Nell'attesa di conoscere i dettagli tecnici di tale operazione (che anche se non saranno ufficialmente resi pubblici, saranno comunque oggetto di una ovvia "fuga di notizie" e relativa copertura mediatica), esercitiamoci ad immaginare alcuni possibili scenari, interessanti dal punto di vista della sicurezza IT.
Scenario 1 - Il "plico telematico" verrà spedito via email a tutte le Sedi interessate (circa 3000 scuole distribuite in tutte le parti di questa Italia così ben servita da collegamenti telematici).
In questo scenario, la chiave per la decifratura del plico dovrà essere necessariamente spedita o resa disponibile a parte, e non prima del momento in cui sarà possibile aprire il plico stesso (cioè la mattina del giorno in cui si svolgeranno le prove).
Aspetti di sicurezza IT:
- affidabilità: come sarà possibile verificare che il plico arrivi effettivamente dal MIUR e non sia un falso? Probabilmente il plico sarà "firmato digitalmente" dal MIUR, cioè un "digest" del plico sarà ulteriormente criptato con una chiave privata del MIUR, corrispondente a una chiave pubblica che verrà resa nota in qualche modo. Verranno usati Certificati Digitali X.509 per questo? Al momento, non è dato saperlo. Se il plico non sarà firmato digitalmente, sarà esposto ad attacchi di tipo SPAM (sostituzione di mittente al fine di invalidare le prove). Questi problemi potrebbero essere in pratica eliminati nel caso di utilizzo di caselle di posta elettronica certificata.
- confidenzialità: come s'è già detto, il plico sarà criptato: non è chiaro se si tratterà di una criptatura simmetrica o asimmetrica. Per comodità organizzativa si immagina che sarà simmetrica (la stessa chiave di cifratura serve per criptare e decriptare): in questo caso, una "fuga" della preziosa chiave creerebbe ulteriori problemi. Se invece si trattasse di cifratura asimmetrica, si porrebbe il problema di fornire ad ogni destinatario la sua chiave (o certificato digitale) e soprattutto di criptare l'originale in maniera diversa per ogni destinatario (ragione per cui non riteniamo che verrà percorsa questa via).
- disponibilità: questo, secondo me, è il nodo più spinoso: come fare in modo che tutti i destinatari possano correttamente operare al momento stabilito (e non un minuto prima, ma questo è un requisito del MIUR). Si spera che almeno il plico (che -ricordiamo- è criptato, quindi illeggibile) venga spedito con un certo anticipo e non simultaneamente a tutte le Sedi interessate, in modo che si possano gestire senza troppi drammi quei casi di mancato recapito che certamente qua e là potrebbero verificarsi. La trasmissione della chiave di decifrazione pone ulteriori problemi, perché è soggetta al vincolo di non essere disponibile prima di un momento prefissato.
Aggiungiamo inoltre che opportuni controlli (e contromisure) dovrebbero essere predisposti lungo tutta la filiera di creazione, criptazione, distribuzione e decriptazione del plico. Il punto più debole sembra essere la distribuzione su rete pubblica (oltre alle già note debolezze del processo di creazione, ma di questi ultimi problemi non ci occupiamo in quanto non riguardano la sicurezza IT).
Scenario 2 - Il "plico telematico" verrà messo a disposizione sul sito del MIUR e la chiave per decifrarlo verrà spedita a parte.
Come nel caso precedente, la criticità si annida nella spedizione "simultanea" della chiave a tutti i destinatari, operazione che potrebbe subire gli inconvenienti citati sopra.
Inoltre, c'è da sperare che il plico venga pubblicato un po' di tempo prima, e che le commissioni provvedano a scaricarlo in anticipo, ma non tutte simultaneamente.
Questo scenario è ovviamente prono ad un eventuale attacco DDOS al sito dove viene pubblicato il plico, e alla procedura di trasmissione della chiave, qualunque essa sia.
Scenario 3. La consegna del "plico telematico" avviene attraverso una VPN.
Questo è uno scenario del tutto immaginario, in quanto non risulta essere attiva una VPN fra il MIUR e i destinatari del plico in questione, e non è realistico pensare che venga messa in opera in così poco tempo e solo per questo progetto.
Tuttavia, questa soluzione permetterebbe di evitare la criptazione del plico, o comunque di considerare trascurabile il rischio che il plico venga intercettato e decriptato da terzi non autorizzati prima del tempo. Inoltre, eliminerebbe il problema dell'autenticità del mittente e del contenuto, in quanto queste qualità sarebbero assicurate dalla VPN stessa.
I problemi legati alla sincronicità delle operazioni resterebbero sostanzialmente uguali a quelli già descritti negli altri scenari, con l'esclusione di un eventuale attacco DDOS (rischio trascurabile in una VPN).
---
Riteniamo di aver esposto, a titolo di esercizio teorico, alcune fra le più importanti problematiche di sicurezza IT legate al progetto "plico telematico" per le tracce delle prove degli Esami di Maturità. Nulla di quanto esposto può essere considerato "reale", essendo frutto della semplice riflessione di un "tecnico" assolutamente ignaro delle architetture e delle scelte progettuali in questione.
Restiamo come al solito disponibili per eventuali commenti a quanto esposto.
---
Riferimenti alla notizia:
http://www.asca.it/news-Maturita___Miur__al_via_progetto__Plico_telematico_-1137711-ATT.html
http://www.google.it/search?q=plico+telematico
http://www.tomshw.it/cont/news/maturita-2012-plico-telematico-crittato-per-le-tracce/36574/1.html
