Firma Elettronica Avanzata con SPID

Quale provider? L’Identity Provider o il Service Provider?

I problemi di natura commerciale mi paiono critici, visto che ancora oggi non è chiaro quale sarà il modello di business una volta scaduto il periodo di gratuità!

Una soluzione potrebbe essere quella di usare come certificato della CA quello del Service Provider:

  • È affidabile? Sì, è lo stesso usato per sottoscrivere i metadati inviati a AgID
  • È sicuro? Sì, è quello usato per firmare le buste SAML

Il certificato One Time Signature:

  • È emesso dalla CA del Service Provider
  • Contiene i dati dell’asserzione SPID
  • Contiene il numero di cellulare a cui è stato inviato l’OTP per la sottoscrizione
  • Contiene i dati che identificano la sessione SPID

Per garantire il controllo di chi firma sullo strumento si subordina la firma all’immissione di un OTP inviato al cellulare dell’utente SPID.

1 Mi Piace

Chiaramente l’Identity Provider.
Che si trasforma di fatto in un erogatore di FEA. Così come lo era chi emetteva la CNS. Ribadisco, non ci sarebbe nulla di nuovo.

Abbiamo bisogno di soluzioni semplici, standardizzare e realizzate in un tempo accettabile. Direi che in questo periodo il “time to market” della PA è alquanto basso.

Così come non sono convinto che l’art.64 non sia una semplificazione ma una complicazione potenzialmente pericolosa, sono altrettanto convinto che per le infrastrutture portanti (o abilitanti, come si usa dire) il modello dei provider non sia vantaggioso per nessuno. Non per i cittadini che sicuramente non sentono la necessità (per questi tipi di servizi) di potersi rivolgere a diversi fornitori e che si trovano invece spaesati, non per la PA perché i vincoli diventano pesanti e si ripercuotono sui tempi di realizzazione e penso nemmeno per i provider stessi (almeno per i momenti).
Questo, IMHO, è quello che succede quando si applicano pedissequamente principi anche fuori dal corretto contesto.

Sulla soluzione che proponi non mi esprimo perché ancora ci devo ragionare bene e ho paura di dire stupidaggini. Dovrai ammettere però che rispetto a quanto sopra si tratta di cosa abbastanza arzigogolata.

In realtà la soluzione è semplice da implementare e, con una UI fatta come si deve, facile da usare.

Implementazione:

  1. Utilizzando i dati dell’asserzione SPID (livello 2) si genera un certificato con la sua chiave privata
  2. Lo si firma usando il certificato del SP
  3. Lo si usa per sottoscrivere i documenti nell’ambito della sessione SPID
  4. Lo si distrugge al termine della sessione SPID

Uso:

  1. Accanto ad ogni documento ci sono due bottoni: visualizza e firma.
  2. Il bottone firma si attiva solo dopo che il documento è stato visualizzato
  3. La funzione di firma consente di aggiungere la propria firma anche a documenti già firmati da altri
2 Mi Piace

Il fatto è che la FEA è un processo che va implementato in autonomia seguendo le indicazioni dell’AGID che non ha emanato (e non emanerà a quanto ho capito) le linee guida tecniche.

Ha senso visto la sua valenza dal punto di vista legale.

Vero è che la FEA realizzata con SPID rafforzarebbe la valenza legale della firma ma cambierebbe anche il processo (a che serve l’OTP se sono già stato identificato da una terza parte equiparata a pubblico ufficiale?).

Ma… quanto è diffuso SPID oggi?
Non sarebbe il momento di aprire la fruizione di SPID anche alle aziende private?

Buonasera @giampaolo.laterza,

AgID già sta lavorando e pensando alla modalità di utilizzo della FEA ed emanerà delle linee guida.

Il processo di firma tramite SPID sarà un processo diverso da quello dell’autenticazione perchè sarà un’attività dispositiva che farà uso dell’autenticazione SPID.

SPID si diffonderà anche con l’implementazione di nuove funzionalità. Riguardo ai privati è una questione di settimane.

Umberto Rosini
Agenzia per l’Italia Digitale

Non é complicatissimo ma nemmeno banale @emmedi ! Chiaro che se non ci sarà nulla a livello infrastrutturale si sarà costretti a percorrere una di queste strade.
Che però continuano a non entusiasmarmi. In primis per un motivo “di principio”: ma se l’infrastruttura di base non mi copre nemmeno in un ambito così importante come la sottoscrizione che si costruisce un’infrastruttura a fare ? Penso che vi siano ampi margini per arricchire SPID per coprire anche questo aspetto, credo inoltre che sia opportuno che queste cose me le fornisca un elemento architettura standard e che di conseguenza non debbano essere a carico degli altri attori, anche per evitare che fioriscano (come oggi) decine di soluzioni diverse, spesso fantasiose e che spesso generano più problemi di quelli che risolvono.
Poi, nello specifico, non mi entusiasmano le soluzioni erogate direttamente dal Service Provider, credo sia molto meglio che per cose di questo tipo la soluzione debba essere messa a disposizione da una terza parte (l’Identità provider ma non necessariamente). Vero che nel tuo caso l’IdP entra in gioco ma il suo ruolo é comprimario.

E se provassimo a cambiare prospettiva ? Leggendo il Decreto Correttivo mi é saltata all’occhio la questione della PEC che dovrà essere adeguata, per poter essere considerata a tutti gli effetti un servizio certificato qualificato, aggiungendo alcune funzionalità, fra cui la questione dell’autenticazione forte al servizio. In sostanza penso si dovrebbe estendere la PEC alla (mai nata ma prevista da tempo) pec-id così come descritta al comma 1, lettera 3-bis dell’art.65.
Qui l’articolo 65 prevede che sia il prestatore di Servizio PEC, previa autenticazione forte al servizio (a questo punto direi attraverso SPID) a “certificare” che il messaggio/documento é attribuibile alla persona fisica rappresentata dal mittente. In poche parole il documento é firmato dal prestatore del servizio che attesta provenire dal mittente.
Molto ma molto più semplice e standardizzato (dato per assodato che dotare tutti di una vera firma non é ipotizzabile) sarebbe immaginare una cosa di questo tipo anche per i documenti/dati inviati tramite un servizio autenticato.
Il Decreto Correttivo lascia la strada aperta a soluzioni di questo tipo, ricollegandosi alla nuova modalità prevista nell’articolo 20.
Lasciamoci stupire…sperando solo di non dover attendere anni …

1 Mi Piace

Il problema è proprio quello dei tempi.
Da quasi dieci anni stiamo erogando soluzioni per la presentazione di istanze alla PA con accesso e FEA basati su CNS.
Voglio garantire agli utenti che accedono ai sistemi usando SPID le medesime funzionalità che garantisce la CNS.
Se per accedere ai sistemi possono usare SPID, ma se per firmare sono costretto a far usare loro la CNS, tanto vale che gliela faccia usare anche per accedere…

1 Mi Piace

Rinnovo la richiesta del post all’inizio del thread:

2 Mi Piace

Si spererebbe di andare a migliorare in realtà.
SPID é molto più adatto rispetto alla CNS, non richiede driver e lettori, funziona su ogni device…insomma é un ottimo sostituto evoluto della CNS. Ma come dici tu giustamente, come ogni sostituto che si rispetti deve avere tutte le funzionalità del predecessore, altrimenti rischia di non essere un sostituto per niente.

E i tempi sono importanti, fondamentali direi…

2 Mi Piace

L’importante, è fare le cose semplici. (ho detto tutto e niente :joy: )

Riguardo alla FEA, secondo me l’utilizzo di SPID sarebbe la cosa migliore. C’è già, è verificato (devo identificarmi per averne uno), è sicuro (SAML): identifica me univocamente. Non vedo perché bisogni complicarsi la vita con altri applicativi in più…

Una cosa semplicissima e veloce, sarebbe quella di avere un unica web app che, dopo aver effettuato l’accesso con SPID, consenta al cittadino di caricare il documento da firmare, e poi restituirglielo firmato in download.
Andrebbe fatto un ragionamento più complesso quando un documento deve essere firmato da più persone (ho visto un topico sul forum a proposito), ma l’idea di base è quella di un portale che permetta di firmare un documento, e di verificare (dall’altra parte) da chi sia stato firmato.

