Il baco del software "Firma&Cifra" è gravissimo, e dimostra una scarsa comprensione dei meccanismi base della verifica della firma e della costruzione della cosiddetta "chain of trust".
Ma come si fa a titolare "Un altro baco nella firma digitale?". Quale sarebbe il baco in questione? La notizia è che il software PosteCom soffre di difetti incredibili, e dovrebbe avere un titolo corrispondente: "Incredibile baco nel software di verifica PosteCom".
L'importanza di PosteCom rende la cosa "clamorosa". Ma la vera notizia è che si tratta di un certificatore "accreditato", con tanto di pubblicazione nel registro ufficiale AIPA.

Sorgono quindi nuove domande sullo stato della firma digitale in Italia. Nel seguito proponiamo tre, che ci sembrano rilevanti, e offriamo una breve discussione.

1. PosteCom è obbligata dalla normativa vigente a certificare la rispondenza del proprio software di verifica a precisi requisiti funzionali e di sicurezza?
Secondo noi sì. Il decreto legislativo 10/02 stabilisce che fino all'emanazione delle nuove regole tecniche è ancora in vigore l'articolo 63 del DPCM 8 febbraio 1999, il quale richiede che nel periodo transitorio "il fornitore o il certificatore, secondo le rispettive competenze, devono tuttavia attestare, mediante autodichiarazione, la rispondenza dei dispositivi ai requisiti di sicurezza imposti dalle suddette disposizioni."
Per i dispositivi di verifica il suddetto DPCM richiede la certificazione ITSEC livello E2, che, se applicata correttamente, è perfettamente in grado di rivelare difetti macroscopici come quello in oggetto. Sembra perciò che PosteCom non sia al momento in regola con la normativa vigente.

2. Il processo di accreditamento prevede procedure atte a certificare la qualità del software di verifica offerto agli utenti dall'ente accreditato?
Il decreto legislativo 10/02 affida al Dipartimento per l'Innovazione e le Tecnologie "funzioni di vigilanza e controllo nel settore" (art. 3). Al tempo dell'iscrizione di PosteCom, l'AIPA era responsabile per l'accreditamento. Se il controllo è stato puramente formale, quale il semplice ricevimento di una autocertificazione, probabilmente c'è stata negligenza.
Sarebbe certamente utile se la scoperta di questo "baco" contribuisse a una maggiore trasparenza, per esempio spingendo il Dipartimento a spiegare pubblicamente e con chiarezza in che modo oggi verifica la rispondenza dei certificatori accreditati ai requisiti di sicurezza, e in che modo tali controlli saranno rafforzati in futuro.

3. La permanenza di PosteCom nell'elenco dei certificatori accreditati è compatibile con le normative vigenti?
La presenza di un baco di tali proporzioni nel software di verifica di PosteCom genera dubbi sulla efficacia delle procedure di testing e validazione adottate da PosteCom, o sulla competenza tecnica dei responsabili del prodotto. Alla luce di questo non è chiaro se sono ancora soddisfatti i requisiti per l'iscrizione e la permanenza nel registro pubblico dei certificatori. La trasparenza con cui il Dipartimento gestirà questo caso è fondamentale per garantire la fiducia degli utenti nella firma digitale in Italia. L'articolo "Ora il problema è la fiducia degli utenti" sembra descrivere una situazione da Far West, in cui ogni operatore si sente vincolato solo dalla propria coscienza, non da specifiche norme di legge. Il Dipartimento ha l'obbligo di intervenire, adempiendo a quella funzione di vigilanza che gli è stata assegnata esplicitamente della legge.

Per riassumere, ci sembra che la situazione messa in evidenza da InterLex non illustri tanto un difetto della nostra normativa, quanto la sua applicazione un po' pasticciata, e che oltre PosteCom è il Dipartimento dell'Innovazione, ex-AIPA, che dovrebbe sentire il dovere di offrire spiegazioni.

Per quanto incresciosa, la scoperta di questo baco non ha niente a che vedere con la solidità della tecnologia di firma digitale. La procedura di verifica è descritta nel proposed standard IETF http://www.ietf.org/rfc/rfc3280.txt, sezione 6.1. La gestione corretta dei certificati presenti nella firma digitale è descritta in maniera assolutamente esplicita.

Nota. Sul numero 245 del 24 febbraio il punto interrogativo nel titolo di apertura e il condizionale nella notizia erano dovuti semplicemente al fatto che riportavo informazioni che non avevo la possibilità di verificare personalmente: il numero speciale era stato preparato di domenica e non si trovava nessuno capace di "fabbricare" al volo un falso certificato. Infatti nell'aggiornamento del giorno dopo il condizionale era sostituito dall'indicativo e c'era anche la dimostrazione pratica del "baco". (M.C.)