Sinekarta su ipad: ci stiamo lavorando!

In questi giorni ho avuto modo di approfondire un argomento che per molti è già  molto chiaro, ma che io non avevo ancora studiato.

Molte CA accreditate, davanti a tutti Aruba, forniscono un servizio di firma digitale che non necessita della smart card : la firma digitale remota.

Come funziona questo sistema?

Entrambi i tipi di firma digitale si basano sullo stesso tipo di algoritmo a chiave asimmetrica (chiave pubblica e chiave privata), quello che cambia è il dispositivo in cui viene memorizzata la chiave privata.

Con la buona vecchia smart card, la chiave privata è memorizzata nella smart card (o token USB); gli algoritmi crittografici vengono eseguiti dal processore presente nella smart card.

In un precedente articolo abbiamo parlato dell’infrastrutura necessaria per poter usufruire dei servizi della smart card attraverso il lettore. Utilizzando la firma digitale remota questa infrastruttura non è più valida perchè non esiste più una smart card.

Nel caso della firma digitale remota, la chiave privata è memorizzata in un HSM (Hardware Security Module) che è gestito dal fornitore della firma digitale. I servizi che attualmente vengono richiesti alla smart card (tramite lettore collegato via porta USB), con il nuovo metodo vengono richiesti ad un HSM gestito dalla CA.

Ma come fa la CA ad esporre questi servizi?

Ecco uno schema che descrive (a grandi linee) quella che sarebbe la nuova infrastruttura applicata a sinekarta :

 

Ma in pratica come si applica la firma remota?

Anzichè specificare un PIN per l’accesso alla smart card l’utente deve digitare uno userId ed una password per accedere al servizio di firma digitale remota fornito dalla CA. In più, vista la “debolezza” del semplice user e password, la CA fornisce un OTP (One Time Password), ovvero uno di quegli aggeggini in formato portachiavi che già quasi tutte le banche adottano per proteggere i propri internet banking.

L’utente, per apporre la firma digitale, dovrà  quindi fornire lo user, la password ed il codice fornito dall’OTP. NON sono necessari lettori USB, smart card, driver, ne altri ammennicoli tecnici/tecnologici.

Questo metodo è (dal punto di vista dell’utente) decisamente più semplice!

Ovviamente la valenza legale della firma digitale applicata è la stessa, questo è garantito dalla CA che offre il servizio.

Attualmente non esistono delle regole tecniche normate relative a questo tipo di firma digitale, per questo ogni CA ha implementato un sistema proprietario. Tutte le implementazioni sono basate sul client fornito dalla CA come accessorio per l’apposizione della firma ad un documento.

Ma cosa succederebbe se si potesse “attaccare” a sinekarta una firma digitale remota?

Sarebbe un’evoluzione fantastica!

In pratica sarebbe possibile utilizzare i servizi di sinekarta da qualsiasi dispositivo (nota bene non per forza un PC) che possiede un browser web. La firma digitale sarebbe applicabile senza sforzo tramite IPAD, IPHONE, IPOD, TABLET, SMARTPHONE e qualsiasi dispositivo di ultima generazione!

GRANDE RIVOLUZIONE!!!