Un’app per gli smartphone renderebbe il processo ancora più slim per gli utenti mobile.

Buon lavoro, e attendo l’apertura di SPID ai privati! :slight_smile:

2 Mi Piace

Buongiorno a tutti. Ci sono stati sviluppi sul fronte FEA con SPID in questi mesi? Sarebbe una soluzione tecnica molto interessante e comoda su più fronti rispetto alle soluzioni esistenti. Almeno dal mio punto di vista.
Grazie! :slight_smile:

1 Mi Piace

Se scopri qualcosa, fammi sapere…

Gentilissimi, la questione dell’uso di SPID per realizzare un protocollo di firma elettronica avanzata nel quadro europeo delle firme è stata già ipotizzata e definita da me e il mio gruppo di ricerca sin dal 2016 come testimonia la pubblicazione di cui inserisco il link:

Buccafurri, F., Fotia, L., & Lax, G. (2016, September). Implementing advanced electronic signature by public digital identity system (SPID). In International Conference on Electronic Government and the Information Systems Perspective (pp. 289-303). Springer, Cham.

Cordiali Saluti
Francesco Buccafurri
Prof. Ordinario di Sicurezza Informatica presso l’Università Mediterranea di Reggio Calabria

1 Mi Piace

Gentile prof. anzitutto mi complimento per la sua vasta produzione accademica
https://dblp.uni-trier.de/pers/hd/b/Buccafurri:Francesco

ma visto che ha studiato molto su questo ambito approfitto per fare qualche domanda: secondo lei fra 10 anni esisteranno ancora, contemporaneamente, CNS, SPID e CIE ? Crede a quelli che dicono che rimarrà solo la CIE ?

Saluti.

Una mia ipotesi, è che la CNS verrà superata e sostituita da CIE, mentre SPID verrà unificato con CIE…

Immaginiamo se:
ognuno di noi ha la CIE, ai 16/18 anni si può abilitare si può abilitare la firma elettronica piuttosto che uno SPID che si basa su CIE…

Sarebbe bello, no? :slight_smile:

2 Mi Piace

Scusi,
sarò un po imbranato , ma è possibile leggerlo senza comprarlo ?

Grazie
Daniele

La ringrazio, gentilissimo.
Credo che CNS sia sussunto da SPID a LoA elevato, mentre CIE ha caratteristiche diverse, a mio avviso rimarrà.

Buongiorno, per pubblicare in atti di conferenze o riviste scientifiche noi autori firmiamo la cessione del copyright, quindi lo sfruttamento di eventuali diritti commerciali è del Publisher, in questo caso di Springer. Quindi non posso divulgare l’articolo. Vedo che google parzialmente lo pubblica:
https://books.google.it/books?id=dtLMDAAAQBAJ&pg=PA289&lpg=PA289&dq=Implementing+advanced+electronic+signature+by+public+digital+identity+system+(SPID)&source=bl&ots=9TsTJU0NYZ&sig=ACfU3U0Yx9spxett3bdGDwJsjWSf7zdFMA&hl=it&sa=X&ved=2ahUKEwiYycT-g8PhAhUFsKQKHSEoB_8Q6AEwAnoECAkQAQ#v=onepage&q=Implementing%20advanced%20electronic%20signature%20by%20public%20digital%20identity%20system%20(SPID)&f=false

Ad ogni modo chiunque fosse interessato ad avere dettagli può scrivermi a bucca@unirc.it.

Cordiali Saluti

Ah! Quindi lei non prevede una morte vicina per la CNS. Però nel momento in cui parte a livello massivo la CIE che incorpora la firma digitale é quest’ultima che potrebbe diventare il giusto complemento allo SPID per il livello 3

Secondo l’azione 38 del piano triennale, le linee guida per la firma con SPID sono calendarizzate per Giugno 2019.

Sono state rilasciate?

3 Mi Piace