazione), tra CoSign Primary e CoSign Alternate e tra CoSign e Client avvengono in modo sicuro, garantendo la confidenzialità e l’integrità dei dati trasmessi e la separazione delle sessioni d’utente;
- Rilevamento delle manomissioni: CoSign implementa meccanismi di verifica dell’integrità del software e anti-tampering fisico.
Riflessione “Common Buon Senso”
La certificazione è un passo molto importante fatto in direzione delle firme digitali interoperabili a livello europeo, eIDAS compliant (Electronic identification and trust services), garantito da uno standard riconosciuto da tutti a livello europeo, che può essere spesa su tutto il territorio dell’Unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. Dopo 15 anni si è conclusa in Italia la fase “fidati, te lo dico io” (autodichiarazione/autocertificazione), siamo i primi in Europa ad esserci mossi lungo il cammino della certificazione dei dispositivi di firma, confermando, almeno in questo ambito, l’italica indole di sognatori ed inventori
… ed anche un po’ sommi poeti!
Ho una piccola azienda che deve generare un certo numero di FatturePA e vorremmo automatizzare il processo di firma. Si tratta comunque di un numero non elevato di fatture che certo non giustifica l’acquisto e l’uso di un HSM.
Le firme digitali “remote” sono un passo avanti ma hanno ancora due problemi:
1) Necessitano dell’immissione di una password OTP per ogni firma.
2) Necessitano di far girare su un proprio computer un software proprietario e closed-source di firma (non disponibile sulle piattaforme Unix BSD da noi usate).
Mi chiedo: ma non esiste un servizio di VERA FIRMA REMOTA, ad esempio come servizio web? Cioè, invio il file ad una URL remota e questa mi restituisce il file firmato con la mia firma memorizzata sul server remoto.
E’ pura fantascienza?
Grazie.