SPID vs CIE

Ciao,
sono nuovo e ho qualche domanda tecnica, in particlare nella direzione dei progetti.

Mi piace molto l’identità digitale data dalla CIE in quanto diverrà “universale” rispetto allo SPID, e sono interessato a dare una esperienza “passwordless” (almeno per i servizi meno delicati)

Ora, in una situazione ideale io mi immagino che SPID e CIE arrivino ad essere la stessa cosa in tal senso:

Attraverso la CIE abbiamo un certificato personale, la cui validità è assicurata dall’ente certificatore statale CSCA. (infrastruttura esistente)

L’uso di tale identità può risultare macchinoso in quanto richiede di avere sempre sotto mano la CIE; quindi è untile avere un sistema di portafoglio, magari uniche per dispositivo, usabili come SPID.

  • l’applicazione portafoglio genera una chiave asincrona (master key), la chiave pubblica viene firmata col certificato CIE
  • l’applicazione portafoglio, in maniera analoga ad un comune portafoglio di passoword, riceve la richiesta dal servizio X per l’autenticazione
  • l’applicazione portafoglio, previa autorizzazione utente, genera una SOTTOCHIAVE specifica per il servizio
  • Nel caso un servizio venga disattivato, la applicazione portafoglio genera una revoca, che viene caricata sul server CSCA
  • nel caso il device sia perso/smarrito, la master key può essere revocata (e di conseguenza tutte le sotochiavi) sempre attraverso CSCA attraverso CIE (modalità di revoca NON standard, che io sappia)
  • nel caso la CIE sia smarrita, il certificato, e dunque tutte le chiavi firmate, sono revocate tramite CSCA (infrastruttura attualmente esistente)

L’unico passaggio che credo essere non-standard (rispetto agli standard più comuni) è la revoca di firma su una chiave (master key).
È una idea assurda? che vantaggi avrebbe il SPID attuale su questa idea (considerando che enti giuridici possono avere il proprio certificato simil-CIE, quindi in sostanza cambia niente)

Mauro

Scusi,
ma a me piace scervellarmi, e quindi sono curioso …

non riesco a capire “dove sia l’utilità” e dove “c’è collegamento utile con CIE”… alla fine se ci pensa è solo un “vincolo in più” che oltretutto porta problemi se lei dovesse perdere la CIE dovendo quindi bloccare SPID …

la mia domanda è questa: "se la sua chiave pubblica SPID venisse firmata da un certificato SPID_CA (o cmq gestore) … che si occupa appunto di verificare/certificare la sua teorica/vera identità, il terzo avrebbe cmq ‘la certezza’ della sua identità SPID (quello che invece lei proporrebbe come 'validare la chiave pubblica SPID validandola attraverso la chiave pubblica CIE; viceversa in questo caso il terzo effettuerebbe lo stesso procedimento usando però il certificato pubblico della CA SPID, e che teoricamente dovrebbe essere forse più “certo” del suo certificato pubblico che potrebbe forse anche essere digitalmente contraffatto [anzi a proposito esisterebbe una banca dati di certificati pubblici CIE dove si potrebbe controllare se un certificato pubblico CIE coincide con quello proposto?]) … e cmq se dovesse perdere la sua CIE non va a ‘inficiare’ lo stato di validità del suo SPID … e il terzo cmq avrebbe una situazione equipollente di elementi per ‘cercare di valutare se lei è vero o è un truffatore’

comunque se si volesse 'collegare (come dice lei) CIE e SPID forse sarebbe più utile cercare solo di collegare la validazione di accessi al servizio SPID attraverso l’uso della CIE …

  • anche se però, anche in questo caso, ‘perdendo CIE’ si dovrebbe bloccare SPID …
    e quindi si andrebbe a considerare (‘come sembra intendere lei’) SPID come sotto servizio di CIE’

Scusi se aggiungo anche questo… però curiosando tra informazioni connesse al discorso CIE … nella pagina:

ad un certo punto si trova una frase che ‘fa pensare che un modo per collegare i due sistemi è già implementato’ (anche se però non ho trovato per adesso altre informazioni)

… “• uno strumento predisposto per consentire l’autenticazione in rete da parte del cittadino, finalizzata alla fruizione dei servizi erogati dalle PP.AA.;
• un fattore abilitante ai fini dell’acquisizione di identità digitali sul Sistema Pubblico di Identità Digitale (SPID)” …

buona giornata

vede che era come dicevo io (è stato logicamente preferito connettere CIE alla richiesta di SPID … piuttosto che ‘esporre CIE come elemento pubblico di SPID’ …

infatti in questa pagina ho trovato questo:

"Accesso ai servizi delle PP.AA. mediante il sistema SPID

La nuova Carta di identità elettronica può essere utilizzata per richiedere una identità digitale presso uno degli Identity provider accreditati presso il Sistema Pubblico di Identità Digitale (SPID).

Logo SPID
Il possesso della CIE rende il processo di richiesta dell’identità digitale agevole e veloce poichè viene meno la necessità per il cittadino di farsi identificare dall’operatore dell’Identity Provider prescelto.

Per richiedere una identità digitale SPID e per utilizzare tale identità digitale per accedere ad uno o più servizi in rete erogati dalle PP.AA. si sfrutta la possibilità di autenticazione offerta dal microprocessore della CIE."

Esatto, la mia proposta era in pratica che ogni CIE nasca già validata (ovvero firmata) da una SPIN CA (quanto leggo è che NON è validata di base, bisogna far richiesta, ma essendo la CIE in qualche modo già nota/fimata da qualche CA equivalente, l’attivazione è banale… questo dualismo non mi era chiaro, e pensavo i due sistemi fossero completamente indipendenti, tesi avvalorata da alcuni messaggi evidentemente riferitosi a sistemi obsoleti)

Il vantaggio dell’uso per una persona “comune” della CIE come chiave principaleè molteplice; la CIE è un cosidetto “portafoglio hardware”, nettamente più sicuro di un pc o smartphone, come dimostrato da randomware vari che colpiscono anche infrastrutture che dovrebbero essere molto più preparate.

Il fatto che questa chiave sia protetta dal chip della carta, e che le chaivi servizio possano essere rigenerate in maniera totalmente automatica e praticamente a tempo reale (upload di un equivalente certificato di revoca + nuova chiavi pubbliche) protegge gli utenti da malware o improvvisa perdita di hardware senza dover necessitare di alcun intervento.

Perdere la CIE mette certamente a rischio, ma questo è un problema anche con un qualsiasi documento di identita, si effettua IMMEDIATAMENTE la denuncia ed automaticamente da parte dei carabinieri avviene la richiesta alla CA di revocare la CIE/SPID

quindi:

SPID CA
firma
CIE/SPID
firma
Chiave Principale (su dispositivo utente, master key nel gergo gpg)
firma
Chiave Servizio (su dispositivo utente, subkey nel gergo gpg)

La chiave CIE/SPID viene usata solo per firma della Chiave principale, e poi rispota in luogo sicuro.
La chiave principale viene usata solo come identificazione e creazioni Chiave Servizio.
La chiave servizio permette l’utilizzo di uno ed un solo servizio (ogni chiave ha un piccolo campo note in cui il dominio ed eventualmente la tipologia di servizio viene specificata e facendo parte della chiave è protetta dalla firma)

Chiedo scusa ma adesso non riesco più a capire bene cosa intenda e oltretutto adesso sembra che stà “girando la frittata” CIE->SPID SPID->CIE …

  1. da quanto mi ero documentato io ai tempi sui metodi di validazione da parte ‘dei famosi
    chip delle carte’, direi che non è possibile in alcun modo ‘arrivare, firmare e sostituire la chiave privata di una carta’

  2. non sapevo della possibilità di ‘sostituire le chiavi’ e mi informerò anche perché come dal punto 1. avrei detto che era una cosa più impossibile che possibile.

  3. per l’attivazione della CIE come credo poi uguale al caso della CNS credo che sia per un ‘contenimento di costi di servizio e di risorse’ in quanto credo che l’attivazione di un
    “cittadino digitale” comporti costi di ‘spazi di archiviazione, etc etc … .cmq risorse’

  4. per concludere … vivsto che alla fine le 2 cose hanno due diversi pregi (la CIE la facilità e la sicurezza) ma viceversa anche difetti (la possibilità di perderla e la necessità di uso di lettori smart card etc etc) … e la SPID (a spanne le cose inverse) … bhè tenerle distinte non sarebbe poi così male … e cmq darebbero libertà di utilizzo anche signolo/svincolato … credo che al massimo allora basterebbe inserire una informazione (supplementare/opzionale) in SPID che richiami qualcosa della CIE … es firmare con SPID_CA la chiave pubblica CIE. … (a livello teorico basterebbe firmare anche solo in singolo seriale CIE … ma si sa che in cryptografia … a volte più il testo è corto e più espone a rischi di attacchi).

buona giornata.

si scusami, è che ho le idee confuse e ho capito che quello che vorrei è che la SPIN CA firmi il certificato nella CIE, in modo che sia usabile come certificato SPIN… e credo sia quello che avviene anche ora, confermi?

[quote]
famosi chip delle carte direi che non è possibile in alcun modo ‘arrivare, firmare e sostituire la chiave privata di una carta’[/quote]

mi sono quì confuso con le CNS, carta nazionale dei servizi, che fornisce (cito wikipedia):

  • chiave privata RSA a 1024 bit, necessaria per firmare digitalmente[1] documenti o garantire l’accesso ai servizi online
  • chiave pubblica RSA a 1024 bit, necessaria per controllare l’autenticità di documenti firmati digitalmente con la stessa smart card (esportabile)
  • un certificato digitale in standard X.509

io IMMAGINO la CIE possieda simili certificati internamente, in quanto nella pagina della CIE è presente un link alla CA che permette la validazione delle tali: e questo è INDISPENSABILE per evitare che qualcuno usi una carta invalidata in quanto smarrita o rubata.

ovviamente serve una CA che garantisca la validità delle chiavi a valle, ma di consequenza quelle generate dalla chiave firmata sono valide di conseguenza. Invalidare una chiave pubblica/privata è un processo normale che richiede l’uso di una CA o un key server per scabiare il file di revoca, di solito si usa lo stesso che viene usato per publicizzare/validare la chiave pubblica

[quote]per l’attivazione della CIE come credo poi uguale al caso della CNS credo che sia per un ‘contenimento di costi di servizio e di risorse’ in quanto credo che l’attivazione di un
“cittadino digitale” comporti costi di ‘spazi di archiviazione, etc etc … .cmq risorse’[/quote]

al contrario, io vedo esserci 3 CA: una per lo SPIN, una per le CIE (anche se non sono sicuro sia una vera e propria CA, ma cmq deserver di validazione) e una per la CNS. Allora se unifichiamo tutto sotto la SPIN CE avremo UN solo servizio… dopotutto non vuole essere lo SPID la “credenziale unica di accesso”?
quindi l’unificazione permette di avere UNA sola infrastruttura lato server, il che vuol anche dire il mantenere MENO codice, tutto codice SENSIBILE in quanto si tratta di certificati che permettono accesso a dati personali e ache operazioni di valori legale.

allora, la CIE è più sicura, dato che usa NFC (se non erro), buona parte dei cellulari con meno di 3 anni possono leggerla. In oltre con il sistema della chiave principale, la lettura è richiesta UNA sola volta per device, che poi è completamente indipendete. (ma la CIE può generare revoche per la chiave, dunque ivalidando il device)

In oltre parli come se la chiave SPIN sia impossibile da perdere, cosa non vera; anzi, visto che la CIE non è più necessaria, puoi metterla tranquillamente in cassaforte, e tirarla fuori solo quando devi registrare o ivalidare una chiave device.

Che intendi per seriali della CIE? Se intendi una serie di caratteri più o meno random sulla tesseta, se io sul tuo sito inserisco un seriale a caso e becco uno esistente, come può la firma del seriale (e non un certificato/chiave all’interno della carta) avvisarti del rischio?

In oltre per quanto riguarda la criptazione, credo in generale sia vero il contrario, ma per quanto rigurda una firma digitale non ci sia una sostanziale differenza, in quanto viene generato un hash del contenuto.

