[Linuxtrent] Re: (Presunti) attacchi alla firma digitale.
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Fri, 27 Jun 2008 10:39:39 +0200
Il 27 giugno 2008 9.50, Gelpi Andrea <liste@xxxxxxxx> ha scritto:
> Roberto Resoli wrote:
...
>, aggiungendo
>> alle informazioni firmate anche alcune metainformazioni (come il
>> mime-type) sul contenuto.
>> Credo che questa cosa sia già allo studio.
>
> Dal punto di vista giuridico la firma digitale fatta con file (che
> contengono istruzioni in qualsiasi maniera eseguibile) non ha valore legale
> ed è ripudiabile, tecnicamente viene considerato un falso.
>
> Come avevo segnalato nel 2002 il problema sta nelle implementazioni fatte
> dai certifcatori. Sono loro che dovrebbero provvedere a maggiori controlli
> su che cosa viene dato in pasto a chi firma.
> Se guardiamo la cosa dal lato dell'utente, questi di informatica capisce
> poco ed è anche giusto sia così, ad ognuno il suo mestiere, per cui è la
> tecnologia che lo *deve* aiutare.
>
> Come detto e scritto da più parti le cose da fare sono note e non sono
> nemmeno troppo complicate, ma comunque hanno dei costi che i certificatori
> non vogliono sostenere.
>
Diciamo che non si può dare loro torto, finchè rimangono nei confini
della normativa...
Ricordo che all'estero c'è qualche esempio interessante. Specialmente
in Austria, si è deciso di dare molta rilevanza al problema
della sicurezza, (ma anche a quello della privacy: c'è anche questo
video, per chi fosse interessato:
http://alt.buergerkarte.at/videos/MADRID_PRIVACY.mpg )
E la sicurezza va affrontata come problema complessivo: inutile
richiedere una elevatissima sicurezza sui dispositivi
crittografici e poi non prevederne alcuna sull'ambiente in cui questi
operano e nel quale si gestiscono, ad esempio, il PIN e i dati da
firmare.
L'approccio austriaco, elaborato per laarta di identità nazionale
(Buergerkarte) mi sembra meritevole di cosiderazione, se non altro per
aver affrontato il problema; li si definisce il "Citizen Card
Environment" e si cerca di gestirlo in maniera ottimale:
http://www.buergerkarte.at/konzept/securitylayer/spezifikation/aktuell/introduction/Introduction.en.html#glossar.Buergerkarten-Umgebung
> Di contro CNIPA e organismi simili ritengono che una volta sistemata la cosa
> sul piano legale il resto sia meno importante ... purtroppo.
il problema di CNIPA purtroppo è che attualmente non ha poteri
sufficienti, come accade
a quasi tutti gli organismi di controllo italiani.
Non a caso da "Autorità" si è trasformata nel 2003 in generico "Centro"
http://www.i-dome.com/pagina.phtml?_id_articolo=4821-DallAIPA-al-CNIPA-parte-I.html
ciao,
Rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: