menu di navigazione del network

Spid & cie


(Andrea Tironi) #1

Buongiorno a tutti.

Ho letto i thread in merito a SPID e CIE e volevo capire una cosa:

  1. posso usare la CIE per ottenere SPID come sistema di riconoscimento
  2. su alcuni sistemi posso autenticarmi con CIE o con SPID
  3. ma che relazione effettiva c’è tra l’identità CIE e l’identià SPID a livello tecnologico? Ovvero, entrambe dicono che sono digitalmente-io, ma sono due modi scorrelati di dire che sono digitalmente-io?

Grazie.

Andrea


(Marco Deligios) #2

Dimentichi la CNS, caro Andrea…

  1. posso usare la CNS per ottenere SPID come sistema di riconoscimento
  2. su alcuni sistemi posso autenticarmi con CNS o con SPID

(Luca Bonuccelli) #3

un poco datato questo post del 2016 ma ancora valido a mio avviso


(Luca Bonuccelli) #4

La CIE (carta di identità elettronica)
La CIE è una CARTA DI IDENTITA’: emessa dai comuni sotto il controllo del ministero dell’interno è un documento di identità , sostituisce il passaporto per il transito in moti stati ma rimane il documento principale di identificazione per i cittadini italiani e le cittadine italiane o residenti sul territorio.
L’utilizzo di questa, o di un documento con foto considerato equivalente, è obbligatorio ai fini del riconoscimento, seppure con limitazioni. Può inoltre essere convalidata come documento valido per l’espatrio.
La parte digitale della CIE si suddivide in due parti: passaporto elettronico e strumento di identificazione in rete (proprio a norma del Codice amministrazione digitale art 64.)
La funzione di passaporto elettronico è necessario per la sicurezza transfrontaliera e in aderenza alla vigente normativa europea, dal 20 maggio 2010 viene rilasciato ai cittadini i passaporti hanno al proprio interno un chip per rendere più difficile (molto più difficile) la falsificazione.
Ma in molti stati si può viaggiare senza passaporto (che ha costi elevati) utilizzando la la semplice carta di identità, ma la facilità di falsificazione della “vecchia” carta di identità “analogica” è mal vista da tutti gli stati (Italia inclusa) ed ecco il perchè diviene necessario rafforzare la sicurezza rendendo “digitale” la Carta di identità.
Una volta digitalizzata la carta di identità ecco che si apre la possibilità di utilizzarla anche come strumento di indentificazione in rete come la CNS.
Si presenta come una Smart Card.

La CNS (carta nazionale dei servizi)
Emessa da una pubblica amministrazione la Carta Nazionale dei Servizi (CNS) è uno strumento di identificazione in rete che consente la fruizione dei servizi delle amministrazioni pubbliche. La CNS non contiene la foto del titolare e non richiede particolari requisiti di sicurezza per il supporto plastico. La completa corrispondenza informatica tra CNS e CIE (Carta d’Identità Elettronica) assicura l’interoperabilità tra le due carte.
La CNS è nata esclusivamente come strumento di identificazione in rete sulla forte spinta dei “governi territoriali” (si ricordi la carta regionale dei servizi della Lombardia) in quanto urgeva uno strumento di rapida diffusione, snello, ma al pari sicuro come la CIE.
Ecco quindi che la CNS si fonde con la tessera sanitaria (nella veste regionale) o con lo strumento di firma per le imprese ed i professionisti (nella veste delle camere di commercio) fino a unirsi con i tesserini dei ari ministeri (modello ATE) o le tessere dello studente di alcune università.
La CNS non è uno strumento di identità e si può presentare come una smart card o come una chiave USB.

SPID
Passa il tempo e CIE e CNS sono due strumenti molto validi dal punto della sicurezza, ma presentano alcune criticità nel loro uso, ad esempio:
Non sono utilizzabili da tablet o da uno Smartphone a meno che non esistano device del genere con una porta USB o un lettore di smart card.
L’uso senza contatto è difficile in quanto occorrono lettori specifici che non coincidono con quelli dei dispositivi maggiormente diffusi.
D’altra parte CIE e CNS sono molto sicuri e questo giustifica i limiti di utilizzo per servizi per cui la sicurezza massima è obbligatoria, ma i servizi non sono tutti uguali e sia il pubblico che il privato iniziano ad inventare meccanismi di autenticazione anche “fantasiosi” con rischio di furto di identità

Il giusto compromesso tra sicurezza e usabilità richiede un cambiamento.

