Salve, ho attivato con successo l’app CIE sign e registrato la mia CIE.
Ho quindi effettuato la firma di un file. L’operazione è apparentemente andata a buon fine ma la verifica della firma con GoSing Desktop (Dike) fallisce con il messaggio “Certificato CA non trovato”.
Inoltre, aprendo i dettagli della firma vedo i seguenti dati anomali:
il campio None non valorizzato — anomalo
il campo Cognome contiene il codice fiscale (in lettere minuscole) ---- anomalo
Identificativo del certificato non valorizzato ---- anomalo
Tipo di certificato: Digital signature
KeyUsage: C
Algoritmo digest: sha-256
Ente certificatore: Issuing sub CA for the italian electronic identity card - SUBCA1
Non è strano, dato che il Ministero dell’Interno a oggi non è un certificatore qualificato, pertanto la diretta ed ovvia conseguenza è che la firma elettronica relativa non sia qualificata …
Ci sono diversi post a proposito a cui rimando, basta una ricerca. La CIE permette una firma elettronica equivalente ad una FEA (avanzata). I comuni software commerciali di verifica firma, salvo eccezioni, sono predisposti per la sola verifica di firme digitali.
E la norme legislative: CAD e regole tecniche discendenti (in questo caso quelle su firme e validazione temporale). Dovrebbero essere conoscenze imprescindibili per chi affronta la materia per motivi professionali.
PS pignolo:
detta cosi’ sembra che sia una dimenticanza o una carenza organizzativa del ministero. In realtà la CIE contiene volutamente un certificato di autenticazione (per dirla coi giuristi: manca - per scelta - un requisito oggettivo, non soggettivo). Sotto opportune ipotesi si è stabilito per legge che questo si possa usare per firmare dei file in determinati contesti, con valore di firma elettronica avanzata.
Ok. Diciamo che mi viene richiesto di firmare un file in cui attesto le mie generalità. Si tratta di una firma ma, di fatto, è una forma di autenticazione. I sw dei vari fornitori di servizi non la considereranno valida ma è un dettaglio non rilevante allo scopo.
E’ possibile dire che le informazioni inserite nel documento (ovviamente intendendolo come una autocertificazione) sono firmate in modo conforme alla normativa?
Esempio pratico: uso la CEI per firmare i dati con cui mi registro a un sito che offre servizi che richiedono un processo di identificazione certa del cliente.
La FEA (con CIE) è valida solo nei confronti della PP.AA.
Se ti servisse solo attestare le generalità il metodo corretto sarebbe una autenticazione tramite SPID.
La CIE non contiene un certificato di firma (FEQ), ma solo un certificato di autenticazione (è questione di attributi del certificato). Infatti il suo uso principale è l’autenticazione per l’accesso (come SPID). Le modalità di rilascio ed identificazione del titolare la rendono però valida come FEA che, stando al CAD, è valida solo nei confronti della PP.AA. (in quanto ente rilasciante la CIE)
Grazie Ettore. Comprendo molto bene le motivazioni da cui deriva la “specializzazione” d’uso dei certificati. Mi resta un dubbio: se un certificato è valido per identificarmi verso un fornitore di identità (SPID) perchè non dovrebbe essere valido per identificarmi direttamente nei confronti di un altro service provider privato? Dal punto di vista tecnico certamente non vi è alcuna differenza.
Perchè una FEA è valida solo nei confronti di chi ne emette il certificato (che non è un ente Qualificato). Le firme che, ad esempio, rilasciano Fineco o Unipol per sottoscrivere i contratti valgono solo nei rispettivi confronti. Sono quelli che ne controllano l’infrastruttura di rilascio e gestione e, non essendo qualificati, non vengono, per legge, riconosciuti mutuamente nè dallo Stato
Chiaro. Protezione del mercato dei service providers. Ho dato un’occhiata alla lista degli emittenti qualificati di certificati eDAS e vari paesi hanno inserito i loro ministeri dell’interno o dello sviluppo economico… Chiaramente noi no… troppo semplice, troppo logico.
Comunque, il cliente dovrà comprarsi la firma di uno dei providers qualificati. A quel punto firmando un dato sarà identificato in modo certo.
Secondo me non è così semplice. E’ tutto il processo che ci ha portato qui che è stato strano.
Gli IDP forniscono il servizio gratuitamente, convinti da AgID che ci sarebbero state tante opportunità di fare soldi con servizi ulteriori/collaterali che, al momento, ma sono già più di tre anni che SPID è attivo, non si sono visti. L’identificazione via WEB che alcuni IDP fanno pagare è fatta praticamente a prezzo di costo.
Ora, dopo avere, per anni, fatto pagare quello che, in fondo, è un servizio pubblico ai privati, effetiivamente, è difficile da parte dello Stato dire, lo forniamo anche noi con la CIE - che a tendere tutti avranno -. Non sarebbe nemmeno corretto.
Ma , come dicevo, è l’idea iniziale, di riversare sul privato quello che dovrebbe essere un servizio fornito, anche a pagamento (come con il costo della CIE), dallo stato che è sbagliata, il resto sono solo conseguenze.
La stessa cosa sta succedendo con la PEC che pur essendo un servizio che i privati offrono a pagamento (guadagnandoci) dovrebbe essere fornito a tutti i cittadini dallo stato in modo da realizzare il “recapito digitale”.
Ma dopo avere fatto mettere in piedi, ai privati, una infrastruttura molto complessa per la gestione della PEC, è difficile dire buttatela perchè, da ora in poi, la PEC la fonirà lo stato a tutti (fossero anche solo i privati e non i professionisti o le società).
Si si, concordo. Il fatto è che questo rituale ci ha portato prima ad essere il paese più evoluto, ed ora probabilmente al più ingessato.
Forse non tutti hanno letto il manuale tecnico del Green Pass emesso dalla Commissione Europea, ma chi l’ha fatto ha certamente notato che c’è un capitolo, per ora in bianco, che parla di certificato standard W3C DID.
Attualmente pochissimi service provider usano questo standard, perchè i costi dei registri distribuiti sono molto elevati e ovviamente non ha senso usare un registro privato. Ma questo scenario potrebbe cambiare a breve con una rete pubblica che non impone le famose fees.
Se mettiamo insieme i pezzi del puzzle si scopre uno scenario molto interessante e, mi spiace, difficilmente evitabile: una W3C Verificable Credential che attesta l’avvenuta vaccinazione Covid o l’aver ottenuto un esito negativo da un tampone, ecc. ecc. non solo sarà un certificato valido, ma implicitamente attribuisce validità all’identità a cui è riferito. Se no sarebbe come dire che il certificato è rilasciato senza indicare a chi è intestato.
Voglio proprio vedere come potrà essere contestata l’idea che un’identificazione del titolare di un certificato di vaccinazione non possa essere una identificazione valida dello stesso soggetto per qualsiasi altro scopo. In Italia si potrà anche cavillare, ma a livello europeo questa distinzione non ha senso e non vedo come la si potrà imporre.
Qualcuno potrà dubitare che quella parte del manuale verrà mai completata. Può essere, ma ci sono due motivi molto importanti per cui dovrebbe essere completata: la privacy e i costi del sistema.
Se 250 milioni di europei dovessero usare il green pass per svolgere molte delle attività quotidiane, i sistemi di validazione dei certificati subirebbero picchi elevatissimi di richieste contemporanee. I casi sono due: o i sistemi sono adeguatamente dimensionati o i tempi di risposta saranno inaccettabili.
Per la privacy poi c’è un problema enorme: ogni volta che il green pass viene verificato si segnala al sistema di validazione cosa sta facendo il titolare del certificato.
L’utilizzo della metodologia W3C DID, risolve entrambi questi problemi permettendo al verificatore di validare il certificato e l’identità di chi lo presenta senza dover interrogare una terza parte.
Chiaramente un certificato (un DID.document come lo chiama lo standard) non è rappresentativo di nessuno in particolare. Essendo accessibile su un registro pubblico sarebbe incompatibile con il GDPR. Ma una credenziale verificabile assegnata al DID (l’id del certificato) e firmata con un certificato rilasciato dal ministero dell’interno (quindi con la propria CIE) può attestare la reale identità del soggetto. Una seconda credenziale che rappresenta un “certificato codiv free” rilasciato dall’autorità sanitaria per lo stesso DID, collega il certificato all’identità del soggetto a cui si riferisce.
Apparentemente macchinoso, ma dato che sono solo verifiche in sequenza delle firme digitali con le chiavi pubbliche presenti nei DID.document, reperibili da un nodo qualsiasi della rete pubblica, in realtà la verifica è semplice, economica e rispettosa della privacy (le credenziali infatti sono sotto il controllo del titolare e non pubblicate da nessuna parte).
L’unico problema è che l’autorità sanitaria deve disporre di un proprio DID mediante il quale è dimostrata l’autenticità delle credenziali/certificati covid free. Ma se questo standard sarà adottato per il Green Pass, dovranno adottarlo per forza.
ho iniziato a leggere qualcosa ma c’è qualcosa che mi sfugge nel funzionamento.
Tutto deve originare dalla verifica dell’identità, quindi diciamo dalla CIE: io con la mia CIE al controllo covid in aeroporto cosa presento oltre alla CIE per verificare il mio PASS ?
Leggendo, mi pare di avere capito che l’infrastruttura sia ancora in allestimento, quindi forse non compatibile con i tempi del pass.
Le credenziali verificabili sono semplici documenti in formato JSON che contengono dai arbitrari e due e dati fondamentali: il did a cui le credenziali sono rilasciate e la firma del soggetto che le rilascia, verificabile con il suo DID anch’esso indicato insieme alla firma.
In aeroporto dovrò fornire al controllo due credenziali e il mio DID. Per prima cosa dimostro di essere il controllore del DID firmando un challenge che mi viene fornito dal sistema di controllo, firma che verificherà con la mia chiave pubblica reperibile dal DID.document, ottenuto dal mio DID sulla rete pubblica. Poi fornisco le due credenziali. La prima sarà quella firmata con la mia CIE. La firma e il certificato sono incluse nella credenziale quindi se il controllore è un agente di pubblica sicurezza dovrebbe poter recuperare la mia foto e validare il certificato (oltre che la firma). Potrei quindi non dover fornire neppure la CIE. La seconda credenziale contiene il certificato covid, la firma di un’autorità sanitaria, e il suo DID … che permette di verificare la firma.
Inserisco la CIE e digito il mio PIN (come per l’accesso ai siti), l’agente ora sa che sono veramente io accedendo ad una mia foto (diciamo la copia online della mia CIE), dopodichè fornisco un QR Code che ho ricevuto dall’ASL che lui potrà verificare corrispondere al mio nome e riportare che possegga un pass valido (immagino che ci voglia anche qui una autenticazione mia per non rendere pubblico il certificato).
Ripensandoci:
La Cie già contiene la mia foto firmara dal Min. Interno. Quindi può essere verificata a prescindere da tutto. Resta solo il pass da verificare,
Boh, francamente mi sembra un’inutile complicazione… avrebbe più senso, almeno per chi ha la CIE o un documento informaticamente equivalente, che con la verifica dell’identità la competente Autorità di polizia p.es. alla Dogana/Posto di frontiera potesse verificare con un certo automatismo su un database condiviso a livello UE lo stato di vaccinazione del soggetto. La privacy quando si tratta di esercizio di funzioni pubbliche giustificate da una base giuridica è tendenzialmente inconferente e prescinde dal consenso della persona (specialmente per ragioni di ordine pubblico: esiste già il Sistema Informativo Schengen, del resto…).
Esatto. In realtà non serve che io fornisca la CIE. Quello che occorre è che io riceva le informazioni (service end point) dove inviare le mie credenziali (lo si fa di solito leggendo un Qrcode che contiene il DID del sistema di controllo da cui si ottiene il did.document che contiene il service end point del sistema). Questo processo prevede che una app per prima cosa identifichi il destinatario delle credenziali con il solito modo, e poi le invii.
Lato controllore tutte le firme sono verificabili e dal mio certificato CIE può ottenere la foto con cui riconoscermi fisicamente.
