Una CA alternativa: StartSSL

-

Posto qui un'interessante intervista di LinuxSexurity.it a Eddy Nigg, fondatore di StartSSL, Certification Authority "alternativa". Buona lettura :-)

((( LinuxSecurity.it )))

Linux Security ha avuto modo di scambiare qualche domanda con Eddy Nigg, fondatore di StartSSL, una CA “alternativa”, in tutti i sensi. Il modello di business adottato è abbastanza diverso da quello di altre CA più conosciute, con una politica di prezzi assolutamente controtendenza: una volta effettuata la verifica dell’identità è possibile richiedere quanti certificati si desidera, il pagamento è richiesto solo per quelle attività che richiedono un intervento umano (tipicamente solo quelle di identificazione o il rilascio di certificati EV).

startsslhome

Linux Security: Ciao Eddy, prima di tutto grazie per averci dedicato un po’ del tuo tempo.

Eddy Nigg: Grazie a te per avermi contattato, è un piacere poter spiegare cosa è StartSSL e cosa StartCOM significhi.

LS: Allora, prima di tutto: sul vostro sito fate un’affermazione abbastanza forte, essenzialmente contro le “grandi” CA, che vendono certificati a prezzi estremamente elevati, laddove StartSSL invece richiede il pagamento solo per le attività per le quali è richiesto l’intervento umano. Ci puoi dire qualcosa in più?

EN: Esattamente! Ma lasciami spiegare meglio perchè non è tutto così semplice. Prima di tutto non siamo contro nessuna certification authority piccola o grande che sia – probabilmente vediamo le cose in modo diverso e abbiamo obiettivi diversi. Attualmente pensiamo che chi ha inventato uno strumento eccellente per mettere al sicuro le nostre comunicazioni in rete abbia fatto un grande lavoro, ma hanno fallito nel renderlo ampiamente disponibile per la grande utenza, pricipalmente per decisioni legate a modello di business e decisioni ad esso legate.

La nostra privacy e la nostra sicurezza in rete sono continuamente messe alla prova da un numero in costante crescita di attacchi di phishing, tentativi di frode, violazione della privacy tramite man in the middle e via discutendo. Dunque è sempre più rilevante proteggerci tenendone conto. Comunicazioni punto-punto cifrate ed una corretta identificazione sono cose che possono contribuire a proteggerci quando siamo online, ma ci consentono anche di costruire relazioni e qualsiasi tipo di scambio indipendentemente dalle enormi distanze.

Nel passato i certificati digitali per la protezione e l’identificazione dei siti web, o la firma della posta elettronica, documenti e programmi erano percepiti come eccessivamente dispendiosi, per poter essere utilizzati dalla gran parte della comunità di Internet. La percezione è probabilmente giustificata dal fatto che un certificato può avere un costo dai 50$ ai 1500$, a seconda del livello di validazione e verifica richiesto. L’industria dei certificati semplicemente non si è allineata alla crescente popolarità di Internet ed ha lasciato molti utenti, molti siti web, server di posta e altri servizi online sprotetti e vulnerabili, a causa della incapacità di adeguarsi alle tendenze.

Il fallimento nel rendere i certificati digitali estremamente disponibili per le masse ed il fallimento nell’educare le masse al loro impiego ha lasciato un grosso vuoto che è stato colmato sempre di più da elementi fraudolenti, intercettazioni delle comunicazioni, invasione della privacy e furti di identità.

Cambiando le priorità e applicando un modello di business completamente diverso, StartCom intende cambianre la realtà attuale rendendo i certificati digitali facilmente disponibili e quanto più facili da usare possibile. Inoltre collaboriamo e ci impegnamo con i produttori di software per aumentare l’usabilità dei certificati e promuovere verso l’utente casuale la consapevolezza a tal fine.

Ovviamente il servizio di StartCom deve essere sostenuto per poter essere efficace e rilevante per i nostri obiettivi. Il modello di business che startcom ha inventato in realtà è innovativo in questa industria e come hai detto prima nella domanda, la nostra politica dei prezzi è guidata dal principio di far pagare una cifra ragionevole (39$ N.d.A.) per quei servizi che richiedano un intervento umano. In questo modo possiamo mantenere i certificati di base (quelli per cui viene verificato il solo indirizzo di posta elettronica, N.d.A.) completamente gratuiti poichè sono generati quasi totalmente tramite procedure automatiche, ma ci consente anche di mantenere il costo dei nostri servizi a pagamento estremamente contenuto.

LS: Come percepisce la gente la mission di StartSSL? Credi che venga percepita la differenza con le CA “commerciali”?

EN: Sì, molto probabilmente sì. Ma capita di tanto in tanto che potenziali fruitori del nostro servizio non si sentano sicuri – in particolar modo quanti hanno già avuto in passato esperienze con i certificati digitali e che quindi hanno acquistato da altre certification authority. Si chiedono quale possa essere il trabocchetto, perchè ovviamente ce ne deve essere uno. Alcuni sono realmente sconcertati dal nostro approccio e si chiedono dove sia l’inganno, o ritengono che StartCom cambierà le proprie offerte (non appena largamente utilizzata).

StartCom offre i propri servizi, inclusi quelli gratuiti, in modo corretto, chiaro ed onesto. Il trucco è, che non c’è nessun trucco, e questa è la realtà. Pertanto, StartCom è comunque un’entità commerciale, ma con un cuore ed una visione.

