Con questo articolo iniziamo a descrivere la tematica della sicurezza dei dispositivi di firma elettronica qualificata indispensabili per la generazione di sottoscrizioni equivalenti alla sottoscrizione autografa.
Il presente articolo è dedicato agli aspetti generali sul tema, con qualche sintetico approfondimento sugli standard e le metodologie di certificazione.
In seguito, verranno descritte le nuove modalità di certificazione dei dispositivi e infine le modifiche che la Commissione Europea propone di applicare al Regolamento eIDAS (nr. 910/2014) con la revisione che è in corso ed è iniziata a giugno del 2021.
Il dispositivo di firma nella sua forma basilare per la firma elettronica viene definito nel regolamento eIDAS (articolo 3, numero 22) come ≪un software o hardware configurato per creare una firma elettronica≫. Nel successivo numero 23) viene definito il dispositivo per la creazione di una firma elettronica qualificata come ≪un dispositivo per la creazione di una firma elettronica che soddisfa i requisiti di cui all’ allegato II≫. Per analogia vengono anche definiti i dispositivi per la creazione di un sigillo elettronico e di un sigillo elettronico qualificato. L’articolo dell’eIDAS è sempre il 3, i numeri 31) e 32).
In questa sede si descrivono le modalità, mediante le quali, si attesta la conformità di un dispositivo di firma all’allegato II del regolamento eIDAS.
Il medesimo regolamento stabilisce queste regole nell’articolo 30. In particolare, la conformità dei dispositivi per la creazione di una firma elettronica qualificata ai requisiti stabiliti nel sopra citato allegato II deve essere certificata sulla base di standard internazionali.
Questa certificazione è responsabilità di organismi pubblici o privati dotati di appropriate competenze e designati dagli Stati membri.
Questi ultimi comunicano le informazioni di riferimento per queste designazioni alla Commissione Europea, che le mette a disposizione di tutti gli Stati membri.
L’articolo 30 prosegue nello stabilire quali siano gli elementi sui quali si deve basare la certificazione. Le interpretazioni pratiche di questo articoli hanno generato qualche perplessità nel mercato dei dispositivi sicuri basati su HSM – Hardware Security Module, cioè utilizzati per la firma remota e la firma con sottoscrizione automatica. L’assenza di standard stabili di riferimento non ha nemmeno consentito alla Commissione Europea di pubblicare una Decisione di esecuzione completa su questi temi.
In ogni caso la decisione è stata pubblicata dalla Commissione ed è la
DECISIONE DI ESECUZIONE (UE) 2016/650 DELLA COMMISSIONE
del 25 aprile 2016 che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell’articolo 30, paragrafo 3, e dell’articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni informatiche nel mercato interno.
Questo atto di esecuzione sancisce che la norma (standard) di valutazione della sicurezza deve essere quella della serie dei co siddetti Common Criteria (ISO/IEC 15408).
Ad essi si associa la metodologia per la valutazione della sicurezza IT pubblicata nello standard internazionale ISO/IEC 18045. I Common Criteria nascono per avere criteri di valutazione della sicurezza definiti ed elaborati in maniera omogenea e conformi a standard internazionali.
Le metodologie di certificazione sono ben determinate ed effettuate mediante l’azione congiunta di soggetti che operano secondo uno schema nazionale, che deve essere approvato da un organismo di controllo internazionale (SOGIS).
Tale modo di operare garantisce che una certificazione di sicurezza sia riconosciuta a livello mondiale, a prescindere dall’ Organismo (in Italia è OCSI – Organismo di Certificazione della Sicurezza Informatica insediato all’interno del Ministero dello Sviluppo Economico) che ha emesso il certificato per il prodotto.
Queste certificazioni di sicurezza non devono essere confuse con quelle ISO 27001 (e la famiglia 27000), che sono relative al Sistema di Sicurezza per la Gestione delle Informazioni. Esse, dunque, non si applicano alla certificazione di prodotti hardware e software.
Mediante la valutazione si ottiene la garanzia che l’Oggetto della Valutazione (ODV - Target of Evaluation) raggiunga i suoi obiettivi di sicurezza, ovvero una stima della fiducia riposta nelle misure di sicurezza adottate.
La garanzia si basa sul livello di dettaglio dell’analisi del Valutatore;
livello dell’attività di test svolta dal Fornitore e dal Valutatore;
rigore della documentazione prodotta dal Fornitore.
Ne deriva, quindi, il concetto di Livello di garanzia che nei CC e da EAL1 a EAL7 (Evaluation Assurance Level) con il livello 1 che è il più basso.
Il Valutatore opera tramite un laboratorio accreditato dal certificatore come Laboratorio per la Valutazione della Sicurezza – LVS. L’accreditamento del soggetto deve essere conforme allo Schema di sicurezza nazionale.
Nelle attività di certificazione dell’ODV si applica il concetto di Livello di garanzia, che nei CC e da EAL1 a EAL7 (Evaluation Assurance Level).
Il livello piu basso è EAL1 e poi a salire fino ad EAL7.
I Common Criteria (CC) definiscono questa scala di 7 livelli di garanzia (EAL1, EAL2, …, EAL7) o assurance levels.
Per ogni livello sono definiti i requisiti di garanzia, che individuano azioni a carico del valutatore o dello sviluppatore dell’ODV oppure i requisiti che deve soddisfare la documentazione di valutazione. I requisiti di garanzia sono espressi utilizzando uno specifico catalogo di componenti di ≪garanzia≫.
I livelli EAL sono quindi insiemi predefiniti (package) di componenti di ≪garanzia≫ (assurance).
Non e vietato utilizzare (ma e sconsigliato) pacchetti di ≪garanzia ≫ diversi da quelli standard.
È lecito modificare parzialmente i pacchetti di assurance attraverso le operazioni:
Augmentation (aggiunta al pacchetto o al livello di componenti contenute nel catalogo);
Extension (aggiunta al pacchetto o al livello di componenti non contenute nel catalogo).
Le informazioni sull’accreditamento del LVS sono pubblicate alla pagina seguente dell’OCSI:
Due ulteriori concetti da tenere in conto per comprendere meglio le operazioni di valutazione e certificazione basate sui CC sono quelli di Traguardo di Sicurezza (TdS - Target of Evaluation) e Profilo di Protezione (PP - Protection Profile).
Il TdS costituisce la base di un accordo tra lo sviluppatore e il valutatore circa le proprietà di sicurezza dell’ODV ed il suo ambiente di sicurezza. Esso descrive i requisiti di sicurezza (funzionali e di garanzia) dell’ODV e illustra in modo sintetico le funzioni di sicurezza di cui e dotato l’ODV e le misure di garanzia.
La relazione tra TdS e PP e di grande importanza. Un TdS può dichiarare la conformità a uno o più PP e costituisce la base dalla valutazione. Inoltre, un TdS puo dichiarare le funzioni di sicurezza di cui è dotato l’ODV e le misure di garanzia adottate.
Per agire su classi di prodotti omogenee (es.: le smart card nell’ambito dei dispositivi di firma) è utile il PP (Protection Profile).
Il profilo di protezione e un documento che definisce un ambiente di sicurezza e l’insieme di obiettivi di sicurezza, requisiti funzionali e requisiti di ≪garanzia≫ adatti ad una categoria di prodotti IT destinati ad essere utilizzati in situazioni similari.
Il PP deve specificare, in relazione ad un ipotetico ODV, che vengano dichiarati conformi i seguenti aspetti:
gli obiettivi di sicurezza;
l’ambiente di sicurezza in cui opererà;
le caratteristiche di sicurezza di cui deve essere dotato;
il livello di garanzia a cui verrà valutato.
Il PP deve essere valutato sulla base del documento in sé ai fini della completezza, sufficienza e congruenza interna.
Nella sopra citata Decisione di esecuzione 2016/650 sono referenziati i PP relativi a dispositivi di firma basati su tecnologia a microcircuito (smart card). Per gli HSM (peraltro già presenti sul mercato) alla data presente (maggio 2022), non è disponibile un aggiornamento di questa Decisione di esecuzione.
Il CEN ha emesso standard sul tema ma non si è trovato un accordo con gli Stati membri, che hanno l’ultima parola sull’emissione degli atti di esecuzione, in conformità con quanto stabilito nel Regolamento eIDAS. La critica sollevata ai documenti del CEN è sostanzialmente quella di aver prodotto dispositivi con sicurezza troppo definita. Questo aspetto, positivo a prima vista, nella pratica può creare dei problemi nella messa in opera degli HSM, perché non consente alle Autorità di vigilanza nazionali di applicare piccole correzioni con lo scopo di modulare le misure di sicurezza per adattarle a particolari utilizzi. Si tratta di un tema particolarmente delicato per la certificazione delle tecniche di identificazione del sottoscrittore rispetto al dispositivo di firma.
Inoltre, nelle premesse al regolamento eIDAS il considerando 56 recita che ≪come specificato nelle norme pertinenti, l’ambito di applicazione dell’obbligo di certificazione dovrebbe escludere le applicazioni relative alla creazione di una firma≫. Pertanto, visto che alcuni elementi certificati fanno riferimento a tali applicazioni, gli Stati membri hanno chiesto al CEN gli aggiornamenti in materia.
Naturalmente, vista la grande diffusione di HSM sul mercato (in Italia in base ai dati pubblicati da AgID oltre l’80% dei certificati qualificati di firma sono su HSM), sono state applicate le altre opzioni previste dal regolamento eIDAS.
In particolare, gli organismi designati dallo Stato membro possono valutare positivamente il dispositivo e comunicarlo alla Commissione, ai sensi dell’articolo 31 del regolamento eIDAS. Il paragrafo 2 del medesimo articolo stabilisce che la Commissione redige, pubblica e mantiene un elenco di dispositivi certificati per la creazione di una firma elettronica qualificata.
L’elenco viene tempestivamente aggiornato e pubblicato dalla Commissione ed è disponibile al seguente collegamento.
La lista può essere esportata in formato PDF, XML o consultata tramite completa navigazione con il supporto di un motore di ricerca.
Questo primo articolo si conclude qui. Nel prossimo parleremo delle architetture di sicurezza e della conseguente certificazione dei dispositivi di firma utilizzati in modalità remota cioè gli HSM.