Da più di un anno la legge italiana impone ai certificatori accreditati di utilizzare chiavi digitali che non siano inferiori a 2048 bit per le transizioni di dati sensibili e di importanza vitale, ad esempio le identità personali. D’altronde il legislatore italiano è stato costretto ad adottare questa disposizione, contenuta nella deliberazione CNIPA n. 45 del 21 maggio 2009, per adeguarsi agli standard internazionali. O così, oppure si rischiava di essere tagliati fuori dal resto del mondo.
Da molto tempo – marzo 2007! – Il National Institute of Standards and Technology, ovvero l’autorità mondiale in tema di standard per le tecnologie, ha imposto alle Certification Authority di rilasciare chiavi a 256/2048 bit. Ecco perché, sia pure con due anni di ritardo, è arrivata la direttiva CNIPA.
ART. 3
(Algoritmi crittografici)
1. I certificatori accreditati devono utilizzare l’algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza
delle chiavi non inferiore a 1024 bit; le chiavi di certificazione di cui all’articolo 4, comma 4, lettera
b) delle regole tecniche devono avere una lunghezza non inferiore a 2048 bit.
Chiuderesti la tua porta di casa così? Sicuramente no! Così come si fa per le chiavi della porta, su Internet le chiavi crittografiche devono essere aggiornate e potenziate.
Serrature a prova di scassinatori, perché tutti hanno a cuore l’inviolabilità della casa. Sembra incredibile, ma pochi hanno la stessa cura per la propria “casa digitale”, cioè i dati, le informazioni, i documenti, le fotografie, custoditi nel computer o veicolati sulla rete attraverso la posta elettronica e i siti internet. Sono i dati che poi diventano “fascicolo Informatico” – per effetto delle disposizioni sulla CEC PAC – e “fascicolo sanitario”, in base alla riforma sulla digitalizzazione della sanità.
Sarebbe normale, doveroso, esigere il massimo della sicurezza dalle aziende e dalle persone alle quali affidiamo tali informazioni (banche, pubblica amministrazione, siti di commercio elettronico, gestori di carte di credito, poste, eccetera).
Sarebbe ancora più normale e doveroso pretendere che i custodi temporanei dei nostri beni digitali (altrettanto preziosi di quelli analogici) si adeguino alla legge nazionale e alla normativa internazionale. Così non è, purtroppo.
Cittadini di Internet ha fatto una breve indagine nei siti della pubblica amministrazione ed ecco cosa ha scoperto:
Tutte le cosiddette Certification Authority accreditate al Digitpa ex CNIPA adottano certificati “radice” di aziende americane. Quella più usata è la Cybertrust a 128/1024 bit, del “lontano” 1998.
Ad esempio Poste Italiane, che di recente ha vinto la gara di 50 milioni di Euro per la distribuzione della PEC, anzi della CEC PAC. Tutti quei soldi avrebbero permesso di acquistare una chiave digitale più moderna, ma – come si evince dalle immagini – la chiave del certificato rilasciato a Poste da Cybertrust CA è a 1024 bit, in spregio alla legge e allo standard internazionale.
https://www.postacertificata.gov.it/home/index.dot
cliccare per ingrandire
La prova è inoppugnabile. La norma in vigore da oltre un anno non viene applicata. Eppure è in gioco la sicurezza dei cittadini-utenti. Perché di sicurezza si parla, quando la corrispondenza privata – tutelata dalla Costituzione – può essere violata dai pirati informatici.
Vale lo stesso per i siti web ai quali ci si collega per transazioni economiche o inviare dati sensibili. L’accesso a tali siti dovrebbe essere protetto dal protocollo SSL e garantito da chiavi crittografiche robuste. Proprio come si fa con la porta di casa.
D’altronde, nel convegno di Roma per il decennale della Legge sull’eGovernment 2007, lo stesso “padre” della norma, Franco Bassanini, si espresse così: “ Di queste cose non se ne fanno in Italia”
Legge in vigore, dunque, ma ampiamente disattesa, come dimostra il caso di Poste Italiane, che continuano a rilasciare account di Posta Elettronica Certificata con chiavi a 128/1024 bit. Eppure proprio le Poste sono il veicolo scelto dalla Pubblica Amministrazione per diffondere l’uso della PEC, ormai obbligatorio per tutti gli enti pubblici e gli iscritti agli albi professionali.
Il problema non è stato affrontato dal nuovo Codice dell’Amministrazione Digitale (CAD) e rischia di incancrenirsi, perché non è possibile continuare a legiferare e poi non preoccuparsi del rispetto delle norme appena emanate.
Per fortuna il mondo digitale continua a funzionare bene, anche se i Palazzi sonnecchiano e se ne fregano.
Chi vuole lavorare in sicurezza guarda oltre confine, alla Certification Authority Browser Forum, organismo mondiale del quale fanno parte i maggiori produttori di browser al mondo (Apple, Google, Microsoft, Opera, Mozilla) e le più importanti autorità di certificazione (quelle italiane non ci sono).
Tutte, ovviamente, hanno adottato le chiavi radice a 256/2048 da più di un anno. Il Forum lavora per far sì che le chiavi a 128 bit siano considerate incompatibili con la navigazione e anacronistiche.
Da un giorno all’altro, le vecchie chiavi non saranno più accettate dai stessi browser. In Italia potrebbe determinarsi una vera e propria emergenza.
Mozilla, d’altronde, aveva già annunciato a fine dicembre che, con un’azione di forza, avrebbe impedito l’uso delle chiavi con una lunghezza inferiore a 2048 bit su Firefox: “Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits”.
A giugno 2010, tutti gli organismi internazionali che operano per gli standard di sicurezza in rete, hanno tracciato il planning della progressione degli algoritmi delle chiavi crittografiche, in base al “Recommendation for the Transitioning of Cryptographic Algorithms and Key Lengths”.
Non dovrebbe essere necessario legiferare ulteriormente, in Italia, ma soltanto prendere atto delle decisioni internazionali e adeguarvisi. Se ne fa cenno nel nuovo CAD, ma l’informatica nelle amministrazioni pubbliche non si introduce attraverso norme generali – che già ci sono – bensì tramite norme tecniche, più volte promesse e quasi mai arrivate, anche se previste ormai da sei anni dall’art. 71 del CAD.
Si dovrebbe dire finalmente basta alle leggi autarchiche, fatte solo in Italia e per l’Italia, come se il web avesse confini nazionali. Basterebbe davvero poco, cioè modificare così l’art. 71 del vecchio CAD con
“1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita’ alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell’Unione europea”.
Speranza vana?
Documenti originali su: