Analisi dei possibili soggetti fiduciari per la gestione di identità in rete

Pubblico qui sul blog un elaborato fatto per il corso di Sistemi Telematici, dal titolo in oggetto.
Spero che la mia analisi possa essere utile anche per qualcun altro ;)

Introduzione

Identità Federata nelle PA

Scenario di Identità Federata nelle PA

Che cosa è l’identità?

Generalmente è Cosa sei? Cosa ti piace?.

In una visione allargata l’identità è anche la reputazione: Cosa dico su di me? Cosa dicono gli altri su di me?

Nel mondo reale l’identità può venire accertata in modo diretto o verbale solo se conosciamo (o ci fidiamo) dell’interlocutore.

Altrimenti il metodo più utilizzato è l’utilizzo di carte identificative, rilasciate da un’autorità terza (e di solito certificata e ritenuta affidabile dalle parti), contenente i principali dati e la foto.

Ma come avviene lo scambio di identità sul web ? Il problema di fondo è che Internet ed i browser non sono stati pensati per identificare univocamente gli utenti.

Quando facciamo l’accesso ad un sito immettendo username e password, in realtà non stiamo accertando che siamo fisicamente noi, ma che “qualcuno” in possesso di quelle credenziali sta lavorando o immettendo dati. E’ analogo ad una chiave di casa: chiunque in possesso della chiave giusta può entrare, anche se non autorizzato.

Una identità digitale di questo tipo è semplicemente quello che il sito web conosce su di te.

Ciascuno di noi può avere più identità, dipendenti dal contesto. Così come nella vita reale possiamo avere un passaporto, una patente di guida, una tessera universitaria, una carta di credito che, pur appartenendo alla medesima persona, abilitano differenti funzioni nei rispettivi contesti, così nel mondo digitalizzato abbiamo una fragmentazione dell’identità. Il problema è che non c’è un modo semplice, affidabile e sicuro per gestire questo complesso portafoglio di identità digitali.

Il quadro che si sta delineando è dunque la presenza di una propria identità digitale frammentata e dispersa per la rete e questo si traduce non solo in un moltiplicarsi di password, account e profili ma anche di un importante rischio per la propria privacy, dato che è spesso improbabile, se non impossibile, tener traccia di tutti i propri dati e aver la possibilità di gestirli, aggiornarli, modificarli o semplicemente cancellarli.

Dato che saranno sempre necessari tanti e diversi tipi di identità, l’idea di una identità unica, centralizzata e gestita da un solo sistema è sicuramente da scartare.

Il problema dell’identità non si limita a quella dei servizi Internet. Con la crescente diffusione dell’e-Government, la necessità di soluzioni sicure ed affidabili per la gestione delle identità dei cittadini si è fatta molto più stringente. Anche nell’ambiente della Pubblica Amministrazione ci troviamo di fronte ad una identità (del cittadino) frammentata e dispersa in molteplici banche dati. La soluzione ideale è un framework che sia trasparente all’utente finale, ma che abiliti nel back-office tutta una serie di procedure finalizzate a collegare in modo sicuro i vari frammenti dell’identità del cittadino.

In questo elaborato saranno analizzati i possibili soggetti fiduciari per la gestione di identità, sia per i privati che per le pubbliche amministrazioni, focalizzando l’attenzione soprattutto sulla gestione di identità federata.

Concluderò con un confronto tra le varie soluzioni analizzate.

Indice

1) Pubbliche Amministrazioni

  • Modello di riferimento: SPCoop
  • Sicurezza e Privacy
  • Interoperabilità
  • Situazione Italiana
2) Soluzioni per la  gestione di identità
  • SAML
  • Liberty Alliance
  • WS-Federation
  • OpenID
  • Shibboleth
  • Microsoft Passport
  • Facebook Connect
  • Google
  • Altri
3) Analisi e Conclusioni

DOWNLOAD: Analisi dei possibili soggetti fiduciari per la gestione di identità in rete (1,3 MB – PDF)

A proposito Alessandro

Ingegnere delle Telecomunicazioni con propensione al web2.0 ed il pallino della tecnologia; toscano & casentinese, vivo a Firenze