SPID L3 su smartphone?

Salve a tutti,

quanto sto per dire può sembrare una enorme boiata, ed è giusto che lo sembri, ma seguendo il mio ragionamento credo che qualcosa di buono si può trovare.

Stato dell’arte di SPID

SPID L1 prevede il più basso livello di sicurezza e sono sufficienti user e pass. Nella mia esperienza di consulente tecnico cerco sempre di istruire le persone sull’uso corretto delle password, dei password manager e della complessità delle password.

SPID L2 aggiunge un livello di sicurezza aggiuntivo mediante OTP, ed i diversi Identity Provider offrono più soluzioni, tra cui SMS e app mobile. Tutto bene…

SPID L3 cestina user, password e OTP e si basa su un’autenticazione completamente hardware, ed allo scopo necessita di un dispositivo hardware ad elevate caratteristiche di sicurezza, che poi sono gli stessi standard per la firma digitale qualificata. Oggi ho problemi di connessione, ma non trovo l’esatta definizione normativa del livello 3. Al massimo… helpdesk.spid.gov.it

Il terzo livello di sicurezza SPID, oltre al nome utente e la password, richiede un supporto fisico particolare che gestisce delle chiavi crittografiche. Tale supporto può essere una smart card o un dispositivo per la firma digitale remota(HSM).

Stato dell’arte dell’autenticazione hardware sui dispositivi mobili

Con particolare riferimento alle architetture Android, di cui sono particolare conoscitore, i dispositivi mobili dispongono di un coprocessore crittografico hardware che svolge alcune particolare funzioni:

  • Memorizzazione di segreti e chiavi crittografiche non esportabili
  • Sblocco autenticato delle credenziali
  • Firma digitale hardware (non certificata… ci arriviamo… aspe…)

In particolare sto seguendo con attenzione il rollout dell’attestazione hardware nei dispositivi mobili Google (https://www.thecustomdroid.com/android-safetynet-hardware-attestation/, https://www.androidworld.it/2020/07/06/google-si-prepare-chiudere-la-giostra-presto-magisk-non-potra-piu-nascondere-la-root-719985/)

In particolare, le chiavi private blindate nell’hardware e sbloccate solo tramite autenticazione forte dell’utente (PIN, impronta digitale o scansione del volto) sono, nel caso di Android, firmate con un certificato di Google che assicura che quella chiave si trova in un dispositivo hardware certificato (da Google, ovviamente) e da lì non esce.

Inoltre questo certificato è in grado di… certificare anche che il dispositivo è integro e il suo software è originale del produttore.

Stato dell’arte dei sistemi di pagamento e identificazione mobile

Grazie a questa caratteristica alcune banche, soprattutto a livello estero (dovrei chiedere a parecchie persone… ma forse Intesa Sanpaolo si è mossa o si sta muovendo in tal senso), sfruttano questa funzionalità per assicurare un ulteriore livello di protezione alle transazioni dispositive contro contestazioni fraudolente, poichè il messaggio dispositivo è firmato con una chiave certificata sia dalla banca (in fase di setup del dispositivo) che dal fornitore del telefonino.

Non dimentichiamo che i sistemi di pagamento tipo Apple/Google/Samsung Pay usano la tecnologia della tokenizzazione delle carte di credito andando ad associare un certificato ad 1) una chiave hardware certificata dal produttore e 2) una carta di pagamento su cui addebitare

E’ inoltre di alcuni giorni fa la notizia di una partnership tra Samsung e [semplifico… il Governo tedesco… ma non è esatto] per portare la carta di identità su vault hardware (perchè così si chiamano questi chip)

Nell’immagine mostrata nell’articolo mi sembra (perché non parlo tedesco, mi sono fermato all’inglese di Mr. Brown) di vedere una patente e la signora ritratta è la stessa dello specimen della CIE tedesca

Attenzione! A differenza della CIE, che hanno anche in Germania e soprattutto in Estonia :cold_face: qui si sta parlando di smaterializzazione del documento di identità.

Dall’articolo sopra linkato:

The eID app will be available to German citizens using Samsung’s Galaxy S20, Galaxy S20+ and Galaxy S20 Ultra later this year. After downloading and installing the Mobile ID application distributed by Bundesdruckerei from Play Store, Galaxy S20 owners can tap their Near Field Communications (NFC) enabled National ID card on the back of their phone to verify their identity and get started. Once verified, the mobile eID will be stored securely on the smartphone and can be used to open a bank account, use eGovernment services and more.

  1. Si parla di Galaxy S20: è probabile che i dispositivi supportati saranno pochi e dovranno passare ulteriori certificazioni governative. Ci sta
  2. Carta di identità NFC. Vabbè, si era capito
  3. Il token eID è appunto una smaterializzazione
  4. “Aprire un conto in banca”… ricorda quello per cui è stato pensato SPID e ancora non è operativo?

Ragionamento su SPID

Posto che non è una cosa che si fa domani mattina “pronti-via”, volevo condividere qui lo stato dell’arte della tecnologia e porre un paio di domande.

Possiamo ipotizzare che se non domani almeno in un futuro prossimo le identità SPID potranno essere interamente smaterializzate su un dispositivo mobile e garantire il livello fino a 3 di protezione?

Può essere l’esempio tedesco un modello da imitare anche qui?

La discussione è aperta

Considerazioni molto interessanti. Io vedrei di buon occhio per attestare l’identità digitale un meccanismo mutuato dai dispositivi di firma digitale: l’unificazione in un unico dispositivo hardware di SPID, CIE e CNS, magari una pennetta USB (per l’utilizzo in un PC) e con bluetooth e NFC incorporati (per l’utilizzo con app da smartphone) emesso contestualmente alla tessera in policarbonato della CIE (che manterrei come duplicato del chip e per esibirlo a vista). Trovo senza senso la tripartizione in livelli che fa SPID, una persona chiamata a dimostrare la propria identità resta sempre se stessa e non dovrebbe aver bisogno di livelli diversi di sicurezza per identificarsi (al massimo per operazioni dispositive dovrebbe essere munita di credenziali ulteriori e diverse, più “auto-responsabilizzanti”).