Home>Il Ministero dell'Interno non ha più la spina dorsale!
Il Ministero dell'Interno non ha più la spina dorsale!
Piano, piano!
Non sto facendo polemica sulle posizioni del Ministero in tema di pubblica sicurezza.
Mi riferisco alla dismissione definitiva del canale di sicurezza "backbone" (in inglese backbone è la spina dorsale) avvenuta il 20 ottobre 2014. Il backbone dell'Indice Nazionale delle Anagrafi forniva ai Comuni, in modo sicuro e certificato su rete internet (VPN), servizi di aggiornamento e interrogazione dell'INA. La dismissione del backbone è avvenuta nell’ambito dell’istituzione dell’Anagrafe Nazionale della Popolazione Residente (ANPR), come previsto dal DPCM 23/08/2013, n.109.
Perché preoccuparsi di quattro ossa ormai “dismesse”?
Perché se si apre un certificato presente su una Carta d’Identità Elettronica (CIE) si trovano numerosi riferimenti a questo backbone:
Un secondo problema è che l’articolo 64 del CAD prevede che l’accesso ai servizi della PA sia consentito tramite l’uso della carta d’identità elettronica. Ma, se il certificato dell’autorità emittente non è affidabile e l’indirizzo della lista di revoca dei certificati è inaccessibile, come si può procedere all’autenticazione? Peraltro, essendo il backbone una VPN, la CRL era inaccessibile anche prima della sua dismissione. Tutto questo in barba a quanto previsto dall’articolo 18, commi 1 e 2, della Deliberazione CNIPA 21/05/2009, n. 45 secondo il quale le informazioni sulla revoca e sospensione dei certificati pubblicate in rete dai certificatori e rese disponibili pubblicamente tramite liste di revoca e sospensione, hanno un formato conforme alla specifica RFC 5280, e sono liberamente accessibili al pubblico tramite protocollo HTTP o LDAP.
Un terzo problema è che l’articolo 61 del DPCM 22/02/2013 prevede che l’utilizzo della Carta d’Identità Elettronica sostituisca, nei confronti della pubblica amministrazione, la firma elettronica avanzata. Prevede anche che le applicazioni di verifica della firma devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda a una CIE e che i certificatori accreditati che emettono certificati per CIE rendano disponibili strumenti di verifica della firma.
Se a questo si aggiunge che trovare dove stia il software della CIE richiede una laurea in ricerca Google, la situazione è desolante.
Cosa dice il Ministero?
Il 18 luglio 2013 ho provato a scrivere al Ministero dell’Interno ponendo questi quesiti, ma non ho ottenuto alcuna risposta.
La dirigente dell'ufficio Carta d'identità elettronica mi informa che "la CIE viene emessa in via SPERIMENTALE" (io credo che Galileo Galilei avesse un'idea un po' diversa del concetto di sperimentazione...)
La seconda fondamentale informazione (definita nella mail la "solita risposta") è la seguente:
“Il progetto sviluppato dall’Università di Tor Vergata (a tutt’oggi in fase sperimentale) prevedeva l’implementazione dei servizi O.C.S.P. o delle Certificate Revocation Lists (CRL), tuttavia in fase di passaggio di consegne l’ente non ha rilasciato alcuna documentazione in merito. A seguito di un’analisi approfondita dell’infrastruttura presso il CNSD, effettuata dal nostro ufficio per reperire tra le altre anche tali informazioni, purtroppo non abbiamo avuto riscontri in merito. Alla luce di quanto detto, il nostro ufficio ritiene alquanto improbabile l’implementazione di tali servizi, anche in virtù del nuovo progetto CIE in fase di approvazione finale da parte degli organi competenti.”
Vale a dire che l'Università di Tor Vergata, pagata profumatamente dal Ministero dell'Interno per lavorare sul progetto CIE, non ha realizzato una parte fondamentale dell'infrastruttura tecnologica che sta alla base di un documento elettronico!
L'argomento si è già guadagnato l'attenzione dell'Autorità Nazionale Anticorruzione che, alla chiusura del fascicolo, ha disposto "l’invio della delibera alla Procura della Corte dei Conti e al Nucleo Polizia Tributaria di Roma, per i profili di competenza".
Chissà se, Corte dei conti e polizia tributaria, stanno lavorando?
Non sto facendo polemica sulle posizioni del Ministero in tema di pubblica sicurezza.
