L’identità in Rete e nel mondo reale

identity

Visto che il mio precedente articolo sul Decreto Pisanu ha riscosso un certo interesse, ne approfitto per chiarire alcuni punti (tecnici e filosofici) che riguardano il concetto di identità personale nel mondo fisico ed in quello virtuale (Internet).

Se nel caso specifico del Decreto Pisanu NON ha senso tentare di identificare e tracciare tutti gli utenti, indiscriminatamente, esistono però molti casi in cui è necessario conoscere l’identità reale degli utenti. Come si fa in questo casi?

Nel seguito trovate una prima introduzione ai concetti base di questo tema. Appena ho un po’ di tempo, cerco di raccontarvi quali sono, nella pratica, gli strumenti e le tecniche che si usano in questi casi.

Autenticazione ed Autorizzazione

In realtà, ciò che interessa davvero ad un qualunque “gestore” di un qualunque servizio, sia esso di tipo digitale o meno, è poter effettuare queste due operazioni a carico dell’utente:

  1. Autenticarlo, cioè stabilire se la sua identità è autentica (insomma: se è davvero chi dice di essere).
  2. Autorizzarlo a compiere questa o quella operazione.

Queste due operazioni sono svolte normalmente da sottosistemi diversi ed in modi diversi all’interno di uno stesso sistema. Ad esempio, su Linux l’autenticazione è demandata ad un apposito sistema (PAM: Pluggable Authentication Module) che agisce a livello del sistema operativo mentre l’autorizzazione viene gestita dai singoli programmi. Anche nella vita fisica, di solito, si ragiona in questo modo. L’impiegato si autentica al suo ingresso in azienda (col badge) ma poi deve ottenere una autorizzazione specifica per le operazioni critiche (l’accesso al sistema informativo aziendale o cose simili).

In ogni caso, l’identità dell’utente interessa solo ai fini dell’autenticazione. Anzi: DEVE interessare il gestore SOLO a questo fine. Non gli deve interessare assolutamente niente del resto della vita di quell’utente.

La sicurezza del sistema, infatti, dipende solo dal comportamento dell’utente su quello specifico sistema. La sicurezza dell’intero ecosistema (Internet, il mondo fisico, etc.) dipende dalla sicurezza dei singoli sistemi (i server, le aziende, etc.).

Autorizzare la persone od autorizzare l’operazione?

In realtà, al giorno d’oggi si tende ad autenticare una persona ad suo ingresso presso la “stazione” che eroga un servizio (ad esempio un sito web) e poi si autorizza ogni singola operazione separatamente, usando uno strumento apposito.

Questo è ciò che avviene abitualmente con l’home banking: si usano il proprio username e la propria password per accedere al servizio ma poi è necessario usare una seconda password (solitamente generata da un apposito gadget) per autorizzare i bonifici e le altre operazioni.

Questo perché è sempre possibile effettuare un attacco MITM (man-in-the-middle) contro qualunque sistema che autorizzi un utente mentre un attacco di questo tipo è del tutto inefficace se si autorizza la specifica operazione.

Identità Digitale ed Identità Anagrafica

IA questo punto, è necessario stabilire di quale “identità” stiamo parlando.

L’identità digitale di una persona (il “nome” per cui la conosciamo sulla Rete) è sostanzialmente una questione di associazione e di persistenza: noi associamo un certo nome (il nome vero od un nickname) ad una certa persona e ci aspettiamo che quel nome corrisponda sempre a quella stessa persona. Che il nome sia “Alessandro Bottoni” o sia “Fragolina79” non interessa a nessuno. Ci basta che Fragolina79 sia sempre la stessa e che risponda ai nostri messaggi. In particolare, ci interessa che la Fragolina79 a cui inviamo un messaggio di servizio sia la stessa che ha sottoscritto l’abbonamento al servizio stesso.

Quando entrano in gioco i soldi e le responsabilità civili e penali il discorso cambia radicalmente. A questo punto, ci è necessario sapere qual’è la persona fisica che si nasconde dietro il nickname Fragolina79. Abbiamo bisogno di sapere dove spedirgli la fattura (indirizzo fisico) e su quale conto corrente addebitarla. In alcuni casi, abbiamo bisogno di sapere se è maggiorenne. In tutti questi casi, non si tratta più di una associazione nickname/account che riguarda solo il nostro servizio online e che quindi possiamo gestire in modo autonomo. Si tratta di una associazione identità_anagrafica/identità_di_rete che deve essere gestito da un ente terzo (di solito un apposito ente di certificazione).

È importante chiarire questa differenza perché restando sulla Rete, e SOLO sulla Rete, si può gestire SOLO l’identità di rete. Non è possibile verificare l’identità anagrafica senza l’intervento di un ente di certificazione che abbia anche delle persone fisiche che operano nel mondo fisico (insomma: dei dipendenti e degli sportelli).

Qualcosa che sai, qualcosa che hai, qualcosa che sei

L’identità può essere stabilità in modo sicuro usando uno, due o tre di questi parametri:

  1. Qualcosa che l’utente sa (una password)
  2. Qualcosa che l’utente possiede (un “token di autenticazione”)
  3. Qualcosa che l’utente è (le impronte digitali, quelle dell’iride, etc.)

A seconda che si utilizzino uno, due o tre parametri, l’autenticazione si chiama ad uno, a due od a tre fattori.

Attualmente, tutti i servizi di rete che NON coinvolgono l’uso del denaro utilizzano un sistema di autenticazione ad un solo fattore (solo la password, associata ad un nickname od all’indirizzo di posta elettronico). Questa tecnica, di fatto, permette solo di stabilire l’identità di rete, non quella anagrafica.