è esattamente il punto che sto facendo, anche se nel primo post credevo (e sinceramente continuo a credere) che certificato CIE e SPIN (e CNS) siano cose equivalenti ma gestiti da diverse CA/enti

Gent.mo lesto non si preoccupi che una persona che ha voglia di parlare e ragionare sicuramente non si deve scusare e in particolare con me :blush: chiedo scusa se sarò sintetico ma stamattina ho da fare:

  1. SPIN dovrebbe semplicemente tramite il certificato SPIN_CA includere un dato/campo che confermi un collegamento CIE<->SPIN (e l’integrazione si potrebbe avere già adesso senza nient’altro, ovviamente se mi chiede come, ne pretendo la paternità dell’idea :rofl::joy:slight_smile:

  2. da quanto ho letto, si i chip hanno un/dei certificati installati, però la forza stà nel fatto che è lo stesso chip che effettua la verifica della validità, la chiave privata NON dovrebbe nemmeno essere raggiungibile dall’utente, il chip è al tempo stesso un vero e proprio calcolatore che effettua lui i calcoli (come avevo letto ‘abbiamo un computer nel portafoglio’), per la chiave pubblica è un’altra cosa e cmq come già ripetuto basta aggiungere un “campo testo” a SPID e collegare o il seriale del certificato o se possibile la chiave pubblica della CIE

  1. si conosco il sistema CRL (Certificates Revocation List) però un conto è bloccare la validità di un certificato ‘con tutta la necessaria propagazione di informazine necessaria richiesta’
    un conto è sostituire materialmente un certificato ‘forgiato nel chip’ (a meno che non è implementato un altro sistema)
  1. secondo me alla fine è da vedere ‘come la storia della carta d’identità e la patente’ … c’era gente che aveva la carta d’identità e chi entrambe … ma le cose erano distinte e solitamente una era necessaria in certe situazioni e altra in altre
  1. come ripeto ieri entrambi i sistemi ‘sembrano avere pro e contro’ e uno sembra quasi complementare all’altro
  1. come le ripeto io ho già un’idea di quello che ‘non nel metodo di implementazione’ ma rispetto al risultato desiderato da Lei … però serve un numero unico (quindi o il seriale della CIE o il seriale del certificato contenuto nelle CIE … cmq un numero unico verificabile sulla CIE da inserire in SPID … e basterebbe per arrivare a quello che vuole lei, inoltre sarebbe anche un sistema abbastanza flessibile, in quanto si potrebbe aggiornare e cambiare a necessità … senza ‘saldare/creare un vincolo duro’ tra CIE e SPID

la ringrazio ancora per lo scambio di idee che comuque tra persone intelligenti serve per crescere e chiarirci le idee

buona giornata

quello che dici si chiama firma. La SPIN:CA registra la chiave PUBBLICA della CIE come valida e fine, DOVREBBE essere equivalente ad una chiave SPIN.

questo è il lavoro di una CA, quindi ignoriamo il problema al momento, visto che per ora è allo stato dell’arte

non ti seguo! Se perdi la tessera, il certificato viene revocato dalla CA(e di conseguenza TUTTE le sottochiavi perdono validità), e una nuova tessera con un nuovo certificato è rilasciata. La SPIN.CA certifica che si tratta dalla stessa identità, quindi le chiavi firmate dalla nuova CIE automaticamente sono valide per accedere ai servizi

non conosco qesta storia ma ne vedo il motivo, la patente non ti IDENTIFICA, ma ti da un PERMESSO.

Poi potresti usare solo la CE o la CIE, ma allora ogni poliziotto deve avere la possibilità di verificare che la tua persona sia “reale”, ovvero avere un pc con database degli utenti con patente valida… insomma, in realtà nenche tanto infattibile

il cetrtificato PUBBLICO contenuto nella CIE! In questo modo non solo è un valore univoco, MA una terza parte può verificare che io sia il possessore della privata, semplicemente chiedendomi di firmare un valore random al momento, e viceversa (insomma, una comune verifica di identità in ambito criptografico, vedi autenticazioni varie ssh o tsl)

ps. ti ringrazio anche io per avermi aperto la visione su SPIN e CIE