È in corso di approvazione eIDAS 2.0, il nuovo regolamento europeo che ha l’obiettivo di disciplinare i sistemi di identificazione elettronica per cittadini, imprese e pubbliche amministrazioni dell’UE.
La proposta di eIDAS 2.0 include (volontariamente o meno non è importante chiarirlo ora) un indebolimento della sicurezza del web che nella peggiore delle ipotesi potrebbe essere un cavallo di Troia: gli Stati membri dell’UE avrebbero il potere di forzare nei database dei browser (es. Chrome, Firefox) l’inserimento di Autorità di certificazione decise dai governi dei singoli stati.
Cosa significa questo? Per comprenderlo facciamo un passo indietro e riepiloghiamo quello che accade quando scriviamo https://www.mysite.com. Il nostro browser individua un indirizzo (cioè un server) a cui collegarsi su Internet e, sebbene il percorso tra il nostro computer ed il server sia controllato da vari altri attori (ad esempio i gestori dei canali di comunicazione), ci appare un lucchetto chiuso che indica che solo noi ed il legittimo server che gestisce www.mysite.com possiamo leggere e scrivere i dati che ci stiamo scambiando. Ad abilitare la creazione di tale tunnel sicuro che scherma la comunicazione tra browser e server, sono vari strumenti di crittografia (es. il protocollo TLS) ma non solo. Ogni browser ha un database che include le autorità ritenute fidate per certificare le organizzazioni che gestiscono i server sul web. In altre parole, il motivo per cui possiamo essere certi che il browser stia comunicando con il server di www.mysite.com e non con un impostore è che l’organizzazione che gestisce il server di www.mysite.com ha un certificato digitale (e le corrispondenti chiavi segrete) rilasciato proprio da una di quelle Autorità di certificazione che è memorizzata nel database del mio browser. Un impostore non essendo in grado di ottenere il rilascio di un tale certificato e non conoscendo le chiavi segrete associate a certificati legittimamente generati da tali Autorità, non è in grado di ingannare il browser. Chiaramente un’Autorità di certificazione può essere sotto attacco rilasciando quindi certificati digitali falsi, ma fortunatamente esistono meccanismi (es., le revoche dei certificati, gli aggiornamenti del database del browser che scartano le autorità compromesse) che mitigano i rischi conseguenti.
La proposta di eIDAS 2.0
Torniamo ora alla proposta di eIDAS 2.0 in approvazione. Tale proposta prevede che possano essere “forzate” nel database del browser (bypassando quindi le policy che essi adottano ed i meccanismi di risposta ai rischi) varie Autorità di certificazione scelte dai governi degli Stati membri dell’UE. Questa significativa variazione rischia di destabilizzare la sicurezza delle comunicazioni sul web, introducendo vari “points of failure”. Un caso estremo di abuso di questo potere di “contaminare” il database dei browser è la realizzazione di programmi di sorveglianza di massa: pensando di collegarci col browser ai server di nostro interesse (es., Google, Amazon, facebook) potremmo, malgrado il lucchetto chiuso, essere invece collegati con un impostore che, ottenuto un certificato digitale fasullo (ma accettato dai browser grazie ad eIDAS 2.0!) da una di queste Autorità compiacenti, potrebbe leggere direttamente le informazioni che pensiamo ingenuamente di scambiarci in modo protetto con i legittimi server. Inoltre, anche chi ha piena fiducia nelle decisioni e nelle buone intenzioni dei governi degli Stati membri dell’UE non dovrebbe dormire troppo tranquillo. Le varie Autorità di certificazione decise dagli Stati membri dell’UE e imposte nei database dei vari browser, possono essere moralmente immacolate ma concretamente attaccabili. Un’Autorità di certificazione sotto attacco aprirebbe voragini alla sicurezza del web, compromettendo sia la confidenzialità che l’integrità dei dati scambiati.
Per approfondire:
Last Chance to fix eIDAS: Secret EU law threatens Internet security
