Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

SPID: con SSL3 e TLS1.0 saremo tutti securizzati Photo by on Unsplash
309 parole - Lo leggerai in 1 minuti

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

In pratica una sorta di centralizzazione del modo con cui noi, cittadini italiani, potremo usare il web per interfacciarci con i servizi offerti dallo Stato. Bello. In teoria molto bella l’idea. L’execution? Eh, già una FAQ mi lascia molto perplesso dal punto di vista della security.

B5: Confidenzialità degli scambi: possiamo assumere SSL 3.0 o TLS 1.0 obbligatorio?

RB5: Il profilo SAML SSO raccomanda l’uso del protocollo TLS 1.0 nei colloqui tra Asserting party e le Relying party. Riteniamo in ambito SPID di rendere obbligatorio l’uso di un canale securizzato, consigliando l’impiego di protocolli TLS nella versione 1.0 o successive.

NO, NO e ancora NO

SSLv3 ed il suo gemello diverso di poco, TLS1.0, vanno disabilitati ed evitati come la peste. SSLv3 e TLS1.0 sono obsoleti da 15 anni e vulnerabili tra l’altro a Beast e Poodle. Come si può inserirli in una FAQ dicendo, quasi con vanto, che il canale securizzato sarà garantito da una versione di protocollo obsoleta e vulnerabile?

Questo non è neanche ingannare il cittadino. Questo è palesemente non avere idea di cosa si sta facendo. Il numerino che porta la versione di TLS da 1.0 a 1.2 non è un vezzo, è la garanzia che almeno dal punto di vista trasmissivo le cose sono fatte come Dio comanda.

Se manca questa sensibilizzazione nella scelta del protocollo, chissà cosa succede se parliamo di sviluppo sicuro, linee guida di hardening, code review, penetration test applicativo. Contando che si vuole gestire l’identità digitale di 60 milioni di persone, siamo sicuri si possa condurre il progetto in maniera così poco consapevole dal punto di vista della sicurezza del dato?

Io non credo proprio.

Citando Mayhem, “io sono preoccupato”.

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list