Mi riferisco alla dismissione definitiva del canale di sicurezza "backbone" (in inglese backbone è la spina dorsale) avvenuta il 20 ottobre 2014. Il backbone dell'Indice Nazionale delle Anagrafi forniva ai Comuni, in modo sicuro e certificato su rete internet (VPN), servizi di aggiornamento e interrogazione dell'INA. La dismissione del backbone è avvenuta nell’ambito dell’istituzione dell’Anagrafe Nazionale della Popolazione Residente (ANPR), come previsto dal DPCM 23/08/2013, n.109.
Perché preoccuparsi di quattro ossa ormai “dismesse”?
Perché se si apre un certificato presente su una Carta d’Identità Elettronica (CIE) si trovano numerosi riferimenti a questo backbone:
OK, dove sta il problema?
Un primo problema è che l’autorità emittente del certificato non risulta nell’elenco dei certificatori autorizzati pubblicato sul sito di AgID come previsto dall’articolo 26, comma 6, del CAD e dall’ articolo 43 delle regole tecniche.
Un secondo problema è che l’articolo 64 del CAD prevede che l’accesso ai servizi della PA sia consentito tramite l’uso della carta d’identità elettronica. Ma, se il certificato dell’autorità emittente non è affidabile e l’indirizzo della lista di revoca dei certificati è inaccessibile, come si può procedere all’autenticazione?
Peraltro, essendo il backbone una VPN, la CRL era inaccessibile anche prima della sua dismissione.
Tutto questo in barba a quanto previsto dall’articolo 18, commi 1 e 2, della Deliberazione CNIPA 21/05/2009, n. 45 secondo il quale le informazioni sulla revoca e sospensione dei certificati pubblicate in rete dai certificatori e rese disponibili pubblicamente tramite liste di revoca e sospensione, hanno un formato conforme alla specifica RFC 5280, e sono liberamente accessibili al pubblico tramite protocollo HTTP o LDAP.
Un terzo problema è che l’articolo 61 del DPCM 22/02/2013 prevede che l’utilizzo della Carta d’Identità Elettronica sostituisca, nei confronti della pubblica amministrazione, la firma elettronica avanzata. Prevede anche che le applicazioni di verifica della firma devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda a una CIE e che i certificatori accreditati che emettono certificati per CIE rendano disponibili strumenti di verifica della firma.
Se a questo si aggiunge che trovare dove stia il software della CIE richiede una laurea in ricerca Google, la situazione è desolante.
Cosa dice il Ministero?
Il 18 luglio 2013 ho provato a scrivere al Ministero dell’Interno ponendo questi quesiti, ma non ho ottenuto alcuna risposta.
Il 27 ottobre scorso, preso da un raptus, ho provato nuovamente a scrivere a sicurezza@backbone.cnsd.interno.it e a cie@interno.it: il primo destinatario, ovviamente, non risulta esistente; il secondo il 29 ottobre mi ha risposto!
La dirigente dell'ufficio Carta d'identità elettronica mi informa che "la CIE viene emessa in via SPERIMENTALE" (io credo che Galileo Galilei avesse un'idea un po' diversa del concetto di sperimentazione...)
La seconda fondamentale informazione (definita nella mail la "solita risposta") è la seguente:
“Il progetto sviluppato dall’Università di Tor Vergata (a tutt’oggi in fase sperimentale) prevedeva l’implementazione dei servizi O.C.S.P. o delle Certificate Revocation Lists (CRL), tuttavia in fase di passaggio di consegne l’ente non ha rilasciato alcuna documentazione in merito. A seguito di un’analisi approfondita dell’infrastruttura presso il CNSD, effettuata dal nostro ufficio per reperire tra le altre anche tali informazioni, purtroppo non abbiamo avuto riscontri in merito. Alla luce di quanto detto, il nostro ufficio ritiene alquanto improbabile l’implementazione di tali servizi, anche in virtù del nuovo progetto CIE in fase di approvazione finale da parte degli organi competenti.”
Vale a dire che l'Università di Tor Vergata, pagata profumatamente dal Ministero dell'Interno per lavorare sul progetto CIE, non ha realizzato una parte fondamentale dell'infrastruttura tecnologica che sta alla base di un documento elettronico!
L'argomento si è già guadagnato l'attenzione dell'Autorità Nazionale Anticorruzione che, alla chiusura del fascicolo, ha disposto "l’invio della delibera alla Procura della Corte dei Conti e al Nucleo Polizia Tributaria di Roma, per i profili di competenza".
Chissà se, Corte dei conti e polizia tributaria, stanno lavorando?