Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Riccardo Nuti : 18 Marzo 2025 10:23
L’essere umano nella vita quotidiana ha avuto sempre la necessità di essere riconosciuto ed identificato per usufruire di servizi e prestazioni. Ciò è stato possibile utilizzando nel passato documenti in genere cartacei per poter dimostrare quello che dichiarava di essere. Tali documenti venivano gestiti e forniti personalmente dall’interessato per addivenire ai bisogni personali, a loro volta associati al relativo riconoscimento.
Con l’avvento della tecnologia Internet, del mercato globale e soprattutto della facilità e della rapidità con cui una persona può interagire a distanza nel mondo digitale, sono nate ed individuate nel tempo forme sempre più complesse, dal punto di vista tecnologico, di riconoscimento digitale. Con l’evolversi della tecnologia è stato possibile la crescita, ad esempio, del commercio elettronico, della gestione finanziaria delle banche e delle assicurazioni, della interazione sanitaria e di tutte quelle attività che in genere richiedevano la presenza fisica.
Questi benefici raggiunti attraverso l’adozione e il supporto di diverse soluzioni tecnologiche comportano, e devono necessariamente, soddisfare alcune caratteristiche essenziali associate all’Identità Digitale, con particolare riferimento alla:
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La password è stata, ed è tutt’ora, lo strumento digitale primario per la protezione dell’identità digitale. Essa avvalora ciò che un soggetto (ad esempio, utente o sistema) dichiara di essere nella fase di identificazione. Per la maggior parte dei casi, la creazione e la gestione della password è lasciata agli utenti, che da letteratura e dalle analisi degli incidenti informatici risulta essere uno degli anelli deboli della sicurezza digitale.
Gli utenti, non potendo esimersi dalla gestione delle proprie password, diventano bersagli di tecniche diverse e spesso mirate degli hacker, che cercano di ingannare gli utenti per acquisire le loro password e violare sistemi legittimamente autorizzati, o per realizzare frodi ai danni degli utenti o dei loro partner. Nel corso del tempo, le tecniche utilizzate da persone e organizzazioni malevoli si sono fatte sempre più sofisticate.
Inizialmente, venivano inviate semplici email di “phishing” con testi ingannevoli per carpire informazioni. Successivamente, sono stati sviluppati processi più strutturati per creare una base informativa su cui costruire un inganno mirato (come il “spear-phishing”), fino ad arrivare all’uso attuale dell’Intelligenza Artificiale (IA). L’obiettivo è far sembrare i testi veritieri, in modo da indurre l’utente a cliccare su un collegamento digitale a un sito malevolo, identico a quello ufficiale, o a scaricare un file che si installa nel dispositivo elettronico usato dall’utente per carpirne le informazioni (come le password) in modo malevolo.
La formazione del personale aziendale, degli utenti, e contestualmente l’introduzione di soluzione tecnologiche come sistemi antispam e antiphishing, nodi di rete evoluti per la protezione della rete o dei sistemi (es. IDS, IPS, firewall, WAF) non sono spesso sufficienti a ridurre le minacce ai sistemi o alle piattaforme provenienti dall’esterno.
L’ulteriore passo per rafforzare l’identità e la sua sicurezza, qualora la password venga in qualche modo sottratta, oppure la stessa non sia sufficientemente robusta nella sua struttura tale da prevenire attacchi di tipo “brute force”, è l’introduzione del processo denominato “Multi Factor Authentication” (o “Strong Authentication”). Tale processo si basa sull’utilizzo di elementi indicati come fattori di autenticazione connessi al mondo dell’utente. I fattori di autenticazione sono racchiusi nelle seguenti 3 macro aree: “qualcosa che conosci”, “qualcosa che hai” e “qualcosa che sei”. Un breve excursus sui 3 fattori:
La letteratura sull’argomento è ampia, ma quella che può considerarsi un riferimento fondamentale sono le Linee Guide emesse dal National Institute of Standard and Technology (NIST). Il NIST è un’agenzia governativa degli U.S.A. che si occupa nell’indirizzare la gestione delle diverse tecnologie in uso.