LS: La mia percezione, guardando la vostra home page, confrontandola con quella di altre CA, è che sia diretta a persone più interessate alla sostanza che non alle apparenze (in inglese “whistle and bells”, N.d.A.) . Mi sbaglio? E` solo un effetto collaterale?

EN: Non sono sicuro di come rispondere. Dipende da cosa intendi per “apparenze”. Cerchiamo di fornire un valore aggiunto e di consentire a quanti più utenti possibile di mettere in sicurezza i propri siti web, le proprie email, sistemi di instant messaging e tenere i propri dati al sicuro. Il pannello di controllo di StartSSL cosente di creare letteralmente qualsiasi tipo di certificato normalmente impiegato senza eccessiva fatica. Soprattutto ai livelli di verifica più elevati, le possibili combinazioni e flessibilità dei certificati sono pressochè illimitate. Ma anche nei livelli più bassi e gratuiti, un elevato valore è messo a disposizione senza alcun limite imposto sul numero di certificati che un utente può ottenere.

Il messaggio è semplice e chiaro: elevata disponibilità e la libertà di mettere in sicurezza reti, server e dati! Credo possa valere molto di più di qualsiasi fronzolo.

LS: Dal mio (personalissimo) punto di vista, quante più persone iniziano ad utilizzare comunicazioni sicure (con certificati S/MIME) tanto meglio sarà per la sicurezza. Quale è la tua percezione?

EN: Sicuramente, anche se i certificati S/MIME riguardano solo una parte della nostra attività online. E’ ovviamente una parte molto importante, perchè S/MIME non mette al sicuro solo le nostre email, ma consente all’utente casuale di confrontarsi con i certificati ed educarlo al loro utilizzo. Quando si naviga su di un sito web, l’interazione con la consapevolezza delle informazioni ed i certificati digitali non è compresa o recepita affatto. I certificati S/MIME sono tipicamente più intrusivi, rendendo l’utente consapevole della possibilità di firmare e cifrare informazioni e dati.

LS: Parliamo di StartSSL Web Of Trust, un servizio che consente agli utenti di poter ottenere la “validazione” del proprio certificato di firma e cifratura rivolgendosi ad un “notaio” accreditato presso StartSSL. Perchè un servizio del genere? E’ solo una mossa di marketing o c’è dell’altro?

EN: Abbiamo capito che c’era la necessità di fornire un metodo di verifica alternativo a quello che una certification authority espleta, perchè la fiducia è percepita da molto in modi diversi. Alcuni diffidano delle certification authority pubbliche, tipicamente per la loro natura o per l’essere entità commerciali, ma si fidano di individui indipendenti che credono in quel che fanno. C’è un reale valore aggiunto per quei certificati con una verifica effettuata da membri della web-of-trust. Quando abbiamo avviato il WoT, stavamo già osservando schemi ed implementazioni preesistenti per imparare e comprendere quali fossero i punti deboli. Credo che anche in questo caso stiamo agendo differentemente per poter realizzare qualcosa che abbia un valore in grado di durare nel tempo. Nello StartSSL Web-of-Trust estendiamo la fiducia (”trust“) ai nostri utenti verificati che hanno una compresione di cosa una PKI sia e dell’importanza di una corretta identificazione e verifica. I certificati verificati tramite StartSSL WoT sono una combinazione di entrambi i mondi, quello delle CA commercali pubbliche e le verifiche effettuate dai compomenti del WoT.

LS: La policy per i WoT notary è abbastanza semplice, senza paroloni scritti in legalese. Anche in questo caso, una mossa commerciale? O ritieni che ciò possa rendere più facile per gli utenti avvicinarsi alla sicurezza delle comunicazioni?

EN: Credo nella semplicità – quanto più semplice una cosa viene resa, tanto maggiore sarà la disponibilità e l’adozione da parte di un gran numero di utenti. Non guadagnamo nulla se un utente deve comprendere ed accettare un elevato numero di regole. Identificazione e cifratura sono già complicate di per sè, dobbiamo fare il possibile per renderle quanto più indolore possibile.

LS: Come StartCom, avete anche creato una distribuzione GNU/Linux. Ci vuoi dire qualcosa in più?

EN: Abbiamo iniziato a realizzare la distribuzione di StartCom Linux nel 2004 ed abbiamo avuto diversi piani a tal proposito. In ogni caso la certification authority di StartCom ha avuto la nostra maggiore attenzione nel corso del tempo ed ha avuto una più elevata priprità rispetto al costruire un business basato su di un sistema operativo. Ad oggi utilizziamo StartCom Linux in modo esteso sulla nostra infrastruttura e presenta una forte strategia per quanto concerne la conoscenza della code base. Oltre a ciò abbiamo fatto un ulteriore passo decidendo di far sì che gli utenti potessero beneficiare del nostro lavoro, condividendo con loro StartCom Linux. Sappiamo bene che StartCom Linux non è un business, ma un tassello per raggiungere i nostri fini.

Ciò detto, personalmente ho un interesse personale nei confronti dei computer e specialmente in combinazione con l’audio, registrazione e produzione musicale. Questo è uno dei motivi per cui esiste anche una Multimedia Edition, oltre alla versione server di StartCom Linux. Sfortunatamente però non posso spendere troppo del mio tempo su questi strumenti e applicazioni – ma è mia intenzione cambiare questa situazione nel futuro.

LS: Perfetto, direi che è tutto. Ciao e grazie ancora per averci dedicato un pò del tuo tempo.

EN: Grazie a te per il tuo tempo!

Commenti

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere