Certificati digitali invalidati? - 2a puntata

Il 14 febbraio avevo postato la notizia sulla possibile non validità delle firme digitali rilasciate da quasi tutte le autorità di certificazione. Questo perché non avevano dei dispositivi di generazione delle chiavi certificati opportunamente:
- http://blog.cesaregallotti.it/2012/02/certificati-digitali-invalidati.html

Dal sito dell'Agenzia per l'Italia Digitale, ho avuto notizia del DPCM del 19 luglio 2012 con un'ulteriore deroga alle deroghe precedenti (una del 14 ottobre del 2011, che a sua volta prorogava la deroga data il 10 febbraio 2010, che poi a sua volta prorogava una misura del 1999).

Un mio anonimizzato lettore ha fatto i seguenti commenti:
- ho sempre visto le deroghe come una diminuzione "almeno momentanea" della sicurezza e pertanto non mi piacciono. Poi si sa che in Italia niente è più definitivo di ciò che è momentaneo;
- il decreto, è scritto veramente male

Io aggiungo che tutto ciò mi ricorda le brutte deroghe per il DPS.

Infine, ho chiesto sempre al mio anonimizzato lettore alcuni chiarimenti sui tempi di certificazione di un prodotto rispetto ai Common Criteria (ISO/IEC 15408):
- normalmente, la valutazione di un Security targhet (cioè la fase denominata ASE) la si fa in 30/40 giorni;
- se per "adeguatezza" si intende "una veloce lettura del ST per vedere se il TOE è adeguato per essere sottoposto ad una valutazione" che è la prima azione che fa per Legge un direttore di un CEVA prima ancora di accettare il contratto per evitare di perdere tempo e soldi del contribuente che paga il certificatore, allora ci vuole una settimana lavorativa;
- per la valutazione del TOE (cioè del suo Security target, dei deliverable e del TOE stesso), per un EAL1 si va da 7/8 mesi a n-anni (con n=2 per un SO EAL4);
- il nostro schema nazionale non prevede, purtroppo, delle durate limite delle certificazioni, che invece sono previste in altri Paesi (dove, per esempio, per un EAL4 devono essere impiegati un massimo di 18 mesi).

Avvertenza: io e il mio lettore abbiamo utilizzato la terminologia inglese, anche perché le traduzioni italiane sono orrende.

Potete scaricare il nuovo DPCM del 19 luglio 2012 da
- www.digitpa.gov.it/sites/default/files/normativa/DPCM_19_luglio_2012.pdf



La pagina di DigitPA:
- http://www.digitpa.gov.it/notizie/firmato-decreto-ministro-profumo

Un commento sul sito dell'ANORC:
- http://www.anorc.it/notizia/354_Approvato_il_Decreto__Salva_-_HSM___ecco_le_novit_.html