Gli standard e le Linee Guida emessi dal NIST non sono cogenti in Europa, ma sono considerati per completezza e autorevolezza un riferimento tecnologico da seguire. In particolare, il NIST tratta l’autenticazione a più fattori nelle Linee Guide della serie SP 800-63: nella Linea Guida NIST SP 800-63-3 (“Digital Identity Guidelines”) sono definiti i 3 livelli di autenticazione “Authenticator Assurance Level (AAL) che si possono selezionare per diverse tipologie di servizio digitale, mentre la NIST SP 800-63B (“Digital Identity Guidelines – Authentication and Lifecycle Management”) fornisce le diverse soluzioni disponibili per l’autenticazione a più fattori.
La molteplicità di servizi, applicazioni e domini a cui un singolo utente può accedere, rende la gestione degli accessi problematica sia dal punto di vista della sicurezza sia dal punto di vista gestionale. Nel primo caso, l’utente deve ricordare molte password per tutti i sistemi, applicazioni e domini a cui deve essere autorizzato per operare, con conseguenze negative legate alla ripetitività e alla pigrizia mentale, che lo portano a utilizzare spesso la stessa password per diversi siti/applicazioni o, in alternativa, a creare password diverse ma molto semplici, la cui struttura risulta essere fortemente deficitaria in termini di robustezza e complessità. Nel secondo caso, ovvero la gestione degli account, risulta essere un’operatività complessa per la numerosità amministrativa degli stessi da parte degli operatori dell’IT dei diversi nodi di accesso.
Per migliorare la sicurezza dei sistemi e l’esperienza dell’utente, è stato introdotto il processo di autenticazione denominato “Single Sign-On” (SSO). Questo processo consente di accedere a più risorse con una sola attività di immissione delle credenziali di accesso. Una volta effettuato il riconoscimento e l’autenticazione da parte dell’utente, lo stesso può accedere senza la necessità di ripetere l’immissione delle credenziali di accesso per ogni singolo sistema incluso nel processo di SSO di riferimento.
Dal punto vista operativo, assume un ruolo fondamentale l’Identity Provider (IdP), che ha il compito di accertare con un processo strutturato, tramite l’autenticazione dell’utente, la sua legittimità ad operare su un insieme di sistemi ben definito e riconosciuto. Un elemento rilevante dal punto di vista della sicurezza è dato dal fatto che tra il fornitore di servizi (Service Provide, SP) e l’IdP non passano credenziali di accesso degli utenti (username, password). Infatti, tra i due provider viene attivato uno scambio “handshaking”, con la generazione e l’invio di token (o di cookie con i dati di sessione) al SP, per consentire il trasferimento dei dati di verifica a seguito del processo di autenticazione dell’identità dell’utente, consentendo a quest’ultimo l’accesso alle risorse a lui destinate. La soluzione tecnologica SSO spesso adotta contestualmente l’autenticazione MFA, che introduce un ulteriore “layer di sicurezza”, riducendo il rischio connesso alla fase di autenticazione dell’utente.
Riprendendo l’aspetto gestionale, il SSO facilita dal punto di vista sistemistico la gestione delle password (esempio, provisioning e deprovisioning degli account, nonché il reset delle passord), con un beneficio sui costi di gestione associati alle funzioni dell’Information Technology.
Nel delineare i vantaggi nell’adozione del processo SSO occorre evidenziare anche problematiche connesse alla gestione tecnologica della sicurezza, nonché all’esercizio e alla manutenzione dei sistemi a supporto del processo stesso. In particolare, dal punto di vista della sicurezza, un malintenzionato nel compromettere la sicurezza della sola componente tecnologica che funge da IdP, può verosimilmente accedere ai diversi servizi ad essa collegati (Single Point of Failure – SPOF), mentre la scarsa gestione operativa sugli apparati elettronici potrebbe creare problemi al loro corretto funzionamento, con conseguenze connesse alla indisponibilità e al disservizio nell’utilizzo dei sistemi a supporto del processo SSO.
Come abbiamo visto, il processo SSO funziona particolarmente bene ed è particolarmente indicato quando, ad esempio, un’azienda di media/grande dimensione ha la necessità di facilitare l’accesso simultaneo del proprio personale a varie applicazioni (es. contabilità, HR, repository documentale) senza creare disagi nei tempi di attesa o disservizi a causa del sovraccarico dei sistemi.
Il passo successivo è pensare in grande: perché limitarsi e rimanere confinati alla sola azienda, quando siti web completamente diversi nei loro contenuti, e nelle modalità di offerta dei servizi stessi, possono in qualche modo “riconoscersi” e facilitare, per alcuni di essi, l’interazione e la gestione delle fasi di “Identificazione” e “Autenticazione”. In particolare, se un utente vuole accedere a un sito che offre servizi (“Service Provider” – SP), come l’accesso ai siti amministrativi, ai servizi pubblici o di qualsiasi altro tipo, è inoltrato dal SP stesso, per l’immissione del set di credenziali, ad un diverso sito che può erogare e gestire la sua identità digitale, ricoprendo di fatto il ruolo da IdP (es. Facebook, Gmail).
Superata la fase di identificazione e autenticazione, l’utente può essere abilitato ad utilizzare i servizi richiesti nel sito inizialmente acceduto. Il processo appena descritto è denominato “Identità Federata” (“Federated Identity Management” – FIM). Per avviare un tale processo deve essere instaurato un protocollo (“handshaking”) per garantire non solo la fattibilità tecnica, ma soprattutto scambi sicuri tra il SP (fornitore dei servizi) e l’IdP (fornitore dell’identità dell’utente). I sistemi coinvolti nell’Identità Federata utilizzano protocolli consolidati come SAML, OAuth 2.0 e OpenID Connect. Tali protocolli consentono lo scambio sicuro dei dati senza alcun passaggio o scambio di credenziali dell’utente. Infatti, una volta che l’utente è identificato e autenticato dall’IdP, i dati che vengono passati al SP sono una “asserzione” (“Assertion”) che attesta l’avvenuta autenticazione, tramite un token (“ID Token”) generato dall’IdP (“OpenID Connect”) che contiene le cosiddette “affermazioni” (“Claims”) di autenticazione valide dell’utente.
I vantaggi nell’Identità Federata sono i medesimi di quelli indicati nella tecnologia SSO. In particolare, nell’ambiente tecnologico federato è sufficiente la memorizzazione di un solo set di accesso, con vantaggi nella sua gestione e creazione di una password robusta e nella sua conservazione. Anche in questo caso ritroviamo l’aspetto positivo connesso alla gestione operativa di un processo SSO, dove l’Identità Federata riduce il carico di lavoro di tipo amministrativo degli account associati al fornitore dei servizi. Tale attività ricade prevalentemente sull’IdP, consentendo al SP di concentrare maggiormente le risorse alla risoluzione e fornitura dei servizi. Ulteriori aspetti positivi dell’Identità Federata sono inerenti anche al miglioramento della sicurezza per le aziende, specialmente di piccole dimensioni, che non hanno le risorse economiche per realizzare misure adeguate a protezione delle credenziali di accesso.
Rivolgendosi a grandi aziende con la cultura, gli investimenti e le tecnologie di ultima generazione, si ottengono pratiche di sicurezza superiori rispetto ai livelli di sicurezza che potrebbero applicare le piccole imprese. Infine, l’esperienza associata a tale tecnologia facilita l’utente nell’utilizzo dei servizi supportati dall’Identità Federata, rendendo il processo di accesso più immediato e più semplice perché si utilizzano set di credenziali di frequente utilizzo (ad esempio, per l’accesso a Facebook, alla posta elettronica di Google). In particolare, l’utente è più invogliato e facilitato ad accedere e utilizzare un nuovo servizio se ha un IdP le cui autenticazioni sono già presenti e conosciute, rispetto a creare un nuovo account di accesso per ogni servizio, con tutti i problemi connessi e precedentemente evidenziati.
Gli aspetti negativi connessi all’utilizzo della FIM sono diversi. Il primo è connesso alla tipologia di architettura adottata che potrebbe essere prone di una completa indisponibilità del sistema a causa di un eventuale malfunzionamento dell’IdP, che qualora accada rappresenterebbe una vulnerabilità per l’intero sistema di Identità Digitale (SPOF), con l’impossibilità per l’utente di accedere ai servizi richiesti. Un altro aspetto da non trascurare è connesso alla privacy, poiché l’IdP potrebbe effettuare la profilazione delle richieste di accesso ai servizi effettuate dall’utente. Questo è possibile perché i SP richiedono sempre i dati di autenticazione (token) all’IdP ogni volta che un utente vuole utilizzare e accedere ai diversi siti web.
Abbiamo visto alcune problematiche associate alla gestione della FIM. In particolare, l’IdP qualora non fosse raggiungibile e non fosse garantita in qualche modo la continua operatività dei suoi sistemi, non potrebbe garantire all’utente la possibilità di accedere ai servizi richiesti. Inoltre, non tutti i servizi presenti sulla rete pubblica accettano i medesimi IdP, con conseguenze per l’utente che è costretto a creare ulteriori identità digitali con diversi IdP. Ulteriore aspetto importante da non trascurare è che l’Identità Digitale di un utente è gestita completamente da un ente terzo, spesso al provider sono forniti non solo il nome, la data di nascita e l’indirizzo di posta elettronico, ma anche sono dati la residenza, il numero del cellulare e spesso anche le coordinate bancarie. Avere dati personali sparsi per il web può creare inquietudine nell’utente perché spesso non si ricorda a chi sono stati concessi , e soprattutto quali sono i dati forniti al provider per far riconoscere la propria identità digitale.
Parte delle problematiche, se non tutte, appena esposte possono essere risolte con l’adozione del modello di Identità Digitale riconosciuto come “Self Sovereign Identity” (SSI). Tale modello restituisce il controllo della propria Identità Digitale all’utente e non risulta più legato ad un, o più IdP, ma bensì utilizza un modello decentralizzato delle informazioni archiviate basato sulla tecnologia delle Blockchain. In sintesi si può dire che l’utente diventa l’IdP di sé stesso.
Il termine Self Sovereign Identity fu coniato per la prima volta da Christofer Allen nel 2016. Allen ha fondato la “Blockchain Commons LLC” (25 aprile 2019) che è “un’entità senza scopo di lucro focalizzata sulla creazione di una infrastruttura digitale aperta, interoperabile, sicura e compassionevole”, con obiettivo di “sostenere il controllo indipendente, privato e resiliente degli asset digitali, utilizzando specifiche aperte e interoperabili”, di “mettere al primo posto gli utenti e la loro dignità umana e di sostenere e incoraggiare la loro gestione sicura e responsabile degli asset digitali”.
Nel tempo sono state date diverse definizioni sui principi dell’Identità Digitale (ad esempio, Kim Cameron “The Laws of Identity”, “W3C The Verifiable Claims Task Force”) che hanno contribuito alla definizione di 10 principi sulla Self Sovereign Identity (26 aprile 2016). In particolare:
Esistenza: “Gli utenti devono avere un’esistenza indipendente”. Per la SSI un’identità non potrà esistere interamente solo in forma digitale, ma deve sussistere ed essere accoppiata ad una entità fisica. La SSI rende pubbliche e accessibili informazioni che individuano e caratterizzano in parte o in toto un utente.
