menu di navigazione del network

Clone CIE

È possibile clonare una CIE? o almeno la parte che contiene il NIS.
Lo chiedo perché su un SDK c’è una parte di codice che verifica se la carta è “originale”.
Ovviamente il mio scopo non è clonarla, è capire la sicurezza nell’utilizzo del NIS per servizi.

1 Mi Piace

Nel mondo NFC, clonare una card anche di quelle a basso costo non è possibile.

Il NIS è considerato dato accessibile liberamente. E da quello che ho verificato su SDK non è autenticato/protetto, quindi a meno di illuminanti approfondimenti da IPZS quella parte è in teoria clonabile.

Sicuramente non puoi erogare servizi personalizzati col solo NIS, serve l’autenticazione come prova del consenso. Tieni conto che essendo il NIS dato pubblicamente accessibile è come se io volessi loggarmi a INPS e farmi i fatti personali di un cittadino sapendone solo il codice fiscale.

Ovviamente per la tua stessa tutela, per la robustezza del sistema ed il principio never trust user input. Io, che oggi con il cappello bianco recito la parte dell’hacker, potrei in teoria realizzare una carta che alla richiesta di NIS risponde col NIS che voglio io, ma alle richieste autenticate risponderà sempre male. Come abbiamo detto, la carta non si può clonare.

Se tu non controlli che la carta che viene avvicinata al lettore sia realmente una CIE, e se non c’è un controllo umano al lettore (che vede la carta e verifica le sue feature di sicurezza), ad esempio nello scenario in cui si associa alla CIE l’abbonamento alla metropolitana, ecco che potrei bucarti.

Chiaro che il tuo scopo non è realmente quello di clonare una carta (si va nel penale), ma provare a emulare quella parte software potrebbe essere un interessante, seppur costoso, esercizio per provare a bucare il tuo stesso sistema al fine di rinforzarlo.

3 Mi Piace

Grazie mille per la sua chiarissima risposta!!
:slightly_smiling_face: :slightly_smiling_face:

Salve,

è possibile leggere il NIS in maniera “autenticata”, ovvero eseguire oltre alla lettura del NIS, altre operazioni crittografiche sulla CIE che permettono di verificare che il documento utilizzato sia autentico e originale.

Stiamo lavorando ad un flusso e ad un SDK che illustrano tutti i passaggi necessari per l’implementazione di una soluzione sicura per utillizzare il NIS per i servizi.

Saluti,
Francesco Ventola

1 Mi Piace

Buongiorno a tutti.
Scusate mi inserisco in calce per la mia richiesta.
Ho due genitori anziani ultra 80 che vivono in altra regione.
Entrambi hanno CIE. La mia domanda è se è possibile duplicare fisicamente la loro CIE con una tessera NFC vuota.
Vorrei da remoto accedere al loro fascicolo sanitario elettronico, richiedere certificati con SPID e fare tutto a distanza senza privare loro del documento e potendolo fare da lontano causa restrizioni e comunque sarebbe per me una grande comodità.
Io ho loro PIN e PUK perché la utilizzo già originale.
Grazie a tutti.
Buona giornata.

Non si può duplicare la CIE, ma con la CIE può richiedere SPID (senza bisogno di ulteriori identificazioni di persona) ed utilizzare questo per accedere ai siti della PP.AA. che le necessitano.
Sappia che Poste non è adatto al suo caso in quanto non consente di gestire con un unico smartphone più identità SPID, SIELTE (di sicuro) e probabilmente anche Infocert permettono di utilizzare utenze multiple sullo stesso telefono.
In ogni caso per la creazione dell’utenza SPID le servirà un numero di telefono per ogni utente (se utilizza lo stesso provider) altrimenti dovrebbe essere possibile attivare più utenze SPID con lo stesso numero di cellulare presso IDP diversi.
In quest’ultimo caso avrà 3 APP sul telefono ognuna per lei e per i suoi genitori.

1 Mi Piace

Grazie gentilissimo. Lascerò a loro allora la semplice autenticazione.
Cordiali saluti

La CIE le servirà solo una volta per la richiesta di SPID.

Penso però che per il fascicolo sanitario venga richiesta ad ogni accesso.
Grazie

No! per il fascicolo sanitario è sufficiente SPID