Étude de cas: Italie
L'Italie fournit une liste d'autorité de certification racine bien connue. La liste est établie principalement par des banques ou des associations professionnelles officielles.
La liste officielle est maintenue à cette adresse (aucune version anglaise trouvée), les exigences officielles en anglais sont répertoriées ici.
Ce que l'OP demande légitimement, c'est si le gouvernement lui-même, ou une agence de confiance, peut publier des certificats X.509 pour tout le monde pour un usage public, par exemple signez votre propre e-mail.
Parlant de l ' Italie et principalement d'autres pays de l'UE, il s'agit principalement d'un choix coût / bénéfice. Les gouvernements centraux n'ont normalement pas de gros budgets.
La délivrance d'un passeport est quelque chose de différent de maintenir des certificats numériques. Un passeport est quelque chose que les gouvernements délivrent à la majorité de leur population pour permettre les voyages internationaux, compte tenu des flux de passagers modernes, les certificats de signature d'e-mails sont utilisés par une niche certainement petite du marché.
Les entreprises commerciales comme celles énumérées ci-dessus exigent de l'argent des personnes qui demandent une identification numérique afin de soutenir leur infrastructure complexe et critique. Ils vérifieront votre pièce d'identité gouvernementale pour lier une identité numérique spécifique (clé publique) à une identité émise par le gouvernement, qui en termes simples est vous, mais nous conduit ensuite dans le domaine de la philosophie: "Qui sommes-nous? Quelle est la relation entre un individu et son identité? Est-il illégal d'utiliser un nom légal? "
En Italie , encore une fois, quelque chose de plus spécifique pour une sorte de identification numérique unifiée a été faite et s'appelle SPID (pron. speed, acronyme Sistema Pubblico per l'Identità Digitale , Public System pour l'identité numérique ) et est implémentée à l'aide de certificats X.509 et d'échange de jetons SAML. Ces certificats ne peuvent être utilisés que pour s'authentifier. Malheureusement, tout le projet coûteux aura une vie difficile.
Identifications numériques italiennes brisées (ère pré-SPID)
Jusqu'à présent, tous les services gouvernementaux ont essayé de mettre en œuvre leur propre système d'identification numérique pour permettre aux gens d'utiliser de nombreux services en ligne, mais l'absence d'une norme d'identification numérique unique imposée par le gouvernement a entraîné une fragmentation du marché.
Les 20 régions ont mis en œuvre la "CRS" (Carta Regionale Servizi, Regional Health Card), qui est essentiellement votre carte Santé améliorée avec un jeton de carte à puce, dont Wikipédia ne montre aucune photo (mais vraiment , pensez à une puce sur la même étiquette en plastique que vous trouvez maintenant). Il contient un certificat de client SSL valide uniquement (halètement!) Dans votre région, donc si vous déménagez, vous devez remplacer votre carte bien que votre code fiscal ne change pas de toute votre vie.
Une autre implémentation d'identifiants officiellement reconnus était la signature numérique. Oui, c'est vrai! Certificats de non-répudiation alimentés par X.509 stockés dans ... euh ... c'est le point! Ces signatures ont été initialement développées pour donner une valeur juridique aux documents PDF / TXT, tels que les actes notariaux ou gouvernementaux, mais aussi les contrats privés. Ils devaient être déployés sur des cartes à puce ou des jetons USB / SIM, mais leur difficulté d'utilisation (besoin d'un poste de travail avec lecteur, pilotes et logiciels, avec la communauté OSS en colère) a obligé les pouvoirs en place à approuver les HSM. En bref, ils ne sont utilisés que dans des environnements réglementés spécifiques où la signature manuelle est désormais interdite ou non pratique.
Et puis les e-mails certifiés. Troisième catastrophe dans le pays examiné. Ce que l'OP a demandé, c'est un certificat numérique pour ses e-mails, n'est-ce pas? Riiiiiiiight? Les Italiens sont intelligents, si intelligents qu'ils ont réinventé leur propre SMTP avec PEC (Posta Elettronica Certificata, Electronic Certified Mail). Leçon rapide sur PEC:
- L'espace d'adresse PEC est séparé des espaces de messagerie Internet (RFC822). Ils sont conformes à la RFC mais essentiellement une adresse PEC, dans sa forme originale, n'acceptait pas le courrier de l'hôte Internet et ne pouvait envoyer que vers les espaces d'adresses PEC. Cela a changé, car maintenant l'exception est qu'un message PEC-to-email n'est pas entièrement certifié
- Les FAI fournissent une preuve de livraison que
peut doit être accepté dans les actes officiels et les tribunaux - Les FAI fournissent également la liaison des adresses aux identités avec un registre public
- Les clés privées sont détenues par les FAI . Vous ne signez pas votre message, ils le font avec votre signature. Effrayant !!!!
Par exemple, si vous voulez demander officiellement à M. le Président Gentiloni, envoyez un message à presidenza@pec.governo.it, ils peuvent 't nier avoir reçu.
Maintenant à SPID. Sous le gouvernement du président Renzi, l'Italie a finalement tenté de définir un «système d'identification qui les gouverne tous». SPID était destiné à permettre aux citoyens d'accéder à tous les systèmes publics en ligne avec un seul identifiant. SPID est actuellement une authentification nom d'utilisateur / mot de passe / OTP émise par 4 sociétés uniquement. Les agences gouvernementales sont mandatées pour soutenir SPID pour les services à caractère public. Dans un proche avenir, nous prévoyons que SPID sera utilisé pour la scolarité, car vous vous inscrivez déjà à l'école de vos enfants hors ligne ou en ligne avec ou sans SPID.
Tous les systèmes d'identification numérique souffrent d'une chose: les gens ne pas besoin d'eux dans leur vie quotidienne et c'est la raison pour laquelle ils ne s'inscrivent pas pour eux même lorsqu'ils sont gratuits. L'alphabétisation numérique dans ce pays est assez faible par rapport à d'autres pays, et tous les services / bureaux sauf un, sans évidemment aucune localisation en anglais sont disponibles sans identification numérique SPID.
Confiance internationale
Des tentatives sont en cours dans l'UE pour rendre les signatures numériques et les identifiants numériques interopérables dans tous les pays. Cependant, jusqu'à ce qu'une liste unique d'autorités de certification de confiance soit établie dans toute l'Europe, les certificats émis dans un certain pays ne sont pas nécessairement approuvés dans un autre.
Ce problème est atténué par la directive eIDAS. Les identifiants numériques prendront beaucoup de temps pour être utilisables dans tous les pays de l'UE, mais l'objectif est de créer un «marché de confiance» unique le long du «marché [des devises] unique» actuel.
Hors ligne vs en ligne confiance
Les identifications numériques ont peu à voir avec les certificats de confiance Microsoft et Mozilla. Si vous voyez une certaine autorité de certification dans la liste de confiance de votre navigateur, cela ne signifie pas que l'autorité de certification a le pouvoir d'émettre un certificat valide pour la signature des documents de l'Agence des revenus. Non, cela signifie que l'autorité de certification peut émettre un certificat indiquant que la machine peut "officiellement" répondre aux demandes adressées à " https://www.example.org".
Le La force et en même temps la complexité du système PKI lui-même est l’absence d’une liste de confiance unique et centrale. Un tel manque est le seul moyen de démocratie sur Internet, mais nous y revoilà: un CA doit être inscrit dans toutes les listes pour devenir «opérationnel».
À titre d'exemple, je voudrais demander aux utilisateurs de Amérique, Asie de l'Est et Océanie si leurs ordinateurs font confiance au certificat suivant:
- Série: 35 d9 75 94 d1 b6 75 4d b6 36 42 cb b5 ea cf cf
- DN du sujet: SERIALNUMBER = 97103420580, SN = Sicurezza, G = Ufficio, O =, DigitPA, C = IT
- Émis par DN: CN = Ufficio Sicurezza, O = DigitPA, C = IT
- Valable jusqu'au: 17/05/2020
Astuce: mon Windows 10 dit "non"
Mais ce certificat est un certificat officiel lié au gouvernement.
/ p> Conclusion
J'ai donné un exemple dans lequel un gouvernement central ou une banque de confiance du gouvernement émet des certificats X.509 à des personnes. Il n'y a pour moi aucune bonne raison pour qu'un gouvernement ne soit pas un CA.
Le PO ne doit pas confondre la validité juridique d'un identifiant "papier" avec la valeur ajoutée commerciale d'un "identifiant numérique" interopérable, qui est effectivement un produit commercial intéressant.
Divulgation: mon La société travaille activement dans un environnement fiscal, où nos clients (opérateurs financiers) sont mandatés par la loi pour obtenir et utiliser correctement les signatures numériques. Je travaille quotidiennement avec des identifiants numériques et je prétends donc être un "expert" en la matière.