Controllo: “Gli utenti devono controllare la propria identità”. L’utente rimane sempre l’autorità ultima e non sostituibile sulla propria identità. L’utente deve essere sempre in grado di definire il livello di visibilità e di privacy sulla propria identità. “Ciò non significa che un utente controlli tutte le attestazioni sulla propria identità: altri utenti possono fare affermazioni su un utente, ma non dovrebbero essere centrali per l’identità stessa”
Accesso: “Gli utenti devono avere accesso ai propri dati”. Un utente deve avere sempre il completo controllo dei propri dati e non devono esserci dati nascosti e “gatekeeper” (ovvero sia presente una qualche forma decisionale, non definita dall’utente stesso, che controlla l’accesso ai dati che caratterizzano l’identità digitale dell’utente). Gli utenti non possono avere accesso ai dati degli altri utenti, ma solo ai propri.
Trasparenza: “I sistemi e gli algoritmi devono essere trasparenti”. I sistemi tecnologici utilizzati nella gestione della SSI debbono aperti in relazione alle modalità di gestione e di aggiornamento tecnologico. Debbono non dipendere da qualsiasi architettura, nel contempo caratterizzati dall’essere liberi, “open-source” ed essere possibile di esaminare il loro funzionamento.
Persistenza: “Le identità devono essere longeve”, ovvero durare per sempre o fintantoché lo vuole l’utente. Dal punto di vista tecnologico vista la sua rapida evoluzione, tale affermazione dovrebbe non essere pienamente soddisfatta, ne consegue che la validità dell’identità dovrebbe essere legittima fino a quando la stessa non sarà superata da nuovi sistemi di identità digitale, salvaguardando sempre il “diritto all’oblio” sui dati dell’utente.
Portabilità: “Le informazioni e i servizi relativi all’identità devono essere trasportabili”. Le identità non devono essere legate ad un’entità digitale terza, ma debbono avere la caratteristica di essere trasportabili. L’evoluzione tecnologica, in special modo Internet, possono avere una trasformazione innovativa e questo può determinare la scomparsa di un’entità. Gli utenti debbono avere la possibilità di spostare le proprie identità, garantendo altresì la persistenza.
Interoperabilità: “Le identità dovrebbero essere il più ampiamente utilizzabili possibile”. La SSI ha uno degli obiettivi di non avere confini di alcun tipo (es. di tipo tecnologico, nazionale e/o di settore), al fine di rendere l’informazione sulla Identità Digitale fruibile e disponibile, senza che l’utente ne perda il controllo
Consenso: “Gli utenti devono accettare l’uso della propria identità”. In qualsiasi momento, tecnologia e condizione di interesse, il sistema di Identità Digitale che si basa su tecnologia SSI si basa sull’assoluta consapevolezza e l’esplicito consenso dell’utente.
Minimizzazione: ”Quando i dati sono divulgati, tale divulgazione dovrebbe riguardare la quantità minima di dati necessari per svolgere il compito in questione”. Non sempre per usufruire un servizio è necessaria la divulgazione e la conoscenza completa dei dati e delle attestazioni associate all’identità del cliente.
Protezione: “I diritti degli utenti devono essere protetti”. I diritti dell’utente inerenti alla protezione della sua Identità Digitale sono inalienabili e sono al di sopra di qualsiasi esigenza che possa sorgere ed essere in contrasto con la rete o qualsiasi tecnologia a supporto della SSI.
Dopo aver definito i 10 principi che costituiscono le guide guida per la realizzazione della SSI, e prima di andare a definire il suo modello che lo caratterizza dal punto di vista funzionale, occorre dare un accenno sulla infrastruttura Blockchain che costituisce il “kernel” tecnologico per garantire il suo funzionamento operativo.
La tecnologia Blockchain è stata utilizzata per la prima nel 1991 da 2 ricercatori americani per proteggere i documenti da possibili manomissioni. Tuttavia, questa tecnologia rimase inutilizzata fino al 2008 quando venne ripresa da Satoshi Nakamoto per creare per la prima volta la criptovaluta digitale, ovvero i Bitcoin. La caratteristica principale della Blockchain è di essere costituito da un archivio digitale “condiviso” e “decentralizzato” consultabile da chiunque faccia parte della rete. La Blockchain è, come dice la traduzione in italiano, una catena di blocchi, dove ogni blocco contiene principalmente 3 elementi base: i dati nuovi (es. transazione commerciale, Identità Digitale, Non-Fungible Token), che costituiscono l’oggetto di archiviazione, il valore proveniente dalla funzione “hash” del blocco precedente e un ulteriore valore della funzione “hash” del blocco che si sta generando (la funzione “hash” produce una stringa alfanumerica unidirezionale, “digest”, che possiamo considerare come una sorta di impronta digitale del generico blocco). In particolare, la funzione “hash” del nuovo blocco è calcolata dalla concatenazione dei nuovi dati da archiviare e dal valore dell’”hash” del blocco precedente. Dal punto di vista della sicurezza, se un generico blocco i-esimo della catena di blocchi viene volutamente alterato, l’hash del blocco i-esimo e tutti gli hash dei blocchi successivi non sono più considerati accettabili perché alterati. Se pochi anni fa era sufficiente per la sicurezza, oggi non lo è più a causa delle potenze di calcolo degli elaboratori elettronici sempre più veloci (valori di velocità prossimi ai 2.0 exaFLOPS) che potrebbero rapidamente ricalcolare l’hash i-esimo del blocco corrotto e i successivi, rendendo valido tutta la catena di blocchi. Per evitare tale problema viene utilizzato il protocollo crittografico “Proof of work” che introduce calcoli aggiuntivi, e soprattutto onerosi, per la creazione di un nuovo blocco, rendendo più sicura tutta la catena della Blockchain da attacchi di attori malevoli. La Blockchain, per sua natura, è un’architettura decentralizzata e ogni nodo della stessa rete (“peer to peer”) possiede una copia completa della Blockchain e ne verifica la sua regolarità. Quando viene creato un nuovo blocco, lo stesso viene inviato a tutti i nodi della rete a cui appartiene. Ogni nodo della rete che ha ricevuto il blocco lo verifica e se la copia del blocco è corretta, ovvero non ha subito alterazioni, lo aggiunge alla propria copia della Blockchain. Dal punto di vista fraudolento, un attore malevolo per manipolare la Blockchain, come già detto, altera un blocco i-esimo deve quindi rifare necessariamente la “Proof of work” del blocco i-esimo e di tutti i successivi. Tuttavia, questa condizione è necessaria ma non sufficiente perché per avere successo l’hacker deve avere il controllo sul 50%+1 dei nodi della Blockchain. Tale pratica risulta, ad oggi, non conveniente in termini di tempo (calcolo molto pesanti della “Proof of work”) e di costi energetici (ovvero al Blockchain è caratterizzata da soluzioni tecnologiche fortemente energivore).
Insieme all’aspetto architetturale della “Decentralizzazione” è fondamentale anche il concetto del “Consenso”. Il “Consenso” nella blockchain è il processo attraverso il quale i nodi di una rete distribuita concordano su uno stato univoco della Blockchain. Gli algoritmi del “Consenso” assicurano 3 aspetti: i) tutte le copie della blockchain siano identiche e le transazioni sono valide e accettate dalla rete; ii) nessun nodo, o un ristretto numero di nodi, è più potente degli altri nella validazione del blocco (evitando così di ricadere in una architettura centralizzata); iii) tutti i nodi della rete sono allineati e d’accordo su un’unica versione della Blockchain. Ne consegue che la sicurezza della Blockchian è proporzionale alla sua decentralizzazione e al numero dei nodi partecipanti alla rete.
I pilastri che sono alla base di un modello SSI sono: i) i “Decentralized Identifiers” (DID); ii) “Verifiable Claim” (VC); iii) i “DID Document”. Inoltre, per completezza aggiungerei anche il “DID method”.
