Buongiorno a tutti.
Ho da qualche tempo acquistato un token FIDO2 (una chiavetta SoloKey, nello specifico) e, data la sua estrema comodità, ho provato a verificare se il mio provider di SPID (SielteID) offrisse l’autenticazione di secondo (e, possibilmente, terzo) livello mediante U2F o WebAuthn rimanendo però alquanto deluso.
Mi sono quindi chiesto se esistesse almeno un provider in grado di offrire il supporto a tale tecnologia ma, non trovando alcuna informazione all’interno della pagina dedicata al confronto tra i vari fornitori, non saprei come ottenere questa informazione se non provando a chiedere ad altri utenti qui sul forum.
Ringrazio in anticipo chiunque possa darmi una mano.
Buona giornata.
Buongiorno!
La chiavetta e’ molto piu’ sicura di una app su cellulare/ smartphone e sarebbe ottima cosa se almeno uno dei nove fornitori SPID la proponesse, ma non lo fa nessuno. Aruba ha una sua chiavetta, che offre a prezzi irrealistici e sproporzionati, 10EUR/anno +IVA. A riprova di come i produttori di smartphone, Google e Apple e i gestori di telefonia mobile siano stati bravissimi nel mettere limiti alle soluzioni di autenticazione SPID accettate.
L’unico token di identificazione che funziona in modo simile a una chiavetta ed e’ offerto da alcuni fornitori e’ una smart card di firma digitale. Ma per richiederla occorre obbligatoriamente indicare un numero di cellulare e dimostrare il possesso di smartphone, anche se questo per la procedura e’ superfluo.
1 Mi Piace
Peccato.
Anche io speravo che, tra tutti i fornitori disponibili, almeno uno supportasse WebAuthn.
In ogni caso, grazie mille per la risposta!
Il termine chiavetta non significa un bel nulla, è l’implementazione dei protocolli sull’hardware e l’hardware stesso che conta. L’italiano medio non capisce i modelli d’incentivi che ci sono dietro il business della sicurezza italiana. Meno si spende meglio è, e se qualcuno deve pagare è il cliente a cui vendono vecchio hardware cinese con vecchi protocolli di sicurezza. Vanno tutti a risparmio utilizzando tecnologie deprecate e non sicure come gli SMS in alternativa.
La tecnologia più sicura ad oggi sono i protocolli Open di FiDO Alliance sviluppati da Yubico ed utilizzati da tutte le compagnie serie.
L’hardware più sicuro è quello della YubiKey che supporta fra i vari protocolli ovviamente anche FiDO. Ci sono poi vari hardware (come quello citato da OP sopra) alternativi che sono comunque un passo avanti rispetto alle cinesate che ti propinano gli iDP italiani per gli OTP.
In italia interessa solo il margine sulle vendite, esempio:
- aruba di vende il generatore OTP per TOTP o HOTP cinese che compra dal rivenditore attorno ai 8€ euro a pezzo. A seconda dei volumi può scendere anche a meno, ad esempio una banca grande italiana paga €4.
Poi loro ti rivendono quell’hardware datato con protocolli non sicuri a €15 o più.
Questo è il modello di sicurezza italiano, dettato da sales-man senza competenze che dicono agli ingegneri cosa fare. Ingegneri che prendono ordini da dirigenti amici degli amici, o messi la da qualche partito. Quello che fai con SPiD in italia oggi, si faceva in scandinavia nei primi anni 2005, 2007. Con 15 anni di ritardo nell’informatica è come rimanere indietro 30 anni.
Tutti gli iDP italiani potrebbero supportare FiDO tramite hardware o software ma non lo fanno, per loro SPiD è una noia su cui non guadagnano nulla e tentano di relegarti tecnologie degli anni 80 come gli RSA OTP generator per TOTP
Qua c’è da piangere altro che gioire di una italia digitale.
Yes, “chiavetta” e’ un termine generico per semplificare il discorso. Tra generatore di OTP e Yubikey ci sono notevoli differenze. Senza entrare nello specifico dei protocolli, se l’identita’ digitale fosse basata su un token quale smartcard o Yubikey passata DI PERSONA al cittadino che si e’ identificato, anche questo possibilmente DI PERSONA avremmo sicurezza sufficiente almeno per le normali operazioni online con la Pubblica Amministrazione. Mentre il Direttore della Banca d’Italia probabilmente avrebbe bisogno di ulteriori credenziali e controlli per potere entrare nel caveau.
