Il 27 giugno 2008 9.50, Gelpi Andrea <liste@xxxxxxxx> ha scritto: > Roberto Resoli wrote: ... >, aggiungendo >> alle informazioni firmate anche alcune metainformazioni (come il >> mime-type) sul contenuto. >> Credo che questa cosa sia già allo studio. > > Dal punto di vista giuridico la firma digitale fatta con file (che > contengono istruzioni in qualsiasi maniera eseguibile) non ha valore legale > ed è ripudiabile, tecnicamente viene considerato un falso. > > Come avevo segnalato nel 2002 il problema sta nelle implementazioni fatte > dai certifcatori. Sono loro che dovrebbero provvedere a maggiori controlli > su che cosa viene dato in pasto a chi firma. > Se guardiamo la cosa dal lato dell'utente, questi di informatica capisce > poco ed è anche giusto sia così, ad ognuno il suo mestiere, per cui è la > tecnologia che lo *deve* aiutare. > > Come detto e scritto da più parti le cose da fare sono note e non sono > nemmeno troppo complicate, ma comunque hanno dei costi che i certificatori > non vogliono sostenere. > Diciamo che non si può dare loro torto, finchè rimangono nei confini della normativa... Ricordo che all'estero c'è qualche esempio interessante. Specialmente in Austria, si è deciso di dare molta rilevanza al problema della sicurezza, (ma anche a quello della privacy: c'è anche questo video, per chi fosse interessato: http://alt.buergerkarte.at/videos/MADRID_PRIVACY.mpg ) E la sicurezza va affrontata come problema complessivo: inutile richiedere una elevatissima sicurezza sui dispositivi crittografici e poi non prevederne alcuna sull'ambiente in cui questi operano e nel quale si gestiscono, ad esempio, il PIN e i dati da firmare. L'approccio austriaco, elaborato per laarta di identità nazionale (Buergerkarte) mi sembra meritevole di cosiderazione, se non altro per aver affrontato il problema; li si definisce il "Citizen Card Environment" e si cerca di gestirlo in maniera ottimale: http://www.buergerkarte.at/konzept/securitylayer/spezifikation/aktuell/introduction/Introduction.en.html#glossar.Buergerkarten-Umgebung > Di contro CNIPA e organismi simili ritengono che una volta sistemata la cosa > sul piano legale il resto sia meno importante ... purtroppo. il problema di CNIPA purtroppo è che attualmente non ha poteri sufficienti, come accade a quasi tutti gli organismi di controllo italiani. Non a caso da "Autorità" si è trasformata nel 2003 in generico "Centro" http://www.i-dome.com/pagina.phtml?_id_articolo=4821-DallAIPA-al-CNIPA-parte-I.html ciao, Rob -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx