HSM: tormento ed estasi (per pochi addetti ai lavori)

scade HSM 25-07-2014

La data è arrivata e superata: il 25 luglio segnava la data ultima in cui erano ancora accettati, come apparati sicuri di firma digitale alcuni HSM, in attesa di certificazione Common Criteria.
Certificazione, appunto, che avrebbe dovuto essere rilasciata entro quella data.

Essendo stato superato il limite temporale, l’art.1 c.1 del DPCM 19/07/2012, pubblicato in G.U. n.236 il 10/10/2012 è divenuto operativo, imponendo quindi alle Certification Authority accreditate, la definizione e la comunicazione ad AgID -entro 15gg dalla scadenza [vedi Art.3 c.1]- del piano di migrazione al quale le stesse CA sono saranno tenute ad attenersi ed a completare entro i successivi 6 mesi.
“Successivi sei mesi” li ipotizzo -nella migliore delle ipotesi- dalla data di consegna del piano di migrazione; con questi presupposti, la prossima deadline è quindi il 9 febbraio 2015.

Quindi, fino a questa nuova scadenza, i suddetti apparati, potranno ancora essere utilizzati per la creazione di firma digitali legalmente valide; in questo ulteriore lasso di tempo, sarà ancora possibile per un produttore di questi apparati, cercare di completare il processo di certificazione.  La regola attuale dice però, che al termine di quest’ultima finestra temporale, gli apparati che non saranno in possesso di una certificazione valida, dovranno essere dismessi.

Inoltre, visto che gli apparati utilizzati fino ad oggi, non potevano gestire (o non avrebbero dovuto poter gestire) il backup delle chiavi in loro possesso, il senso del termine “migrazione” sta proprio a significare che, le coppie di chiavi nate e/o operative all’interno di HSM non certificati alla data del 9 febbraio 2015, non dovranno più essere utilizzate e i certificati qualificati ad esse associati dovranno essere -auspicabilmente- revocati.

Ora, come dicevamo in un precedente articolo, al momento esiste un solo HSM certificato secondo le richieste della legge italiana: é un apparato sofisticato e potente, ma estremamente costoso in proporzione al numero massimo di 20 (venti) firmatari, che può gestire in modo conforme alla sua certificazione e quindi alla legge.

É pur vero che un’altro apparato HSM riceverà a breve una corretta certificazione Common Criteria [l’informazione deriva dalla pubblicazione -da parte del distributore italiano- di una lettera ufficiale da parte di OCSI su questo argomento]

Anche questo è un apparato sofisticato ed efficiente e per giunta non soffre di limitazioni pratiche sul numero dei firmatari gestibili, anche se il prezzo di vendita di licenza d’uso per firmatario non è esattamente economico; ma naturalmente ognuno a casa propria stabilisce le regole che crede più opportuneHSM - agony and ecstasy

Del terzo fornitore di HSM, sarà bene al momento sorvolare; questa azienda non è riuscita a certificare nei termini prescritti il proprio apparato e sembra abbia dichiarato che non ci riuscirà neppure allo scadere dell’effettuazione del piano di migrazione, il 9 febbraio 2015; (ufficiosamente) sembra si possa riparlare della sua certificazione, per fine anno 2015.

Questa prima battaglia tra HSM è quindi al momento conclusa: abbiamo un primo vincitore, anche se un poco di nicchia ed un secondo vincitore, con un prodotto più utilizzabile; poi abbiamo un perdente / rimandato di cui forse si tornerà a parlare a fine 2015.

Ora che abbiamo due HSM perfettamente legali, certificati e -realmente- validi, nel disegnare una architettura che comporti la firma digitale automatica, dovremo scegliere uno di questi due HSM?

Beh, non è affatto detto(1)

(1) Qui c’era un link ad un’altro articolo, dove sarebbe stato possibile -in particolari contesti- trovare una buona alternativa agli HSM … per ragioni diplomatiche ho dovuto rimuoverlo 😦  vi devo lasciare quindi con un dubbio amletico e contemporaneamente con una traccia.

Annunci

, , , , ,

  1. Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: