Link: https://www.ncipher.com/resources/case-studies/bit4id-enhances-middle-eastern-electronic-id-card-system-eidas-compliant
Siamo orgogliosi di condividere la nostra recente collaborazione con nCipher: Pierluigi Pilla, ID Systems & PKI Unit Director di Bit4id, è stato invitato a descrivere in un case study il progetto che ha visto Bit4id e nCipher lavorare insieme ancora una volta con grande successo
Fondata nel 2004 con sede in Italia, Bit4id, ha l’obiettivo di rendere semplici, sicure ed omogenee le tecnologie per l’autenticazione, la firma digitale e la cifratura. Negli ultimi quindici anni è riuscita ad affermarsi in molti paesi sia europei che extra-europei, vantando la presenza diretta in Ecuador, India, Macau, Perù, Portogallo, Spagna e Regno Unito.
L’idea di Bit4id è che così come l’identità fisica è unica e riconosciuta universalmente, anche l’identità digitale deve essere utilizzata come unico strumento per rappresentarci nel mondo digitale delle reti informatiche ed in generale in Internet. Il successo nell’uso dell’identità digitale passa inoltre per strumenti e soluzioni semplici e sicure da utilizzare e, prima ancora, che ne consentano la semplice e naturale assegnazione agli utenti.
Business challenge
Come parte di una joint venture di system integrator, Bit4id ha ottenuto un contratto dal Ministero dell’Informazione (MIT) di un paese del Medio Oriente, per fornire una soluzione di identità digitale mobile per tutta la sua popolazione, inclusi cittadini e non cittadini della nazione. Il Paese aveva già avviato un sistema di carta d’identità elettronica (microchip), ma il MIT ha pensato di integrare tale sistema con un’infrastruttura IT per generare e gestire ID digitali nel cyberspazio – modellato e conforme al Regolamento eIDAS. L’uso del modello eIDAS non solo garantisce un approccio basato su diverse best practice, ma consente anche il commercio con l’UE e altri paesi aderenti a tale standard.
Technical challenge
PKI, certificati digitali e identità digitali
Una PKI (Public key infrastructure) aiuta a determinare l’identità di persone, dispositivi e servizi, consentendo l’accesso controllato a sistemi e risorse, protezione dei dati e responsabilità nelle transazioni online. La PKI è la base che consente l’uso di tecnologie come firma digitale e crittografia su popolazioni di grandi utenti. Di conseguenza, le PKI sono essenziali per transazioni governative ed e-commerce sicure e affidabili.
Certificati digitali
I certificati digitali sono le credenziali che permettono la verifica delle identità tra gli utenti in una transazione. Proprio come un passaporto certifica l’identità di una persona come cittadino di un determinato Paese, il certificato digitale stabilisce l’identità degli utenti all’interno dell’ecosistema. Poiché i certificati digitali vengono utilizzati per verificare l’identità del firmatario delle informazioni, è essenziale proteggere l’autenticità e l’integrità del certificato per mantenere l’affidabilità del sistema.
Autorità di Certificazione
Una Autorità di Certificazione (Certificate Authority o CA) è la componente principale di una PKI, responsabile della creazione di una catena gerarchica di fiducia. Le Autorità di Certificazione rilasciano le credenziali digitali utilizzate per certificare l’identità degli utenti e sostenere la sicurezza di una PKI e dei servizi che supporta. I controlli fisici e logici e i meccanismi di protezione di un modulo di sicurezza hardware (HSM) garantiscono l’integrità di una PKI e riducono il rischio di attacco.
eIDAS
eIDAS è un regolamento UE che stabilisce gli standard per le identità elettroniche, l’autenticazione e le firme. Si applica agli enti governativi e alle imprese che forniscono servizi online ai cittadini europei e che riconoscono o utilizzano identità, autenticazione o firme. eIDAS richiede anche l’uso di HSM certificati EAL4 + (AVA_VAN.5) Common Criteria per emettere certificati digitali, firme digitali, marche temporali e altri dati transazionali.