Un DID è un identificatore univoco di una risorsa (ad esempio, persona, oggetto, pagina Web) che ha la caratteristica di essere: i) permanente (in quanto una volta emesso non è modificabile); ii) verificabile (attraverso la doppia chiave crittografica, ovvero chiave pubblica e chiave privata: in particolare, il possessore della chiave privata può dimostrare di essere il controllore del DID); iii) afferente ad un sistema decentralizzato (Blockchain). Il DID è unico e consente il collegamento ad un DID Document (e per risolvere a quale blockchain o a quale registro distribuito è presente il DID Document è di supporto il “DID method”). Gli utenti hanno il controllo completo sui propri identificatori e su come vengono utilizzati. Un aspetto importante è che i DID costituiscono già uno standard in quanto recepiti in ambito World Wide Web Consortium (W3C è una organizzazione non governativa internazionale con l’obiettivo di definire standard aperti per promuovere l’accessibilità e la compatibilità delle tecnologie in rete).
Prima di definire dei VC, occorre parlare inizialmente di un “Claim” che è una affermazione fatta da una entità emittente che caratterizza ed è associata ad un soggetto. Ad esempio, un Claim può essere “Paperino possiede una patente di guida” e le informazioni in esso contenute possono essere nome, cognome, data di rilascio della patente, la sua data scadenza, ente che ha rilasciato la patente ed altre informazioni inerenti. Una entità emittente può emettere uno o più Claim riguardanti il soggetto. Queste affermazioni (“Claim”) una volta che sono firmate digitalmente dall’emittente per garantirne l’autenticità, diventano una Verifiable Credential. L’ente verificatore (“Receiver” o “Verifier”) per appurare le informazioni contenute nella VC, al fine di autenticare e autorizzare il soggetto ad utilizzare specifici servizi e/o risorse, può utilizzare le informazioni crittografate in essa associate. Una volta verificata l’autenticità delle credenziali, il verificatore comunica i risultati all’applicazione o al sito web del SP che ha richiesto l’autenticazione (“Relying Party”) che poi ne autorizza l’uso in funzione delle informazioni ricevute dal Receiver.
Affinché nella SSI i diversi attori possono interagire in modo sicuro, in un contesto di informazioni distribuite, questi necessitano di un ulteriore elemento che è il “DID Document”. Il DID, come già detto, è un identificatore unico che consente il recupero (indicato come “resolve”) di un “DID Document” nel quale sono presenti informazioni sull’entità identificata. All’interno di un strutturato “DID Document” troviamo: i) le chiavi crittografiche (ovvero le chiavi pubbliche che possono verificare le firme digitali e crittografare le comunicazioni); ii) gli Endpoint dei siti interessati da un servizio specifico (ovvero come raggiungere, tramite la URI, i servizi associati alla DID); iii) gli eventuali ulteriori Metadati che possono contenere informazioni aggiuntive che caratterizzano maggiormente un DID (come le relazioni, i contatti ed eventualmente aggiungere, ad esempio, altre entità che fungono da controller e che potrebbero avere la facoltà di poter aggiornare o cancellare il documento stesso).
Anche nel caso nella adozione della soluzione tecnologica SSI, oltre ad evidenziare aspetti positivi che la caratterizzano rispetto alle soluzioni centralizzate dell’Identità Digitale, abbiamo delle problematiche di attenzione connesse al suo utilizzo. In particolare:
Abbiamo visto quanto sia stato importante nel corso negli anni garantire la conoscenza di colui che dichiara di essere. Oggi il mondo è fortemente interconnesso e riuscire a dimostrare la propria identità per usufruire servizi come effettuare operazioni commerciali, bancarie, firmare documenti, controllare e condividere informazioni personali (Privacy) e accedere ai servizi governativi (es., ministeri, anagrafe, pubblici uffici) è di assoluta necessita. Abbiamo anche visto l’evoluzione tecnologica che partendo dalla “semplice” password, per poi passare attraverso SSO e la FIM, siamo giunti alla SSI. Con quanto appena scritto non vuol dire che in senso assoluto la SSI risolve tutti i problemi, le soluzioni SSO e FIM restano tutt’ora fortemente valide. il processo decisionale che occorre adottare per individuare la soluzione tecnologica più performante e sicura deve necessariamente coinvolgere un processo strutturato, come il Risk Assessment, che a partire dagli obiettivi formalmente identificati giunga alla gestione dei rischi individuati.
Tale processo deve essere attuato e presidiato nel tempo attraverso una visione olistica che individui e valuti periodicamente, o in situazioni straordinarie in corrispondenza di eventi significativi (es., modifiche architetturali, nuovi vettori di attacco), i rischi e le relative misure da adottare, o già presenti, affinché riducano i rischi stessi ad un valore obiettivo (“Risk appetite”). Un aspetto, come già indicato, da tenere presente e sottolineare, che sicuramente rientra tra le azioni da mettere in campo sulla sicurezza e da tenere in conto nel Risk Assessment, è il cosiddetto fattore umano, in quanto foriero di eventi catastrofici spesso non voluti. Infatti, seppur utilizzando le migliori tecnologie, le relative migliori prassi di controllo e di governance, un utente (o dipendente, se parliamo di aziende) può cadere nella rete di un attore malevolo, o strutture organizzate come gli hacktivist, che con un non adeguato comportamento potrebbe compromettere le migliori difese e i controlli posti a protezione del sistema, della piattaforma o dei servizi.
Una considerazioni finale: l’attenzione da porre nell’Identità Digitale nel tempo, in termini tecnologici, normativi e di sua gestione, deve essere necessariamente continua. Le stesse soluzioni tecnologiche che si potranno individuare, sicuramente consolideranno quelle già presenti (SSO e FIM), potranno evolversi nel tempo (SSI) e determineranno possibili ulteriori nuove soluzioni anche in considerazione di due aspetti ad oggi fortemente innovativi e già presenti come l’Intelligenza Artificiale (AI) e il Quantum Computing. Infatti, l’IA ha un livello di pervasività ormai consolidato, e le nuove tecnologie emergenti come il Quantum Computing porteranno innovazioni tecnologiche che pervaderanno e influenzeranno la vita futura di noi tutti, compresa l’Identità Digitale.
Per finire, il futuro per le nostre Identità Digitali sono in pericolo o dobbiamo essere preoccupati con l’evolvere delle nuove tecnologie? No, non dobbiamo essere preoccupati per il futuro delle nostre Identità̀ Digitali, ma dobbiamo essere consapevoli e preparati a gestire le nuove opportunità̀ e le sfide che si presenteranno. Questo garantirà̀ una maggiore sicurezza e facilità d’uso dell’Identità Digitale nella nostra vita quotidiana.
Riccardo NutiL’essere umano nella vita quotidiana ha avuto sempre la necessità di essere riconosciuto ed identificato per usufruire di servizi e prestazioni. Ciò è stato possibile utilizzando...
Una bug recentemente scoperto su Apache Tomcat è sfruttato attivamente a seguito del rilascio di una proof-of-concept (PoC) pubblica, 30 ore dopo la divulgazione ufficiale Si tratta del ...
Che siano cybercriminali responsabili di migliaia di vittime in cinque anni di attività è un fatto indiscutibile, e questo deve restare ben impresso nelle nostre menti. Tuttavia, questa stor...
Negli ultimi mesi, il panorama dell’hacktivismo cibernetico ha visto un’intensificazione degli scontri tra gruppi di hacktivisti con orientamenti geopolitici opposti. In particolare, abb...
La causa intentata da Apple contro il governo britannico ha iniziato a essere discussa a porte chiuse presso la Royal Courts of Justice di Londra. L’azienda non è d’accordo con la r...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