Una volta che sappiamo che il Sig. Mario Rossi e’ l’unico possessore di un token fisico a suo nome (cioe’, codice fiscale) a doppia chiave con chiave privata protetta e non riproducibile tutto il sistema delle verifiche che ci girano intorno viene notevolmente semplificato e si puo’ fare a meno di inviare SMS o di chiedere l’impronta o di associare uno smartphone particolare. E’ il sistema che adotta la maggior parte dei paesi che fa uso dell’identita’ digitale. Smartcard, lettore e PIN di ingresso. In Estonia chi vuole usare lo smartphone puo’ richiedere una SIM dedicata con la quale entrare solo nei servizi pubblici. Anche la SIM e’ un token passato fisicamente alla persona.
Non sono in disaccordo; il problema di base è il conflitto d’interessi fra le entità dello stato che controllano l’identità dei cittadini e la loro mancanza d’interoperabilità. Quello che dici in malo modo è stato fatto con TS-N e CIE.
Il problema è che le smartcard tradizionali non vanno bene perchè richiedo un lettore interno/esterno e una middleware di qualche tipo. Alcune smartcard munite d’interfaccia NDEF 14443-3 possono esser usate con i cellulari e allora la CIE ha senso se viene utilizzata tramite telefono.
Il fatto che tu ancora oggi possa richiedere la carta d’identità cartacea è un altro sintomo del problema.
Lo stato italiano non ha capito l’importanza della identità digitale e ha delegato privati alla gestione di un asset fondamentale per la repubblica.
Sulla non riproducibilità delle identità digitali bisognerebbe fare un discorso a parte, la stessa Estonia è stata colpita dal ROCA poco tempo fa. E’ un discorso tecnico per esperti di crypto ed hardware ed è inutile approfondilo qui.
Sia i documenti cartacei che digitali soffrono in modo diverso di contraffazione, tuttavia l’identità digitale offre infinite opportunità in più rispetto a quella cartacea. Inoltre introduce trasparenza nella transazioni e questa trasparenza sembra esser in conflitto (e ritardare) un sano sviluppo di un ecosistema moderno per l’authenticazione dei cittadini in italia.
Non sono in disaccordo
Per me, e di gran lunga non sono il solo, sono fondamentali due aspetti: facilita’ d’uso e il non dipendere da una particolare tecnologia, tipo smartphone, o, ancor peggio, da un prodotto o servizio particolare: Android, Whatsapp ecc.
Parte dei servizi online della PA sono semplici e possono essere gestiti via smartphone. Se lo smartphone ha interfaccia NFC, il problema e’ risolto, tutta la tecnologia e’ contenuta in un dispositivo. Sarebbero carine anche app per f-droid, ma non pretendiamo troppo.
La maggior parte dei servizi PA sono piu’ complessi e richiedono un desktop/laptop: dichiarazione fiscale, controllo FSE ecc. Indubbiamente per molti l’installazione di lettore con driver, middleware e le procedure di accesso possono essere troppo complicate.
Fino a prima dell’introduzione di 2FA con i servizi bancari alcune banche offrivano dei minicalcolatori, cosettine da pochi Euro, per il calcolo di un OTP a partire da un codice. Sullo schermo appare “123654”, lo inserisco a mano nello scatolotto sul cui display appare l’OTP “552791”. Ogni dispositivo ha una chiave interna unica ed e’ assegnato a un particolare cliente. Piena sicurezza, facilita’ d’uso, costi contenuti. Per la PA si potrebbe prendere in considerazione una soluzione simile. Tra l’altro costerebbe meno del lettore per la Tessera Sanitaria che molte Regioni davano gratis o del convertitore Lira/Euro che ogni famiglia ha ricevuto per posta a inizio 2002.
Quando si e’ dovuto rapidamente attivare un registro di appuntamenti per le vaccinazioni si e’ usata una tecnologia alternativa a SPID e CIE. Inserimento del codice fiscale insieme al numero della Tessera Sanitaria. Se anche un hacker cattivo vuole prenotarsi a nome nostro, senza il numero della tessera, che e’ quasi impossibile che conosca, non puo’ procedere. Spinti dall’emergenza si e’ trovata una soluzione semplice, poco tecnologica, gratuita, sicura e gestibile da chiunque abbia desktop e TS. Questo e’ il modello al quale ispirarci.
Con tecnologie di questo tipo verremmo incontro in piena sicurezza a numerose esigenze. L’impressione che ho dell’identita’ digitale e’ che si sia partiti da considerazioni generiche, tipo “tanto tutti hanno lo smartphone”, e non si sia valutata la semplicita’ o il costo dell’uso per l’utente finale. O il banale aspetto che “smartphone” significa che due aziende americane hanno accesso a tutti i metadati. Quanto vale, in termini monetari, sapere che una certa persona accede spesso al FSE e un’altra al registro automobilistico?
1 Mi Piace