[AcLab] Ancora Open ID

[Ezu]

2009/9/10 Nuccio Cantelmi <n.cantelmi a bluehat.it>:
> Leggo da Punto Informatico
> (http://punto-informatico.it/2705157/PI/News/digitalizzazione-pa-passa-open-id.aspx)
> che la PA statunitense vorrebbe affidarsi ad Open ID.

Mi sembra un articolo davvero riduttivo, anche se è vero che per il
momento partecipano i colossi come Google, Paypal, ecc... questo non
vuol dire nulla. In linea teorica, e nemmeno tanto teorica, ognuno può
crearsi il proprio provider OpenId certificato o almeno c'è fino a
prova contraria.

> Conoscete già le mie perplessità su Open ID (http://openid.net/) quale
> strumento di facilitazione del tracking e del controllo.
> D'altro canto, posso ammettere che la Pubblica Amministrazione voglia
> affidarsi ad un sistema chiaro, univoco e non equivoco per identificare il
> cittadino utente dei servizi di e-government. Ma bisogna per forza affidarsi
> ad un sistema privato ed in mano agli stessi colossi che invadono la rete
> con la loro pervasività???

OpenID foundation non mi sembra sia in mano ad un colosso privato,
inoltre per stessa definizione di OpenId, non c'è una centralizzazione
del processo di autenticazione e quindi un repository centralizzato in
cui sono salvati i dati sensibili degli utenti. Essendo uno standard
aperto, ognuno può costruirsi il proprio provider OpenId. Una volta
che una persona si è autenticato nel proprio provider, tra il provider
e il sito richiedente vi è uno scambio di autorizzazioni e dati che
l'utente ha dichiarato di condividere all'atto della autenticazione.
C'è un controllo completo, mi pare.

Ovviamente perché i propri utenti OpenId possano accedere ai dati
governativi, non segretati - perché dal paper[1] si evince che questa
iniziativa è rivolta specificatamente all'Open Government - il proprio
provider dev'essere certificato perché le trasmissioni tra il provider
e il sito 'consumatore' devono rispondere a standard di sicurezza e
bisogna sapere chi sia l'ente certificatore.

> E la firma digitale, che fine ha fatto? Meglio Open ID di una smart card?
> Ed anche nel caso di smart card, come evitare di cadere nel tranello del
> divieto di navigazione anonima suggerito da molti (in Italia abbiamo la
> proposta dell'On.le Carlucci che da varietà e ballerina è stata promossa ad
> esperta di politiche della rete....)?
>
> Gnuccio
>

Essendo OpenId (e Information Cards) un protocollo di autenticazione
decentrato, non un sistema di identificazione, è lasciato a ciascun
provider l'onere di definire gli standard di autenticazione. Per
esempio il mio sito acme.com è un provider OpenId, ma il login va
fatto con un sistema misto di credenziale-una password e un security
token che cambia ogni minuto - un po' come accade per le banche -. Una
volta che ho fatto il login nel mio provider posso accedere al sito di
e-Government del mio Stato (visto che stiamo parlando degli USA) e
partecipare alla discussione circa la costruzione di una nuovo
complesso universitario.

Un altro provider potrebbe fare un'autenticazione con smartcard, un
altro con un hardware di riconoscimento biometrico, un altro con il
riconoscimento facciale... insomma lo standard OpenId lascia al
singolo provider la libertà di decidere la tecnologia di
autenticazione.

Sinceramente non capisco come questo sia possibilmente paragonabile
alla imbecillità della proposta di legge della Carlucci, che ha
affrontato il problema al contrario, cioè definendo cosa fare - ogni
cittadino su internet dev'essere identificato - senza spiegare come.

Link:
[1] http://openid.net/docs/Open_Trust_Frameworks_for_Govts.pdf