💾 Archived View for notes.nicfab.eu › it › gemlogit › 2023 › 2023-02-20-identita-digitale_it.gmi captured on 2023-06-14 at 14:00:37. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-03-20)
-=-=-=-=-=-=-
Il tema dell'identità digitale è ampio e ha comportato nel corso degli ultimi anni un intenso dibattito con la produzione di numerosi contributi.
In Europa, a giugno del 2021 è stata pubblicata la
Questa proposta di regolamento costituisce l'evoluzione del regolamento UE 910/2014, eIDAS (electronic IDentification, Authentic and trust Services) e prevede che entro il 2024 ogni Stato membro dell'UE dovrà mettere a disposizione di ogni cittadino che lo desideri un portafoglio di identità digitale (Digital Identity Wallet).
La proposta di regolamento eIDAS 2 è ancora in corso di approvazione ed è ambizioso il traguardo del 2024.
Tuttavia, quotidianamente ci confrontiamo con gli aspetti connessi all'identità digitale, soprattutto con lo scambio di email. Vorremmo, infatti, avere certezza di chi siano davvero i nostri destinatari e allo stesso modo garantire di essere il mittente delle email inviate.
In Italia esiste la PEC (Posta Elettronica Certificata) ma con il progetto REM (Registered Electronic Mail) si propone di creare uno standard internazionale (si veda il documento
L'identità digitale per le email è possibile mediante l'utilizzo di un certificato S/MIME (Secure/Multipurpose Internet Mail Extensions) definito da numerosi documenti tecnici dello IETF (Internet Engineering Task Force), tra i quali menzioniamo la
Il certificato S/MIME viene rilasciato da una Certification Authority e solitamente - in ragione delle sue caratteristiche - è a pagamento.
Una valida soluzione gratuita è quella della Web Key Directory (WKD).
Web Key Directory fa riferimento ad un protocollo
(lo IETF ha in esame il draft dell'ultima versione che è del 14/11/2022)
mediante il quale è possibile individuare le chiavi pubbliche OpenPGP di account email che sono caricate sui server, aggirando la necessità di keyserver dedicati. La verifica viene eseguita partendo da un indirizzo email per il quale si avvia la ricerca della relativa chiave pubblica attraverso il protocollo HTTPS.
Il documento dello IETF che abbiamo appena menzionato descrive sia il problema sia la soluzione.
Solitamente OpenPGP viene utilizzato per la crittografia della posta elettronica. Potrebbe risultare complicato individuare la chiave pubblica corretta del destinatario. Si può fare riferimento ai keyserver e comunque a volte per un indirizzo email potrebbero essere state generate più chiavi.
Pertanto, viene utilizzata la Web Key Directory che si può configurare sul proprio web server oppure mediante la
Come si è detto, il citato documento dello IETF descrive la soluzione ma un documento più chiaro è disponibile nella sezione documenti di
Una guida più ampia è disponile sul wiki di
In sintesi, se il client email WKD-ready e cioè è predisposto per interrogare la WKD (intendiamo che ha questa caratteristica), dopo aver digitato l'indirizzo, avvia la ricerca e restituisce il risultato confermando o non che per quell'indirizzo esiste una chiave pubblica sul web.
Tra i provider email che utilizzano WKD, vale la pena menzionare
ProtonMail (dal novembre 2018)
e
Quali utenti ProtonMail, abbiamo eseguito dei test con i nostri account email per i quali è attivo WKD. Nella fase di scrittura del messaggio, quando si inserisce l'indirizzo email del destinatario, ProtonMail esegue una ricerca con il protocollo WKD e aggiunge un lucchetto verde che simboleggia la corretta individuazione della chiave pubblica.
In questo modo, è possibile scambiare messaggi criptati e al contempo, avere certezza della esistenza di un indirizzo email.
Abbiamo deciso di impostare la nostra WKD, per garantire maggiore sicurezza e per rendere più agevole l'identificazione delle chiavi pubbliche dei nostri indirizzi email.
Attualmente per le email dei domini nicfab.eu e fabiano.law è possibile il "discover" della chiave pubblica mediante WKD.
Con il tool
Dall'app Terminale digitale il comando seguente (sostituire l'indirizzo email come da standard):
gpg --locate-external-keys info-at-nicfab.eu
nella la risposta è contenuta la chiave pubblica.
Lo stesso risultato si ottiene digitando il seguente comando:
gpg --auto-key-locate clear,wkd --locate-external-keys info-at-nicfab.eu
Utilizzando il tool
Web Key Directory di Metacode si ottiene un URL da utilizzare con il successivo comando.
Per scaricare direttamente la chiave pubblica, invece, si possono utilizzare i seguenti comandi:
curl --tlsv1.3 -o nicfab.eu "https://openpgpkey.nicfab.eu/.well-known/openpgpkey/nicfab.eu/hu/mg6owx9w8c3ejg3tu31f4tha5n17d4rj?l=info"
oppure
wget --secure-protocol=TLSv1_3 --max-redirect=0 -O nicfab.eu "https://openpgpkey.nicfab.eu/.well-known/openpgpkey/nicfab.eu/hu/mg6owx9w8c3ejg3tu31f4tha5n17d4rj?l=info"
Se questa risorsa è stata utile, puoi contribuire con
o donare via
Stay tuned!