Ecco quindi che viene ideato SPID i cui punti di novità sono:

  1. modula su tre livelli la sicurezza dei meccanismi di riconoscimento, d’altra parte danno conseguente ad un furto di indentità riconoscimento di un soggetto per la richiesta di un contributo economico è meramente di ordine finanziario, mentre il furto di identità di un medico che prescrive un farmaco presenta rischi perla vita o la morte di altre persone.

  2. apre il mondo dell’identità ai privati: sia per ideare soluzioni innovative (ma sicure data la procedura di accredito) per il rilascio della credenziale per il riconoscimento e permette ai privati di fruire del medesimo meccanismo per permettere ai cittadini di accedere ai servizi online offerti.
    Il tutto sotto lo stretto controllo dello stato che si fa garante del rispetto delle regole.

Tutti insieme
Una volta compresi i tre strumenti ecco che come utenti possiamo scegliere lo strumento che più ci è utile ricordando che:

CIE/CNS necessitano di un lettore o di una installazione SPID no
Una credenziale SPID di livello 2 non può essere utilizzata per tutti i servizi, la CIE e la CNS sì.
La CNS è gratuita (almeno come tessera sanitaria) SPID (livello 1 e 2 ) sarà gratuita per 2 anni poi si vedrà.
La CNS e la CIE non sono congeniali per i servizi privati (problemi di garante) SPID sì.


(Valerio Paolini) #5

ciao @Andrea_Tironi1,

i due sistemi sono alternativi e realizzano, con modalità diverse, la stessa funzione di identificazione online, vedi per esempio all’articolo 64 comma 2 quater e nonies del Codice dell’Amministrazione Digitale; ovviamente la CIE permette anche l’identificazione fisica. Stiamo lavorando a linee guida e soluzioni tecniche che renderanno l’esperienza con CIE più amichevole di quella che puoi fare oggi con la CNS.

Quanto alla scorrelazione, direi che è esattamente il contrario: per ottenere SPID devi farti riconoscere e lo fai sfruttando la catena di trust che porta all’emissione di un documento di riconoscimento.

Ciao, Valerio


(Marco Deligios) #6

Fino a quando non sarà reso disponibile il middleware della CIE difficilmente potrà essere utilizzata.
Lo so che su github è pubblicata la beta, ma finché non ci saranno disponibili pubblicamente i file di installazione di una versione stabile i normali cittadini non la potranno usare.
Contrariamente a quanto scritto nella documentazione:

Per installare il Middleware CIE è necessario disporre di un account con privilegi di amministratore. Effettuare il download del middleware dal Portale CIE, www.cartaidentita.interno.gov.it, sezione “La carta”, sotto sezione “Il Microprocessore” oppure dal sito developers.italia.it, sezione “CIE”.

Si aggiunga a questo che resta vero quanto segnalato in questo post: Registrazione SPID con CIE

e che almeno TIM e Namirial (non ho approfondito su tutti) nonostante quanto scritto qui https://www.spid.gov.it/richiedi-spid non consentono la richiesta tramite CIE


(Valerio Paolini) #7

ciao @emmedi,

il middleware verrà pubblicato in questi giorni, ma il nostro piano è di fare un passo avanti rispetto all’esperienza che si potrebbe fare con l’utilizzo diretto ed esclusivo del middleware. Contiamo di poter fornire maggiori informazioni quanto prima.

Alcuni Identity provider consentono la registrazione attraverso la CIE 2.0, che però non mi risulta avere un canale ufficiale di distribuzione del middleware relativo; inoltre ho notato che c’è un refuso nella nota che descrive questa opzione ed ho già chiesto una correzione.

Ciao, Valerio


(Marco Deligios) #8

@Valerio_Paolini: non credo che sia possibile una registrazione attraverso la CIE 2.0, per il semplice motivo che, anche se qualche eroe riuscisse a trovare il software della CIE, il certificato che sta a bordo della CIE 2.0 contiene un indirizzo della CRL non raggiungibile. Ne consegue che la CIE 2.0 non può essere utilizzata per l’identificazione informatica. (chi volesse approfondire può leggere questo post)
L’unico uso che può essere fatto della CIE 2.0 per il rilascio di SPID è quello di farne una scansione, esattamente come se si trattasse di una carta d’identità cartacea.
Per questo motivo, scrivere che SPID viene rilasciato tramite CIE 2.0 è scorretto e fuorviante.


(Valerio Paolini) #9

Hai ragione @emmedi, stiamo provvedendo alla correzione.


(Marco Deligios) #10

Da cittadino italiano vi farei un monumento se sollecitaste l’intervento della magistratura.
Questi sono i danni all’Italia digitale…


(Claudio Perrone - Comune di San Gimignano) #11

scusate mi sto perdendo… ma per CIE 2.0 intendente la vecchia CIE, quella stampata direttamente dai Comuni.Vero?


(Andrea Tironi) #12

Io gli farei un momento già adesso per quello che fanno.
Dopo se vuoi fare la statua modello Rio De Janeiro per questo intervento, non posso che associarmi.

@emmedi :sunglasses:

Andrea


(Luca Pernini) #13

Ciao, la registrazione presso Namirial.ID tramite CIE (3.0) ora funziona (vi era un mancato reperimento della CA ed il certificato non veniva riconosciuto). Se avete modo di provare e darmi un feedback è cosa gradita.


(Marco Deligios) #14

Ho provato, ma dopo aver letto il certificato la prima volta si è bloccata la procedura.
image
e non mi consente più di proseguire, nemmeno se inserisco una cns.
Dal punto di vista della user experience, consentire l’autenticazione con CIE/CNS, ma richiedere di inserire preventivamente i dati anagrafici ottenibili dal certificato mi pare un po’ un autogol.


(Marco Deligios) #15

@Valerio_Paolini: mi sai dire qualcosa circa la disponibilità del middleware?


(Valerio Paolini) #16

ciao @emmedi, stiamo aspettando che il Ministero dell’Interno pubblichi le pagine aggiornate, e purtroppo le ferie non ci sono di aiuto.


(Pierfrancesco Elia) #17

Piccolo semi-OT: Come mai sul sito CIE non è possibile registrarsi con SPID? :scream:


(Andrea Tironi) #18

Se intendi il sito per prenotarsi per l’emissione CIE hai vinto!
Sei il 1000 “cliente” che lo segnala.
Viaggio diretto all’IPSZ come premio, dove verrai messo a sviluppare
il plugin per spid per il portale CIE!

E dire che speravo di vincere io!

Uffa :smile:

Andrea


(Alessia De Col) #19

Ciao,
sono riuscita a superare la fase di riconoscimento con CIE 3.0 (durante la procedura di richiesta SPID con CIE presso Namirial.ID).
Ho provato con vari browser e alla fine ci sono riuscita con Google Chrome.
Firefox non è riuscito a rilevare il certificato di autenticazione a bordo della CIE (probabilmente bisognerà pre-caricarlo), mentre Internet Explorer è riuscito a rilevare il certificato ma poi ha generato un errore prima della richiesta del pin della CIE.
E’ necessario effettuare qualche configurazione particolare ai browser?
Grazie.
rtf%20-%20WordPad


(Luca Pernini) #20

Buongiorno,
per questo tipo di operazioni Firefox (al contrario di Chrome che adotta la stessa strategia di Explorer o Edge, sfruttando le funzionalità del sistema operativo), necessita di una configurazione ad hoc. Vi sono numerose guide online che mostrano in procedimento che, in breve, consiste nell’aggiungere un proprio dispositivo all’interno delle impostazioni avanzate del browser, ma per fare ciò occorre conoscere il percorso del *.dll relativo al lettore di smartcard utilizzato.