2008/7/2 Giuliano Natali <diaolin@xxxxxxxxxxx>: > > Con amorevole cura Roberto Resoli ha scritto: >> 2008/7/2 Roberto Resoli <roberto.resoli@xxxxxxxxx>: >>> Per chi fosse interessato, si è innescata una discussione tra Franco >>> Ruggieri e Francesco Buccafurri, >>> sempre nei commenti alla notizia su pubblicaamministrazione (dot) net: >>> >>> http://www.pubblicaamministrazione.net/infrastrutture-it/news/1001/firma-digitale-trovato-sistema-di-falsificazione.html >> >> Ed è appena uscita anche la replica di Buccafurri su Interlex: >> http://www.interlex.it/docdigit/buccafurri.htm >> >>> inoltre c'è una replica ufficiale del presidente del CNIPA a Panorama: >>> http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANORAMA_firma%20digitale_25giu08.pdf >>> >>> ciao, > > Gradirei considerazioni sulla cosa visto che siete direttamente > coinvolti in questo progetto. > > A vostro dire chi ha ragione? Mah, mio parere spassionato: il problema c'è; anche se il documento bifronte non ha validità legale, sostanzialmente perchè non è un Documento Informatico, anche se la firma è valida tecnicamente. Il problema è che non è possibile capire quale fosse la reale intenzione del firmatario, perchè non si sa cosa abbia visto al momento della firma, poichè non ha dato alcuna consenso su quale sia il Content-Type legittimo. Su questa cosa anche le raccomandazioni del CEN sono molto chiare: da CWA 14170, capitolo 7.6, Tabella 6 (Acronimi: SD -> Signer's Document DTBS -> Data To Be Signed ) "3. Inappropriate presentation of the SD. === Title of Threat === That a verifier perceives a SSD (nota di roberto: è un typo, secondo me intendevano SD) in a different form to that perceived by the signer because the verifier interprets the SD using a different Data Content Type to that used by the signer. === Threat === This can happen in the context of any application or security policy that allows more than one SD Data Content Type. === Security Requirement === The DTBS shall contain the Data Content Type of the SD if this is not indicated by other means. " Credo che un'aggiornamento della normativa, sulla scorta di quanto fatto in altri paesi, sia opportuna. ciao, rob > E perchè? > > Diaolin > > -- > el cimega pan pian come 'n susùr > pò 'n tendro azur del ciel lo manda a cucio > e quel brusor che mi me sento dent > me slimega rosada sule galte > > Giuliano > > > > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO > "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx > > > -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx