È possibile clonare una CIE? o almeno la parte che contiene il NIS.
Lo chiedo perché su un SDK c’è una parte di codice che verifica se la carta è “originale”.
Ovviamente il mio scopo non è clonarla, è capire la sicurezza nell’utilizzo del NIS per servizi.
1 Mi Piace
Nel mondo NFC, clonare una card anche di quelle a basso costo non è possibile.
Il NIS è considerato dato accessibile liberamente. E da quello che ho verificato su SDK non è autenticato/protetto, quindi a meno di illuminanti approfondimenti da IPZS quella parte è in teoria clonabile.
Sicuramente non puoi erogare servizi personalizzati col solo NIS, serve l’autenticazione come prova del consenso. Tieni conto che essendo il NIS dato pubblicamente accessibile è come se io volessi loggarmi a INPS e farmi i fatti personali di un cittadino sapendone solo il codice fiscale.
Ovviamente per la tua stessa tutela, per la robustezza del sistema ed il principio never trust user input. Io, che oggi con il cappello bianco recito la parte dell’hacker, potrei in teoria realizzare una carta che alla richiesta di NIS risponde col NIS che voglio io, ma alle richieste autenticate risponderà sempre male. Come abbiamo detto, la carta non si può clonare.
Se tu non controlli che la carta che viene avvicinata al lettore sia realmente una CIE, e se non c’è un controllo umano al lettore (che vede la carta e verifica le sue feature di sicurezza), ad esempio nello scenario in cui si associa alla CIE l’abbonamento alla metropolitana, ecco che potrei bucarti.
Chiaro che il tuo scopo non è realmente quello di clonare una carta (si va nel penale), ma provare a emulare quella parte software potrebbe essere un interessante, seppur costoso, esercizio per provare a bucare il tuo stesso sistema al fine di rinforzarlo.
3 Mi Piace
Grazie mille per la sua chiarissima risposta!!
Salve,
è possibile leggere il NIS in maniera “autenticata”, ovvero eseguire oltre alla lettura del NIS, altre operazioni crittografiche sulla CIE che permettono di verificare che il documento utilizzato sia autentico e originale.
Stiamo lavorando ad un flusso e ad un SDK che illustrano tutti i passaggi necessari per l’implementazione di una soluzione sicura per utillizzare il NIS per i servizi.
Saluti,
Francesco Ventola
1 Mi Piace
Buongiorno a tutti.
Scusate mi inserisco in calce per la mia richiesta.
Ho due genitori anziani ultra 80 che vivono in altra regione.
Entrambi hanno CIE. La mia domanda è se è possibile duplicare fisicamente la loro CIE con una tessera NFC vuota.
Vorrei da remoto accedere al loro fascicolo sanitario elettronico, richiedere certificati con SPID e fare tutto a distanza senza privare loro del documento e potendolo fare da lontano causa restrizioni e comunque sarebbe per me una grande comodità.
Io ho loro PIN e PUK perché la utilizzo già originale.
Grazie a tutti.
Buona giornata.
Non si può duplicare la CIE, ma con la CIE può richiedere SPID (senza bisogno di ulteriori identificazioni di persona) ed utilizzare questo per accedere ai siti della PP.AA. che le necessitano.
Sappia che Poste non è adatto al suo caso in quanto non consente di gestire con un unico smartphone più identità SPID, SIELTE (di sicuro) e probabilmente anche Infocert permettono di utilizzare utenze multiple sullo stesso telefono.
In ogni caso per la creazione dell’utenza SPID le servirà un numero di telefono per ogni utente (se utilizza lo stesso provider) altrimenti dovrebbe essere possibile attivare più utenze SPID con lo stesso numero di cellulare presso IDP diversi.
In quest’ultimo caso avrà 3 APP sul telefono ognuna per lei e per i suoi genitori.
1 Mi Piace
Grazie gentilissimo. Lascerò a loro allora la semplice autenticazione.
Cordiali saluti
La CIE le servirà solo una volta per la richiesta di SPID.
Penso però che per il fascicolo sanitario venga richiesta ad ogni accesso.
Grazie
No! per il fascicolo sanitario è sufficiente SPID
Buonasera , mi inserisco in questa vecchia conversazione … potrei essere stato truffato con invio di alcuni miei dati personali come : nome cognome , indirizzo , numero di telefono e numero della CIE. Non ho assolutamente inviato foto della CIE, mie foto , foto della firma , non ho inviato la mail …
I dati che ho inviato lì ho scritto a computer su un foglio , c’è da preoccuparsi per un uso illecito ? Grazie dell’attenzione
Certo è possibile, ma sono dati disponibili a chiunque possa vedere la sua CIE ogni volta che la usa regolarmente. E’ praticamente impossibile proteggere queste informazioni anche senza truffa.
1 Mi Piace
Ok grazie… Mah , l’unica cosa allora che mi viene in mente è fare denuncia di smarrimento e rifare la carta … tra le altre cose ho da poco cambiato residenza .
Quindi , anche se valida ancora, la CIE attuale ha l’indirizzo vecchio … a sto punto rifaccio tutto così ho anche l’indirizzo nuovo . Cosa dice ?
Come ho spiegato è inutile. Il primo a cui dà la carta ha nuovamente tutte le informazioni che pensa di avere condiviso.
La residenza non va aggiornata sulla carta di identità, non c’è nessun obbigo in tal senso.