Sicurezza dei dispositivi di firma: ennesima proroga per gli HSM

di avv. Luigi Foglia, Digital & Law Department

Mai avrei immaginato di tornare nuovamente a parlare di certificazione di conformità degli HSM!

Ma facciamo un passo indietro in questa intricata e, a quanto pare, infinita storia.
Con la direttiva europea 1999/93/CE, nel tentativo di stabilire un quadro uniforme europeo in tema di firme elettroniche, erano stati individuati alcuni requisiti di sicurezza che i dispositivi utilizzati per realizzare le firme elettroniche avrebbero dovuto rispettare affinché le firme prodotte potessero essere riconosciute come qualificate in tutti gli stati membri dell’Unione Europea.

Il problema riguardava soprattutto i dispositivi che dovevano custodire in maniera sicura i certificati di firma al di fuori del controllo dell’effettivo titolare del certificato.

Tali dispositivi, conosciuti anche con il nome di HSM (Hardware Security Module), avevano il delicato compito di proteggere i certificati dagli accessi “non autorizzati” esterni e sulla loro sicurezza si basava (e si basa ancora oggi) buona parte del sistema di firme digitali automatiche e remote.

Purtroppo, però, nonostante le numerose leggi di recepimento della direttiva 99/93, in Italia mancava un organismo incaricato di rilasciare le necessarie certificazioni e, per vari anni (quasi 10) la conformità ai requisiti di sicurezza richiesti dall’Europa è stata “autocertificata” dai Certificatori di firma digitale.

Con l’emanazione del DPCM 10 febbraio 2010 (e la successiva pubblicazione, da parte dell’OCSI, di un proprio provvedimento attuativo) era stata finalmente regolamentata tutta la procedura per richiedere l’accertamento del rispetto dei requisiti di sicurezza previsti dalla direttiva europea 1999/93/CE per i dispositivi di firma ed era stato stabilito che, in attesa dell’ottenimento delle necessarie certificazioni, le autocertificazioni già presentate avrebbero continuato a dispiegare i propri effetti fino al 31 ottobre 2011.

Ma, evidentemente, qualcuno si era così tanto affezionato al comodo sistema “sono sicuro, fidati che te lo dico io”, che quasi in contemporanea con la scadenza fissata dal DPCM 10 febbraio 2010, con un ulteriore Decreto, il DPCM del 14 ottobre 2011, venne stabilito che le autocertificazioni e le auto-dichiarazioni riguardanti i dispositivi per l’apposizione di firme elettroniche con procedure automatiche avrebbero continuato a dispiegare ininterrottamente i loro effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi avessero ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza (TDS) da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, fosse in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI).

Insomma, vi diamo un po’ di tempo ma, almeno, mostrate un po’ di buona volontà iniziando la necessaria procedura di certificazione.

Purtroppo, dopo 2 anni in cui era finalmente diventato possibile certificare i propri dispositivi, e solo per un dispositivo risultava essere stato avviato, nei termini, il processo di certificazione, il governo, onde evitare un collasso del mercato, fu costretto a emanare un ulteriore decreto, il DPCM 19 luglio 2012, con il quale prolungò nuovamente i termini per l’adeguamento a quel quadro di certificazione di sicurezza che avrebbe permesso alle nostre firme di essere indiscutibilmente riconosciute come qualificate anche in Europa.
Con il DPCM 12 luglio 2012 i fautori dell’autocertificazione sembravano spacciati e il Decreto, seppur in maniera piuttosto articolata e complessa, non lasciava scampo: o si era attivato un processo di certificazione o, inderogabilmente, dopo 21 mesi dall’entrata in vigore di quel decreto, non si sarebbero potuti più utilizzare altri HSM se non quelli certificati.

Chi, allo scadere di quei 21 mesi, non avesse ancora richiesto nessuna certificazione, avrebbe dovuto semplicemente dismettere i vecchi HSM per acquistarne di nuovi.
Quindi ventuno mesi durante i quali i soggetti interessati (produttori e fornitori di HSM) avrebbero dovuto intraprendere dei percorsi di certificazione per restituire, finalmente, un quadro in linea con quanto previsto a livello europeo.
Considerando che il DPCM 12 luglio 2012 è entrato in vigore il 26 ottobre dello stesso anno[1], i 21 mesi dovrebbero ormai essere abbondantemente scaduti e gli ulteriori 6 mesi di validità delle autocertificazioni potevano essere concessi solo ai certificatori che, non avendo ottenuto la necessaria certificazione (ma avendo comunque, nei termini previsti, iniziato il relativo percorso di certificazione), avessero presentato, entro 15 giorni dalla scadenza dei 21 mesi di cui sopra, un apposito piano di migrazione verso sistemi certificati[2].

Purtroppo solo in pochissimi si sono correttamente attivati per ottenere la certificazione: Arx ha richiesto e ottenuto la certificazione per il proprio dispositivo CoSign v 7.1, mentre Thales ha intrapreso nei termini il proprio percorso di certificazione ma è ancora in corso la relativa procedura di certificazione.
Solo per gli utilizzatori del dispositivo di Thales si potrà, quindi, applicare l’ennesima proroga che, a quanto pubblicato da AgID sul proprio sito, è stata approvata con DPCM da parte dei ministri Madia, Guidi e Padoan.

Tutta la questione degli HSM, purtroppo, è stata gestita negli ultimi 15 anni con scarsissima sensibilità da parte degli operatori.

Produttori disinteressati alla certificazione e Certificatori più attenti a salvaguardare i propri investimenti che a garantire la validità (quantomeno a livello europeo) delle proprie soluzioni di firma digitale, hanno costretto più volte il governo a intervenire. Purtroppo, soprattutto con quest’ennesima proroga, si è finito ancora una volta per calpestare gli sforzi fatti da chi, al contrario, ha voluto mettersi per tempo in regola. Per non parlare di chi, preferendo mettersi in regola, ha sostenuto ingenti costi per sostituire i dispositivi non certificati con altri già certificati.

Concludendo (si spera!), in considerazione dei soggetti che sul sito dell’OCSI risultano, attualmente, aver ottenuto la certificazione o aver, quantomeno, presentato richiesta di certificazione e ottenuto l’approvazione del traguardo di sicurezza nei termini previsti dal DPCM 19 luglio 2012, riassumiamo quali dispositivi HSM possono al momento essere utilizzati:

– CoSign v. 7.1

– Luna PCI configured for use in LUNA SA 4.5.1 (RF)

– Luna PCI configured for use in LUNA SA 4.5

– nShield solo F3 PCIe HSM (ma solo fino al termine del 1° settembre 2015 qualora nel frattempo non intervenga la certificazione).

Gli altri HSM non sono al momento utilizzabili e non lo saranno fin quando non avranno ricevuto la necessaria certificazione.

È una questione di sicurezza e, con il regolamento eIDAS ormai approvato è necessario fare le cose per bene, o quantomeno provarci. Il rischio serio è quello di perdere una buona opportunità di mercato nel momento in cui le nostre firme elettroniche si confronteranno con quelle degli altri paesi europei.

NOTA BENE:

Accanto agli HSM certificati, o in corso di certificazione, da parte dell’organismo Italiano OCSI, è comunque possibile utilizzare, per la creazione di firme qualificate, anche altri dispositivi comunque certificati da un Ente notificato di un altro stato membro. Il comma 6 dell’art. 35 del D.lgs. 82/05 (il Codice dell’Amministrazione Digitale) prevede, infatti, che la conformità di un dispositivo di firma ai requisiti di sicurezza previsti dalla direttiva 1999/93/CE è inoltre riconosciuta se accertata da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.

I dispositivi HSM non certificati sono comunque utilizzabili per la gestione di certificati non qualificati (come ad esempio quelli utilizzati in alcune procedure di Firma elettronica avanzata).

Non esiste, purtroppo, un elenco dei vari HSM certificati a livello europeo e, quindi, utilizzabili in Italia per la creazione di firme qualificate ma, con l’aiuto di chi produce, vende o utilizza HSM, cercheremo di mantenere aggiornato il presente elenco con l’indicazione sia dei dispositivi accertati in Italia che di quelli comunque accertati in altro stato membro.

La prima segnalazione che ci è giunta riguarda l’HSM Secure Signature Creation Device PkBox, Version 3.0.3 che ha ottenuto la certificazione presso l’organismo notificato austriaco A-Sit.

[1] Il DPCM prevedeva la sua entrata in vigore 15 giorni dopo la sua pubblicazione in Gazzetta ufficiale avvenuta in GU 237 del 10 ottobre 2012.

[2] L’art. 4.1 del DPCM 19 luglio 2012 prevedeva solo per i certificatori che entro il termine di ventuno mesi di cui all’art. 1 non avessero dato prova all’Agenzia per l’Italia digitale dell’avvenuto rilascio dell’attestato finale di conformità a seguito dell’avvio del processo di certificazione, che entro i quindici giorni successivi alla scadenza del medesimo termine avrebbero potuto presentare ad AgID un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi in grado di soddisfare i requisiti di sicurezza richiesti, da completarsi inderogabilmente entro i successivi sei mesi.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Sicurezza dei dispositivi di firma: ennesima proroga per gli HSM

Sicuri di essere sicuri? Privacy e cybersecurity per gli enti locali

Il responsabile della conservazione ed il responsabile della protezione dati: tra cooperazione e adempimenti

Privacy Symposium 2023

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

NEWSLETTER

Lecce

Milano

Roma

Biella

NAVIGA