menu di navigazione del network

Clone CIE

È possibile clonare una CIE? o almeno la parte che contiene il NIS.
Lo chiedo perché su un SDK c’è una parte di codice che verifica se la carta è “originale”.
Ovviamente il mio scopo non è clonarla, è capire la sicurezza nell’utilizzo del NIS per servizi.

1 Mi Piace

Nel mondo NFC, clonare una card anche di quelle a basso costo non è possibile.

Il NIS è considerato dato accessibile liberamente. E da quello che ho verificato su SDK non è autenticato/protetto, quindi a meno di illuminanti approfondimenti da IPZS quella parte è in teoria clonabile.

Sicuramente non puoi erogare servizi personalizzati col solo NIS, serve l’autenticazione come prova del consenso. Tieni conto che essendo il NIS dato pubblicamente accessibile è come se io volessi loggarmi a INPS e farmi i fatti personali di un cittadino sapendone solo il codice fiscale.

Ovviamente per la tua stessa tutela, per la robustezza del sistema ed il principio never trust user input. Io, che oggi con il cappello bianco recito la parte dell’hacker, potrei in teoria realizzare una carta che alla richiesta di NIS risponde col NIS che voglio io, ma alle richieste autenticate risponderà sempre male. Come abbiamo detto, la carta non si può clonare.

Se tu non controlli che la carta che viene avvicinata al lettore sia realmente una CIE, e se non c’è un controllo umano al lettore (che vede la carta e verifica le sue feature di sicurezza), ad esempio nello scenario in cui si associa alla CIE l’abbonamento alla metropolitana, ecco che potrei bucarti.

Chiaro che il tuo scopo non è realmente quello di clonare una carta (si va nel penale), ma provare a emulare quella parte software potrebbe essere un interessante, seppur costoso, esercizio per provare a bucare il tuo stesso sistema al fine di rinforzarlo.

2 Mi Piace

Grazie mille per la sua chiarissima risposta!!
:slightly_smiling_face: :slightly_smiling_face:

Salve,

è possibile leggere il NIS in maniera “autenticata”, ovvero eseguire oltre alla lettura del NIS, altre operazioni crittografiche sulla CIE che permettono di verificare che il documento utilizzato sia autentico e originale.

Stiamo lavorando ad un flusso e ad un SDK che illustrano tutti i passaggi necessari per l’implementazione di una soluzione sicura per utillizzare il NIS per i servizi.

Saluti,
Francesco Ventola

1 Mi Piace