I servizi che coinvolgono l’uso di denaro (home banking, trading, e-commerce, etc.) o che implicano responsabilità civili o penali, utilizzano sistemi a due fattori (password più token di autenticazione hardware). Questa tecnica permette di determinare l’identità di rete e, se usata insieme ad un ente certificatore che rilascia i token, anche l’identità anagrafica.

Solo alcuni, rarissimi servizi fanno uso di tecniche biometriche (impronte digitali, impronte dell’iride, riconoscimento dei volti, etc.), usate da sole o insieme ad altri fattori di autenticazione. La biometria, per definizione, permette di determinare l’identità anagrafica.

Quest’ultima frase merita un approfondimento: per la legge, noi siamo il nostro corpo. La nostra identità anagrafica corrisponde al corpo che ospita la nostra coscienza. Più esattamente, corrisponde ai parametri biometrici che permettono di identificarlo in modo univoco, come le impronte digitali e l’aspetto del volto. Se, per ipotesi, la vostra mente venisse trapiantata nel corpo di Silvio Berlusconi, voi diventereste Silvio Berlusconi per la legge. A tutti gli effetti e senza possibilità di contestazione (paura, eh? ;-).

Questo avviene perché non esiste un modo sicuro per determinare l’identità della mente di una persona. Per definizione, noi possiamo entrare in contatto con la mente di una persona solo attraverso la parola e attraverso i suoi comportamenti. Nulla di ciò che possiamo osservare è irreplicabile e quindi nulla di ciò che possiamo osservare rappresenta una prova certa della sua identità.

Certificati e Certificatori

Un ente certificatore è un ente che effettua queste operazioni:

  1. Determina la vostra identità sulla base di un certo insieme di criteri (ad esempio, gli aspetti biometrici del vostro corpo).
  2. Sulla base di questa “misurazione” vi rilascia un certificato che attesta la vostra identità.
  3. Se qualcuno presenta un certificato di identificazione al suo sportello, è in grado di dire se appartiene davvero a voi o meno.

L’ente di certificazione più noto, più diffuso e più facile da capire è l’ufficio anagrafe. Al momento della vostra nascita l’ufficio anagrafe vi “misura” (cioè di solito non fa un c…o), vi “prende in carico” e vi rilascia un documento che attesta la vostra identità (il codice fiscale e poi, più avanti, la carta d’identità). Da quel momento in poi, a tutti gli effetti legali, voi siete il vostro codice fiscale o, più avanti, siete la vostra carta d’identità. Con il codice fiscale potete chiedere la vostra situazione INPS (cioè, di solito, 516 €/mese, se sopravvivete fino a 67 anni) e con la carta d’identità potete espatriare (e chiedere l’elemosina in Germania, per integrare la pensione).

Per definizione, l’ufficio anagrafe stabilisce la vostra identità anagrafica. Più esattamente, l’ufficio anagrafe è la fonte prima e più autorevole di informazioni sulla vostra identità. La sua autorità non può essere messa in discussione da nessuno (se non ricorrendo ad un’apposita procedura legale, piuttosto lunga e complessa).

Esistono però enti di certificazione di tipo molto diverso. Per esempio, le Camere di Commercio, le Poste e vari altri enti di certificazione digitale vi possono rilasciare un apposito “certificato digitale” che potete usare per firmare i documenti digitali, tra cui la posta elettronica. Questo certificato digitale associa in modo sicuro ed univoco la vostra identità anagrafica (accertata in base alla carta d’identità) con la vostra identità di rete.

Esistono anche enti di certificazione che si limitano ad assegnarvi un certificato digitale in modo che possiate dimostrare che siete sempre la stessa persona, senza per questo rivelare la vostra identità anagrafica. Questo è ciò che fa, ad esempio, http://www.cacert.org/ . In questo caso, il certificato digitale garantisce solo la vostra identità di rete, non quella anagrafica.

Di solito, è un ente di dimensioni molto grandi (le Camere di Commercio, le Poste o qualcosa di simile) ad agire da ente di certificazione della vostra identità anagrafica ai fini digitali. Esistono però dei progetti che tendono ad usare una rete di persone che si conoscono in modo diretto e personale tra di loro per certificare l’identità di ognuna di esse. Questo è ciò che fa, ad esempio, http://www.vouchor.com/ .

Un modo molto diffuso per associare l’identità di rete a quella anagrafica consiste nell’associare l’identità di rete (l’account) di un utente al suo numero di telefono cellulare. Dato che in molti paesi è necessario identificarsi (con la carta d’identità) per acquistare una SIM, in questi paesi conoscere il numero di telefono cellulare di una persona, e comunicare con esso, equivale entro certi limiti a conoscerne l’identità anagrafica.

Conclusioni

Questo è praticamente tutto quanto è necessario sapere sul concetto di identità (in rete e fuori). Se avete domande, usate il sistema dei commenti qui sotto.

Alessandro Bottoni

Questa splendida immagine di copertina è opera di KatB Photography e proviene da Flickr: flickr.com/photos/56695083@N00/4464828517/ . Ovviamente, è protetta da licenza CC.

Comments
One Response to “L’identità in Rete e nel mondo reale”
Trackbacks
Check out what others are saying...
  1. […] Archiviato in Internet, Networking, Tecnologia, frontpage, sicurezza · Etichettato con authentication, Internet, login, logon, sso, token ← L’identità in Rete e nel mondo reale […]



Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: