UNA NUOVA CA

Cosa è?

Secure Edge è  un’azienda che si occupa a livello professionale di ICT Security, sia utilizzando prodotti di terze parti, sia sviluppando software in proprio (http://www.secure-edge.com/hp.php?section=4) e dal2003 ha una  Public Key Infrastructure [PKI] e quindi una Certification Authority [CA] interna.

Tre settimane fa, abbiamo rilasciato un nuovo root certificate per la nostra CA, che a partire dal 9 gennaio 2012, va a sostituire l’operatività  del precedente, firmando quindi i nuovi certificati di autenticazione, di firma e di crittografia.

Perchè un nuovo certificato?

Ci sono una serie di motivi tutti importanti, sia dal punto di vista della sicurezza informatica, sia dal punto di vista organizzativo.

Una delle ragioni è quella di evitare qualsiasi discontinuità  di esercizio per la nostra CA.  La validità  del root certificate precedente scadrà  il prossimo 10 gennaio 2013; avere un anno di sovrapposizione tra le validità  del vecchio e del nuovo certificato, ci garantisce che non ci potranno essere dei disservizi.

Allo scopo di rendere questo periodo di sovrapposizione ancora più controllabile, dall’emissione del nuovo root certificate -quindi dal 9 gennaio 2012 il vecchio root certificate non verrà  più utilizzato per firmare certificati, ma naturalmente rimarrà  valido per la funzione di verifica delle firme emesse nel suo periodo di attività.

Un root Certificate ha una validità  temporale molto più grande dei certificati creati per autenticazione, per firma o per crittografia: tipicamente la sua durata è di 10 anni.

Il root certificate precedente è stato creato nel 2003, a partire da una coppia di chiavi da 1024 bit; una lunghezza considerata adeguata per un root certificate ed implementata fino a qualche anno fa da tutte le CA commerciali.

Ma in 10 anni cambiano molte cose.

Forse qualcuno ricorda che  con una prima nota a febbraio 2005 e poi ufficialmente ad agosto dello stesso anno, alcuni ricercatori cinesi dell’Università di Shandong (Cina) presentarono alla Crypto Conference un metodo efficiente per trovare collisioni nella funzione SHA-1.

Il metodo non metteva a (immediato) rischio il valore della firma digitale ma nonostante questo dopo pochi mesi il NIST deprecava l’uso dello SHA-1 nei processi di firma, suggerendo al suo posto lo SHA-256; e ancora qualche tempo dopo, lo stesso NIST dava il via ad una gara internazionale per trovare un nuovo algoritmo di hash standard: lo SHA-3. Dalla rosa dei candidati selezionati nel 2011 quest’anno si verrà definita la tecnologia migliore.

Come ulteriore elemento da considerare, dal punto di vista della opportuna lunghezza delle chiavi impiegate per la firma, sempre il NIST depreca l’uso operativo di chiavi da 1024 bit, se effettuato dal 2011 inpoi e ne vieta l’uso a partire dal 2014.

Per tutta questa serie di considerazioni quindi, oltre ad aver emesso il nuovo root certificate con un anno di anticipo, rispetto alla scadenza del precedente, si è deciso di rendere la crittografia della nuova copia di chiavi della CA molto più forte, generando una chiave privata da 2048 bit.

Inoltre, pur non dovendo essere accreditata da un ente come DigitPA (ex CNIPA), le procedure seguite per l’operatività  delle CA ed i meccanismi di sicurezza implementati sono di ottimo livello. A titolo di esempio, le coppie di chiavi della CA Secure Edge risiedono all’interno di un dispositivo sicuro di firma (SSCD) ed il computer che ne gestisce le operazioni è mantenuto off-line.

Sandro Fontana (CTO Secure Edge)

Per maggiori approfondimenti:

http://csrc.nist.gov/publications/drafts/800-57/Draft_SP800-57-Part1-Rev3_May2011.pdf

http://www.slideshare.net/sfontana/articolo-new-crypto-ict-security-5-aprile-2007-presentation

Annunci

250.000 certificati digitali in un anno per l’Università la Sapienza di Roma

Da quasi un anno si sono assottigliate le file alle segreterie delle facoltà dell’Università romana La Sapienza. Per richiedere certificati e documenti con valore legale agli studenti basta un semplice clic.  Grazie all’introduzione della tecnologia del timbro digitale gli studenti sono in grado di richiedere e ricevere online tutti i documenti sia in carta semplice sia in bollo. 

“L’introduzione del Timbro Digitale è stato un vero successo, siamo davvero molto soddisfatti. I numeri, dopo un anno circa dall’implementazione sono ottimi”, spiega la professoressa Tiziana Catarci, docente all’Università La Sapienza di Roma e presidente di Infosapienza, centro di competenze per la predisposizione di soluzioni innovative dell’Ateneo romano. “L’obiettivo è incrementare ulteriormente questi risultati che consideriamo già molto positivi. Basti pensare, ad esempio, che chi non è più uno studente universitario ed ha bisogno di un certificato,  utilizza la certificazione con timbro digitale 4 volte su 5. Ad oggi sono stati emessi digitalmente un totale di oltre 250mila certificati”, aggiunge Catarci.

Adottata da oltre 10 Università e più di cento Comuni, tra cui quello di Roma, Milano oltre alle regioni Emilia Romagna e Sardegna, il timbro digitale permette di erogare in tempo reale documenti e certificati legalmente validi. L’utilizzo è semplicissimo, dopo  l’autenticazione al portale, un operatore virtuale verifica l’emettibilità del documento, il sistema genera quindi il certificato richiesto con il timbro digitale, in formato Pdf con firma digitale del Dirigente, e lo invia automaticamente via mail.

Dematerializzazione: tutto il buono del timbro digitale

Gestire via Web certificati e documenti con valore legale: a un anno dall’introduzione del timbro digitale 2D Plus distribuito dalla bolognese Sysdata Italia, sono già oltre 250mila i certificati emessi in formato digitale, presso La Sapienza di Roma, con un notevole assottigliamento delle file alle segreterie didattiche dell’Ateneo capitolino.
Sviluppata da Secure Edge, la tecnologia che sottende al timbro digitale 2D Plus consente, infatti, agli studenti che ne hanno titolo di richiedere e ricevere online eventuali documenti in carta da bollo o semplice ma anche, a chi studente non lo è più, di ricevere in questa modalità un qualunque certificato.
Una volta effettuata l’autenticazione al portale, un operatore virtuale verifica l’emettibilità del documento richiesto così che il sistema possa generare, in formato Pdf e con firma digitale del dirigente incaricato, il certificato provvisto dell’apposito timbro digitale da inviare automaticamente via posta elettronica a chi ne ha fatto richiesta.
Il che già accade in oltre una decina di università italiane e presso un centinaio di comuni, tra cui quelli di Roma e Milano, e nelle regioni Emilia Romagna e Sardegna, dove il timbro digitale permette di erogare in tempo reale documenti e certificati legalmente validi.