Image by Freepik

Identità digitale: le sfide

Il tema dell’identità digitale è ampio e ha comportato nel corso degli ultimi anni un intenso dibattito con la produzione di numerosi contributi.

In Europa, a giugno del 2021 è stata pubblicata la “proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea”, meglio nota come eIDAS 2.

Questa proposta di regolamento costituisce l’evoluzione del regolamento UE 910/2014, eIDAS (electronic IDentification, Authentic and trust Services) e prevede che entro il 2024 ogni Stato membro dell’UE dovrà mettere a disposizione di ogni cittadino che lo desideri un portafoglio di identità digitale (Digital Identity Wallet).

La proposta di regolamento eIDAS 2 è ancora in corso di approvazione ed è ambizioso il traguardo del 2024.

Tuttavia, quotidianamente ci confrontiamo con gli aspetti connessi all’identità digitale, soprattutto con lo scambio di email. Vorremmo, infatti, avere certezza di chi siano davvero i nostri destinatari e allo stesso modo garantire di essere il mittente delle email inviate.

In Italia esiste la PEC (Posta Elettronica Certificata) ma con il progetto REM (Registered Electronic Mail) si propone di creare uno standard internazionale (si veda il documento ETSI - EN 319 532-4).

L’identità digitale per le email è possibile mediante l’utilizzo di un certificato S/MIME (Secure/Multipurpose Internet Mail Extensions) definito da numerosi documenti tecnici dello IETF (Internet Engineering Task Force), tra i quali menzioniamo la RFC 8551.

Il certificato S/MIME viene rilasciato da una Certification Authority e solitamente - in ragione delle sue caratteristiche - è a pagamento.

Una valida soluzione gratuita è quella della Web Key Directory (WKD).

Web Key Directory

Web Key Directory fa riferimento ad un protocollo (lo IETF ha in esame il draft dell’ultima versione che è del 14/11/2022) mediante il quale è possibile individuare le chiavi pubbliche OpenPGP di account email che sono caricate sui server, aggirando la necessità di keyserver dedicati. La verifica viene eseguita partendo da un indirizzo email per il quale si avvia la ricerca della relativa chiave pubblica attraverso il protocollo HTTPS.

Il documento dello IETF che abbiamo appena menzionato descrive sia il problema sia la soluzione.

Solitamente OpenPGP viene utilizzato per la crittografia della posta elettronica. Potrebbe risultare complicato individuare la chiave pubblica corretta del destinatario. Si può fare riferimento ai keyserver e comunque a volte per un indirizzo email potrebbero essere state generate più chiavi.

Pertanto, viene utilizzata la Web Key Directory che si può configurare sul proprio web server oppure mediante la WKD as a service.

Come si è detto, il citato documento dello IETF descrive la soluzione ma un documento più chiaro è disponibile nella sezione documenti di Keyxoide.org.

Una guida più ampia è disponile sul wiki di GnuPG.

In sintesi, se il client email WKD-ready e cioè è predisposto per interrogare la WKD (intendiamo che ha questa caratteristica), dopo aver digitato l’indirizzo, avvia la ricerca e restituisce il risultato confermando o non che per quell’indirizzo esiste una chiave pubblica sul web.

Tra i provider email che utilizzano WKD, vale la pena menzionare ProtonMail (dal novembre 2018) e Mailfence (dal 18/11/2021).

Quali utenti ProtonMail, abbiamo eseguito dei test con i nostri account email per i quali è attivo WKD. Nella fase di scrittura del messaggio, quando si inserisce l’indirizzo email del destinatario, ProtonMail esegue una ricerca con il protocollo WKD e aggiunge un lucchetto verde che simboleggia la corretta individuazione della chiave pubblica.

In questo modo, è possibile scambiare messaggi criptati e al contempo, avere certezza della esistenza di un indirizzo email.

La nostra WKD

Abbiamo deciso di impostare la nostra WKD, per garantire maggiore sicurezza e per rendere più agevole l’identificazione delle chiavi pubbliche dei nostri indirizzi email.

Attualmente per le email dei domini nicfab.eu e fabiano.law è possibile il “discover” della chiave pubblica mediante WKD.

Con il tool Web Key Directory di Metacode è possibile verificare se il sistema WKD è attivo per un determinato indirizzo email.

La nostra GnuPG Public Key

Dall’app Terminale digitale il comando seguente (sostituire l’indirizzo email come da standard):

gpg --locate-external-keys info-at-nicfab.eu

nella la risposta è contenuta la chiave pubblica.

Lo stesso risultato si ottiene digitando il seguente comando:

gpg --auto-key-locate clear,wkd --locate-external-keys info-at-nicfab.eu

Per scaricare direttamente la chiave pubblica, invece, si possono utilizzare i seguenti comandi (La URL si ottiene con il tool Web Key Directory di Metacode inserendo l’indirizzo email):

curl --tlsv1.3 -o nicfab.eu "https://openpgpkey.nicfab.eu/.well-known/openpgpkey/nicfab.eu/hu/mg6owx9w8c3ejg3tu31f4tha5n17d4rj?l=info"

oppure

wget --secure-protocol=TLSv1_3 --max-redirect=0 -O nicfab.eu "https://openpgpkey.nicfab.eu/.well-known/openpgpkey/nicfab.eu/hu/mg6owx9w8c3ejg3tu31f4tha5n17d4rj?l=info"

Credits duxsco/duxsco per i comandi su indicati.


Se questa risorsa è stata utile, puoi contribuire con

Buy me a coffee

o donare via

Liberapay


Follow us on Mastodon

Stay tuned!