Strumento digitale di verifica dell’iscrizione

Materia: Organizzazione interna e strumenti

Contenuti

14. Organizzazione e strumenti dell’Associazione Movimento 5 Stelle

14. Organizzazione e strumenti dell’Associazione Movimento 5 Stelle

All’Art. 1 dello Statuto è aggiunta la seguente lettera: g) L’Associazione assicura ai propri Iscritti una soluzione digitale atta a dimostrare e a verificare la validità di un’iscrizione in modo semplice e accessibile, anche offline, permettendo la scelta della granularità delle informazioni personali condivise nel processo di verifica.

Commento
Si propone l’implementazione di un certificato digitale atto a garantire l’avvenuta iscrizione al MoVimento 5 Stelle. Il certificato può essere costruito nella forma di una tessera digitale. Vi sono situazioni in cui si ritiene necessario garantire che le persone coinvolte siano iscritti abilitati del MoVimento 5 Stelle: riunioni convocate da un coordinatore territoriale che coinvolgono un ambito più esteso rispetto al singolo Gruppo territoriale; gestione degli accessi a chat o server di attivisti, locali o nazionali; verifica dei volontari con ruolo di rappresentanti di lista. Attraverso strumenti crittografici è possibile generare documenti firmati che riportino i dati di riconoscimento dell’iscritto, verificabili da chiunque e senza la necessità di effettuare l’accesso alla piattaforma web del MoVimento. Per semplificare il processo di verifica, il documento può esporre un codice QR che racchiude le informazioni firmate, da inquadrare tramite un’applicazione o pagina web dedicata. La tessera può essere generata sia come immagine , sia in un formato accettato dai wallet digitali presenti sugli smartphone (.pkpass, .json).
Dettaglio tecnico. Come primo requisito, viene generata una coppia di chiavi con algoritmi di crittografia asimmetrica (RSA o ECDSA) da rendere fruibili all’implementazione della piattaforma web. Le informazioni dell’iscritto sono codificate in formato JWT, firmato dalla piattaforma attraverso la chiave privata generata in precedenza. Questo passaggio può avvenire on demand sul portale, ad esempio tramite un bottone di download nella pagina personale del profilo dell’iscritto e accessibile solo se eseguito il login. Il payload del JWT così generato può essere rappresentato attraverso un codice QR. Una pagina della piattaforma implementa la verifica dei dati dell’iscritto tramite l’accesso alla chiave pubblica di cui sopra e alla telecamera del dispositivo, convertendo lato client il codice QR inquadrato in JWT, di cui verificare la firma, e mostrando a schermo i dati dell’iscritto verificato. Non è mai necessario che durante la verifica si acceda ai dati dell’iscritto presenti sulla piattaforma, leggendo solo quelli già inseriti nel JWT. L’unico accesso riguarda l’ottenimento della chiave pubblica, che può essere mantenuta offline in cache. La dinamica sopra esposta è stata già implementata da Microsoft attraverso una proposta di standard denominata ClaimQR. L’implementazione sulla piattaforma web del MoVimento può riutilizzarne codice e procedure essendo la licenza di tipo MIT. Nello specifico, la soluzione integrata nella piattaforma può prevedere: l’uso di crittografia a curva ellittica (ECDSA) per la minore quantità di bit richiesti nel garantire un determinato livello di sicurezza delle chiavi; metadati specifici al caso d’uso in questione (data di iscrizione alla piattaforma, eventuale Gruppo territoriale di appartenenza e relativa data di adesione, ecc.); la possibilità per l’iscritto di inserire o meno determinati dati nella tessera e nel relativo JWT; una data di scadenza della tessera digitale, funzionalità contemplata dal formato JWT, passata la quale è necessario generarne un’altra; la rotazione periodica delle chiavi crittografiche (le chiavi pubbliche sono conservate per un periodo di tempo sufficiente a garantire la validazione di tessere emesse prima della rotazione); la revoca delle tessere, tramite la rimozione delle chiavi (questo caso è applicabile soprattutto quando potrebbe essersi verificato il furto di una chiave privata, che permette la generazione di tessere verificate a chi ne entri in possesso).

Commento

Si propone l’implementazione di un certificato digitale atto a garantire l’avvenuta iscrizione al MoVimento 5 Stelle. Il certificato può essere costruito nella forma di una tessera digitale. Vi sono situazioni in cui si ritiene necessario garantire che le persone coinvolte siano iscritti abilitati del MoVimento 5 Stelle: riunioni convocate da un coordinatore territoriale che coinvolgono un ambito più esteso rispetto al singolo Gruppo territoriale; gestione degli accessi a chat o server di attivisti, locali o nazionali; verifica dei volontari con ruolo di rappresentanti di lista. Attraverso strumenti crittografici è possibile generare documenti firmati che riportino i dati di riconoscimento dell’iscritto, verificabili da chiunque e senza la necessità di effettuare l’accesso alla piattaforma web del MoVimento. Per semplificare il processo di verifica, il documento può esporre un codice QR che racchiude le informazioni firmate, da inquadrare tramite un’applicazione o pagina web dedicata. La tessera può essere generata sia come immagine , sia in un formato accettato dai wallet digitali presenti sugli smartphone (.pkpass, .json).

Dettaglio tecnico. Come primo requisito, viene generata una coppia di chiavi con algoritmi di crittografia asimmetrica (RSA o ECDSA) da rendere fruibili all’implementazione della piattaforma web. Le informazioni dell’iscritto sono codificate in formato JWT, firmato dalla piattaforma attraverso la chiave privata generata in precedenza. Questo passaggio può avvenire on demand sul portale, ad esempio tramite un bottone di download nella pagina personale del profilo dell’iscritto e accessibile solo se eseguito il login. Il payload del JWT così generato può essere rappresentato attraverso un codice QR. Una pagina della piattaforma implementa la verifica dei dati dell’iscritto tramite l’accesso alla chiave pubblica di cui sopra e alla telecamera del dispositivo, convertendo lato client il codice QR inquadrato in JWT, di cui verificare la firma, e mostrando a schermo i dati dell’iscritto verificato. Non è mai necessario che durante la verifica si acceda ai dati dell’iscritto presenti sulla piattaforma, leggendo solo quelli già inseriti nel JWT. L’unico accesso riguarda l’ottenimento della chiave pubblica, che può essere mantenuta offline in cache. La dinamica sopra esposta è stata già implementata da Microsoft attraverso una proposta di standard denominata ClaimQR. L’implementazione sulla piattaforma web del MoVimento può riutilizzarne codice e procedure essendo la licenza di tipo MIT. Nello specifico, la soluzione integrata nella piattaforma può prevedere: l’uso di crittografia a curva ellittica (ECDSA) per la minore quantità di bit richiesti nel garantire un determinato livello di sicurezza delle chiavi; metadati specifici al caso d’uso in questione (data di iscrizione alla piattaforma, eventuale Gruppo territoriale di appartenenza e relativa data di adesione, ecc.); la possibilità per l’iscritto di inserire o meno determinati dati nella tessera e nel relativo JWT; una data di scadenza della tessera digitale, funzionalità contemplata dal formato JWT, passata la quale è necessario generarne un’altra; la rotazione periodica delle chiavi crittografiche (le chiavi pubbliche sono conservate per un periodo di tempo sufficiente a garantire la validazione di tessere emesse prima della rotazione); la revoca delle tessere, tramite la rimozione delle chiavi (questo caso è applicabile soprattutto quando potrebbe essersi verificato il furto di una chiave privata, che permette la generazione di tessere verificate a chi ne entri in possesso).