Requisiti di sistema
Il MIT disponeva già di una PKI per rilasciare ai propri cittadini carte d’identità elettroniche. La richiesta fatta a Bit4id è stata quella di integrare nell’infrastruttura PKI delle funzionalità aggiuntive che avrebbero dovuto:
- Consentire ai residenti di firmare digitalmente transazioni e documenti sia da dispositivi desktop che mobili, come notebook, tablet e smartphone
- Scalare facilmente
- Generare certificati per milioni di utenti
- Elaborare molte migliaia di transazioni al secondo
Soluzione
Una delle ragioni per cui il MIT ha assegnato questo progetto a Bit4id è stata la sua proposta di archiviare i certificati da utilizzare con dispositivi mobili in un HSM nShield, certificato secondo il Common Criteria EAL4 +, anziché sul dispositivo stesso, come un telefono cellulare. Ciò rispetterebbe le normative eIDAS relative alle credenziali digitali remote. Grazie all’esperienza maturata nel campo eIDAS, Bit4id sapeva bene come realizzare il sistema.
L’azienda ha infatti progettato un sistema di identità digitale che facilita l’emissione dei certificati dalla PKI nazionale verso gli HSM di nCipher ed il loro utilizzo da parte dei residenti. Il sistema gestisce in modo sicuro l’emissione di certificati da parte della PKI nazionale all’HSM, regola l’utilizzo dei certificati dall’HSM agli utenti e controlla la gestione del ciclo di vita dei certificati (ad es. sospensione, revoca, rinnovo). I certificati sono richiesti per consentire agli utenti di essere identificati e autenticati all’interno del sistema, e quindi di firmare documenti per diversi scopi, ad esempio per l’apertura di un’attività commerciale, la registrazione elettronica dell’imposta sul reddito o la firma e il caricamento di documenti per la corrispondenza legale.
La distribuzione attualmente utilizza la soluzione SignCloud di Bit4id insieme alla sua applicazione middleware ausiliaria, Universal Key Chain, e un totale di quattro HSM nShield Connect XC: uno per lo sviluppo, uno per i test e due per la produzione, incluso un meccanismo di failover. Ciò fornisce elevata disponibilità e bilanciamento del carico per un funzionamento regolare. Bit4id ha inoltre usufruito dell’esclusiva architettura Security World di nCipher, che consente di archiviare le chiavi come file crittografati e protetti al di fuori dei confini fisici dell’HSM. Ciò fornisce una memorizzazione delle chiavi praticamente illimitata.
L’attuale sistema di identificazione digitale viene utilizzato principalmente per le applicazioni del governo rivolte ai cittadini. Tuttavia, si sta già pianificando di replicare l’attuale distribuzione in modo da consentire ulteriori casi d’uso di firme digitali nelle applicazioni government-to-business e government-to-government.
“Bit4id ha lavorato con nCipher e ha utilizzato i suoi HSM nShield per molti anni”, afferma Pierluigi Pilla, ID Systems and PKI Unit Director di Bit4id. “Gli HSM di nCipher sono lo standard utilizzato in tutto il mondo. Sviluppiamo progetti basati sulla straordinaria affidabilità e disponibilità degli HSM nShield di nCipher e li integriamo in tutti i nostri prodotti. Riponiamo la massima fiducia in nCipher e nelle sue soluzioni”.
Risultati
Bit4id ha creato un sistema di identificazione digitale mobile conforme a eIDAS che integra l’attuale sistema di carte d’identità elettroniche del Paese mediorientale. Il sistema:
- Consente ai residenti di firmare digitalmente da dispositivi desktop e mobile
- Scala facilmente
- Genera certificati per milioni di utenti
- Elabora molte migliaia di transazioni al secondo
- Può essere duplicato ed esteso alle applicazioni government-to-business e government-to-government
Esigenze di mercato
- Creare un sistema di identificazione digitale online che integri un sistema di carta d’identità elettronica esistente e sia conforme a eIDAS
Esigenze tecnologiche
Integrazione con l’infrastruttura PKI esistente che possa:
- Consentire ai residenti di firmare digitalmente transazioni e documenti sia da dispositivi desktop che mobili, come notebook, tablet e smartphone
- Scalare facilmente
- Generare certificati per milioni di utenti
- Elaborare molte migliaia di transazioni al secondo
Soluzione
Progettazione personalizzata di un sistema di identificazione digitale utilizzando:
- Bit4id SignCloud
- Bit4id Universal Key Chain
- nShield HSM Connect XC
- Security World architecture
Risultati
- Creazione di un sistema nazionale di identificazione digitale mobile
- Piena risposta ai requisiti tecnologici, di mercato e di sicurezza del cliente
- Sistema robusto che sarà presto duplicato ed esteso ad altri casi d’uso
SCARICA IL PDF
La guida completa per utilizzare in modo semplice la CIE nei servizi digitali della Pubblica Amministrazione
Negli articoli precedenti abbiamo scoperto come abbinare la Carta d’Idendità Elettronica (CIE) al pc semplicemente utilizzando un lettore di smart card. Dopo aver abbinato la CIE, non ci resta che accedere ai tanti servizi che le Pubbliche Amministrazioni hanno reso disponibili online. Il sito INPS dà accesso ad alcuni dei servizi online più richiesti, tra cui anche la domanda di indennità Covid-19, ovvero il bonus di 600 euro per alcune categorie di lavoratori. Leggiamo qui sotto come si accede al sito INPS tramite CIE.
⇒ Non hai ancora un lettore di smart card? Scopri la linea CIEfacile di Bit4id
Come accedere al sito INPS con la CIE
La procedura è davvero semplicissima. A un primo sguardo sembreranno tanti step, ma in realtà ogni passaggio è molto rapido e l’intera operazione richiede solo pochi clic.
1.
Ricordiamo che per collegarci al sito INPS dobbiamo aver precedentemente abbinato la Carta d’Identità Elettronica al computer tramite l’app CIE ID (se non sai come fare consulta la nostra guida rapida).
2.
Una volta abbinata la CIE al pc, apriamo una pagina internet e ci colleghiamo al sito INPS. Cerchiamo il tasto “Home” in basso alla pagina e clicchiamo.
3.
Nella Home del sito INPS clicchiamo sul tasto “Entra in MyINPS” in alto a destra.
4.
Appare la finestra di login. Tra i diversi metodi di autenticazione disponibili, selezioniamo “CIE”. Quindi confermiamo cliccando sul tasto “Entra con CIE”.
5.
Il sito ci chiede di selezionare la modalità di autenticazione. Visto che stiamo usando il pc e il lettore di smart card, clicchiamo sul tasto “Prosegui con computer”.
6.
Si apre una piccola finestra con l’elenco dei certificati disponibili per l’autenticazione. Selezioniamo il certificato della CIE, che riporta in oggetto il codice fiscale. Se non avete altri certificati collegati, sarà l’unica opzione disponibile. Per proseguire clicchiamo “OK”.
7.
Inseriamo le ultime 4 cifre del PIN della CIE e clicchiamo su “OK”.
8.
A questo punto ci viene chiesta l’autorizzazione per trasferire i dati personali presenti sulla CIE al sito INPS. Il vantaggio dell’accesso tramite CIE sta proprio nel fatto che non dovremo compilare nessun campo manualmente: le informazioni vengono trasferite automaticamente dalla carta d’identità al sito INPS e il tutto avviene nella massima sicurezza. Confermiamo l’operazione cliccando su “Autorizza l’invio dei dati”.
9.
L’accesso al sito INPS è andato a buon fine! Con pochi clic siamo entrati nel nostro profilo MyINPS, l’area personale che raccoglie preferenze, scadenze e avvisi. Nella sezione “Anagrafica” visualizziamo tutti i dati che sono stati trasferiti automaticamente dalla CIE, senza errori e perdite di tempo.
10.
Il menu laterale a sinistra presenta tutti gli strumenti messi a disposizione dal sito INPS: posizione fiscale, moduli, notizie, prestazioni e molto altro. Da qui possiamo anche tornare sulla Home e richiedere l’indennità di 600 euro per il Covid-19. Terminate le operazioni, clicchiamo su “Esci” per chiudere la sessione in tutta sicurezza.
⇒ Per maggiori informazioni sull’utilizzo della Carta d’Identità Elettronica scopri la linea CIEfacile e acquista subito il tuo lettore di smart card
POSTCAST
Puntata completa
Posta del ♥ dell’Internet
1) storie di agenti russi che sii attaccano ai cavi sottomarini che fanno funzionare internet
- thetimes – russian agent plunge to new ocean depths in ireland to crack transatlantic cables
- mappa dei cavi sottomarini che ci collegano all’internet
2) DDL 2394 – la grande ipocrisia della magistratura e del diritto di spionaggio verso chiunque sia ritenuto sospettabile
Tutto è iniziato col decreto legislativo 216/2017 (in piena era Renzi-Gentiloni). E oggi ci fermiamo a questa origine, per parlare nelle successive puntate dei suoi sviluppi. Qui si è cominciato a parlare di intercettazioni ad ampio raggio, di ‘captatori informatici’ (senza dire chiaramente che cosa la legge intenda usando questo termine) e a stabilire che possono essere sempre usati per tutti i reati di associazione a delinquere e per attività terroristica; viceversa, per gli altri reati previsti dall’art.266 del Codice di Procedura penale, l’uso dei trojan e delle microspie nell’abitazione privata dell’indagato è autorizzata solo se vi sono fondati motivi che l’attività criminosa si svolga lì e l’autorizzazione ha un tempo determinato. Fermiamoci un attimo per contemplare l’ipocrisia di Stato. Il legislatore sapeva o non sapeva nel 2017 che tutti i giovani procuratori hanno ormai imparato, come tecnica investigativa da applicare contro un cittadino di cui si sospetta qualcosa, ad aprire un fascicolo contro ignoti? Dopo di che, la stessa persona può essere intercettata anche se non iscritta al registro degli indagati, perché può essere ritenuto che la sua utenza possa essere intercettata utilmente per l’accertamento di reati di cui si ha notizia ma non si conosce il responsabile. Successivamente, lo stesso magistrato può indagare lo stesso cittadino (dopo averlo intercettato per mesi in attesa del reato) per associazione a delinquere, e per sei mesi non mandargli alcun avviso di garanzia. Ma se anche poi indaga per un periodo più lungo e non lo avvisa, quale è la sanzione? Nessuna.
- => DDL 2394
- ==> Intercettazioni: Il Pd usa il Coronavirus per varare la legge dello spionaggio generalizzato dei cittadini
3) Internet of things Candle
una candela che si accende tramite un app, cosa mai potrebbe andare storto ?
- => Internet of Things – candle
3) CryptoStory – Come CIA e servizi segreti tedeschi hanno spiato alleati e avversari vendendo macchine antispionaggio
”It was the intelligence coup of the century,” CIA report concludes. “Foreign governments were paying good money to the U.S. and West Germany for the privilege of having their most secret communications read by at least two (and possibly as many as five or six) foreign countries.”
- news:en:ashigtonpost ‘The intelligence coup of the century’
- news:it:valigiablu Come CIA e servizi segreti tedeschi hanno spiato vendendo macchine antispionaggio
- pdf:eng:archive full story archived in pdf
Approfondimento
Gestione delle identità online e offline
La nostra vita online spesso assomiglia alla vita che abbiamo offline. Negli ultimi 10 anni una spinta totale ci circonda e ci fa credere che l’unico modo di esistere che abbiamo online sia quelle di chiamarci per il nostro nome e cognome reale, ma questa realta’ e’ vera solo per chi ci crede. Esistono nei mondi non troppo sotterranei del hacking e del attivismo un sacco di strumenti per gestire l’identita’ e l’anonimato ed in questa puntata andremo a scoprirne alcuni per poi lasciare la curiosita’ a chi vuole di cercare gli strumenti migliori per ognuno, ma prima cerchiamo di decostruire la nostra identita’ cerchiamo di vedere che cosa e’ successo negli ultimi 30 anni di internet con un po’ di storia e prenderemo pezzi di libri che ci possano raccontare che cosa significava poter cambiare identita’ ogni volta che volevamo.
Book
un estratto dal libro di Edward Snowden che rappresenta abbastanza bene l’immaginario nerd nella gestione delle identità
In un forum ho rivelato la mia età, ma non il mio nome, quello mai. Una delle cose più belle di queste piattaforme era che non ero tenuto a svelare la mia identità. Potevo essere chiunque. L’anonimato, tramite l’uso di pseudonimi, garantiva l’equilibrio nei rapporti, correggendo eventuali discrepanze. Potevo nascondermi dietro qualsiasi nome virtuale, o nym, come veniva chiamato, diventando in un attimo la versione più alta e adulta di me stesso. Potevo assumere tantissime identità. Ne approfittavo per fare le domande che reputavo più ingenue, ogni volta usando un nome diverso. Le mie abilità informatiche miglioravano così velocemente, che invece di essere fiero dei miei progressi, mi vergognavo della mia precedente ignoranza e cercavo di prenderne le distanze. Avrei voluto dissociare le mie identità. E criticare la stupidità di [del mio alias precedente] squ33ker, quando aveva fatto quella domanda sulla compatibilità del chipset, così tanto tempo fa (in realtà era stato solo il mercoledì precedente). Ovviamente anche in questo contesto così culturalmente libero e collaborativo esisteva il senso di competizione, e accadeva anche che qualcuno – di solito maschio, eterosessuale e sovreccitato – si alterasse per motivi futili. Ma in assenza di nomi veri, le persone che dicevano di odiarti non erano persone vere. Non sapevano niente di te, al di fuori di ciò di cui discutevi e di come ne discutevi. Se venivi coinvolto in qualche lite, bastava cambiare identità, e così avresti potuto addirittura inserirti nella discussione, dando contro al vecchio te stesso come se fosse stato un estraneo. Era un sollievo inimmaginabile. Negli anni Novanta, però, Internet sarebbe caduta vittima della più grande ingiustizia della storia digitale: il tentativo, da parte della politica e delle aziende, di legare nel modo più stretto possibile l’identità virtuale degli utenti con quella reale. Un tempo qualsiasi ragazzino poteva dire su Internet la cosa più stupida senza doverne rendere conto in futuro. In apparenza potrebbe non sembrare il contesto più sano dove crescere, ma in realtà questo è l’unico contesto in cui ciò sia davvero possibile. Il fatto che Internet, in origine, permettesse di dissociarsi da se stessi, incoraggiava me e quelli della mia generazione a cambiare le nostre opinioni, anche quelle che avevamo sostenuto con più convinzione, invece di continuare a difenderle quando venivano messe in discussione. La possibilità di reinventarsi ci permetteva di non chiuderci sulle nostre posizioni per paura di arrecare danni alla reputazione. Gli errori venivano puniti e immediatamente corretti, e questo permetteva a tutta la comunità di avanzare. Per me, e per altri, era questa la libertà. Immaginate di potervi svegliare ogni mattina e di poter scegliere un nome nuovo e una faccia nuova. Immaginate di poter scegliere una nuova voce e nuove parole con cui parlare, come se il «pulsante di Internet» vi permettesse di resettare la vostra vita. Nel nuovo millennio, Internet ha assunto scopi molto differenti: incentiva l’attaccamento al ricordo, sostiene l’importanza di un’identità coerente e promuove il conformismo ideologico. Ma allora, almeno per un certo periodo, ci proteggeva, facendoci dimenticare le nostre trasgressioni e perdonando i nostri peccati.
Link: alcuni link utili per comprendere come gestire le nostre identita’ online
Gendersec Zen – Manuale della gestione delle identità e molto altro
- => Gendersec::Zen: the art of making tech works for you
Alcuni strumenti utili per gestire le nostre varie identita’ o per non averne nessuna:
- Fake Name generator
- Guerrilla Mail – Disposable Temporary E-Mail Address
- anonbox.net provides you free, completely anonymous one-time email address
- BugMeNot – find and share logins with each others
- me and my shadow – take control of your data
- TAILS – a live system that aims to preserve your privacy and anonymity
- Whonix – Anonymize Everything You Do Online
- Qubes OS – A reasonably secure operating system
In quest’articolo vedremo delle stampanti 3D e servizi online di stampe 3D.
Tra le più economiche (anche se per forza di cose poco professionali) c’è 101hero.
Si tratta di una stampante 3D venduta a 99 dollari!
Il top del top (per professionisti però, visto anche il prezzo di 8.000 euro) è: Ultimaker S5
.
La stampante presenta doppio estrusore e riconoscimento automatico dei materiali. Non c’è niente di meglio in giro.
Scendendo di prezzo (circa 3.000 euro) un ottimo modello è la: Makerbot Replicator.
Invece da 600 euro (della Snapmaker con fresa CNC e incisore laser) si scende ai 290 euro della FlashForge.
PENNE 3D
Esistono anche penne 3D con un unico estrusore (prezzo dai 30 agli 80 euro) che permettono la creazione a mano libera (la plastica fusa è prodotta dal filo presente nella penna).
Qui per comprarne una: Penna 3D (Amazon)
SERVIZI ONLINE PER LA STAMPA 3D
Sito con materiali e per oggetti 3D da stampare: 3DHubs
Per stampa 3D e fresatura CNC di vari materiali (alluminio, ottone, nylon, rame, bronzo, delrin): Weerg
Sempre stampa 3D: 3Dream
Stampa 3D per settore medico: 3DLife S.A.