Ciao,
sono nuovo e ho qualche domanda tecnica, in particlare nella direzione dei progetti.
Mi piace molto l’identità digitale data dalla CIE in quanto diverrà “universale” rispetto allo SPID, e sono interessato a dare una esperienza “passwordless” (almeno per i servizi meno delicati)
Ora, in una situazione ideale io mi immagino che SPID e CIE arrivino ad essere la stessa cosa in tal senso:
Attraverso la CIE abbiamo un certificato personale, la cui validità è assicurata dall’ente certificatore statale CSCA. (infrastruttura esistente)
L’uso di tale identità può risultare macchinoso in quanto richiede di avere sempre sotto mano la CIE; quindi è untile avere un sistema di portafoglio, magari uniche per dispositivo, usabili come SPID.
- l’applicazione portafoglio genera una chiave asincrona (master key), la chiave pubblica viene firmata col certificato CIE
- l’applicazione portafoglio, in maniera analoga ad un comune portafoglio di passoword, riceve la richiesta dal servizio X per l’autenticazione
- l’applicazione portafoglio, previa autorizzazione utente, genera una SOTTOCHIAVE specifica per il servizio
- Nel caso un servizio venga disattivato, la applicazione portafoglio genera una revoca, che viene caricata sul server CSCA
- nel caso il device sia perso/smarrito, la master key può essere revocata (e di conseguenza tutte le sotochiavi) sempre attraverso CSCA attraverso CIE (modalità di revoca NON standard, che io sappia)
- nel caso la CIE sia smarrita, il certificato, e dunque tutte le chiavi firmate, sono revocate tramite CSCA (infrastruttura attualmente esistente)
L’unico passaggio che credo essere non-standard (rispetto agli standard più comuni) è la revoca di firma su una chiave (master key).
È una idea assurda? che vantaggi avrebbe il SPID attuale su questa idea (considerando che enti giuridici possono avere il proprio certificato simil-CIE, quindi in sostanza cambia niente)
Mauro