faretesto > diritto.* > diritto.internet

Parsifal (07.11.2009, 13:43)
Il Sat, 07 Nov 2009 08:56:57 +0100, usenet ha scritto:

> q. firma elettronica: l'insieme dei dati in forma elettronica,
> allegati oppure connessi tramite associazione logica ad altri dati
> elettronici, utilizzati come metodo di identificazione informatica;
> Praticamente un hash MD5/SHA1

Esatto, la lettera q indica dall'hash in su quindi anche la firma
elettronica apposta con PGP. Infatti IMHO si è trattato di un errore nel
tradurre "digital signature".

> Forse intendevi dire "firma digitale".. peccato che la definizione sia

Assolutamente no, altrimenti avrei scritto firma digitale ed avrei citato
la ettera S, non credi?

> Ma faccio notare che è ben chiaro il termine "qualificata" ch efa
> riferimento a:

Proprio per questa ragione PGP, non è firma digitale, ma non mi pare sia
stato da me affermato.

> Ergo: PGP è una cagata che non certifica nè autentica un cazzo!

Ergo insisti nello sbagliare e per perseverare nell'errore facendo
affermazioni apodittice, con l'aggravante di non aver nemmeno letto
quello che ho scritto.

Se magari tu partissi dall'idea che uno ha qualche vaga idea di cosa stia
parlando capiresti che se ho scritto che PGP è una *FIRMA ELETTRONICA*
intendevo proprio FIRMA ELETTRONICA altrimenti avrei scritto "FIRMA
DIGITALE".

PGP è un dispositivo di firma elettronica in quanto si tratta di un
insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di
identificazione informatica.
Certo, la definizione si può applicare anche ad un hash, ma ciò non
toglie che anche PGP sia una firma elettronica.
Questo significa che un documento firmato con PGP non sarà oggetto di
valutazione ex art. 20 comma 1 ed 1 bis, ma ex art. 21 comma 1.

Detto in parole povere, se ho un documento è firmato con PGP il giudice
sarà tenuto a tenere conto delle sue caratteristiche di sicurezza,
affidabilità ed integrità nella valutazione del documento.

Se poi vuoi continuare a sostenere che un .txt nudo e crudo ha le stesse
caratteristiche di sicurezza, affidabilità ed integrità dello stesso .txt
firmato con PGP accomodati pure, ma mi perdonerai se mi viene da ridere.
Parsifal (07.11.2009, 13:57)
Il Fri, 06 Nov 2009 11:05:21 +0100, usenet ha scritto:

> Stai uscendo un tantino dal seminato.. i riferimenti sono chiari,
> 1) Certificato di firma/autenticazione rilasciato da una CA accreditata
> CNIPA (non ripudiabile)
> 2) PGP accreditato dall'amico Fritz & Co. (nessun valore legale di
> nessun genere, quindi ripudiabile)

Mi pare che tu faccia un gran calderone tra firme elettronica, firma
elettronica qualificata, firma digitale, non repudiabilità e
caratteristiche oggettive di qualità, sicurezza, integrità e
immodificabilità.
E' come se mettessi sullo stesso piano scrittura privata, scrittura
privata autenticata, riproduzone meccanica ed atto pubblico per arrivare
a sostenere che il biglietto dell'autobus non ha alcun valore probatorio
\contrattuale perché non proviene da un pubblico ufficiale...

> Ora, paragonare i 2 sistemi significa evidentemente non haver compreso
> come funzionano le leggi internazionali, nazionali, e l'intero sistema
> messo in piedi per far funzionare una CA accreditata CNIPA, tutta la
> documentazione peraltro è facilmente reperibile in rete, basterebbe
> prendersi la briga di leggerla..

Saggio consiglio, direi di iniziare con il metterlo in pratica prima di
fare affermazioni apodittiche basate sul nulla.
usenet (08.11.2009, 10:30)
Parsifal ha scritto:

> Se poi vuoi continuare a sostenere che un .txt nudo e crudo ha le stesse
> caratteristiche di sicurezza, affidabilità ed integrità dello stesso .txt
> firmato con PGP accomodati pure, ma mi perdonerai se mi viene da ridere.


Ciò che ti sfugge è il fatto che la "firma elettronica" ovvero l'hash
non ha nulla a che fare con la "certificazione" sia che venga ottenuta
con un bel "openssl dgst -sha1 nomefile.txt" o con altri metodi dimostra
"SOLO" che il file in questione non ha subito alterazioni che è molto
diverso dal dimostrarne anche l'autenticità (paternità).

Un file completo di hash o firma PGP non dimostra che sia stato creato
dall'utente X in quanto PGP non ha le caratteristiche di una firma
qualificata (essendo basato sul Web of Trust), il ché si traduce che tu
non puoi legalmente dimostrare che la "firma" apposta al file sia
realmente la mia (e qui si ricade sul princio di non-ripudio), quindi sì
dimostri che il file in questione è un "originale" ma non puoi
dimostrare chi lo ha realmente prodotto (autore) il ché ci riporta
all'inutilità di PGP.

In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
per il semplice fatto che il "certificatore" deve essere
obbligatoriamente un "ente-struttura" esterno che garantisce tutte le
parti coinvolte nella comunicazione, e questo lo si può ottenere
esclusivamente con certificati di tipo x509 emessi da una CA unita a
rigidissime regole di emissione e HSM/token/smart-card sulle quali
inserire chiavi private e certificati, tutto il resto è aria fritta.
Parsifal (08.11.2009, 17:37)
Il Sun, 08 Nov 2009 09:30:52 +0100, usenet ha scritto:

> Ciò che ti sfugge è il fatto che la "firma elettronica" ovvero l'hash
> non ha nulla a che fare con la "certificazione" sia che venga ottenuta
> con un bel "openssl dgst -sha1 nomefile.txt" o con altri metodi dimostra
> "SOLO" che il file in questione non ha subito alterazioni che è molto
> diverso dal dimostrarne anche l'autenticità (paternità).

No, ciò che sfugge a te è che stiamo parlando di caratteristiche di
sicurezza, affidabilità ed integrità di un documento. La disciplina della
firma elettronica non è tesa solo "dimostrarne la paternità" esattamente
come la disciplina probatoria in tema di documenti non si limita,
semplicisticamente, soltanto a valutare la loro paternità.
D'altra parte, per un hash si possono vincere o perdere processi.

> Un file completo di hash o firma PGP non dimostra che sia stato creato
> dall'utente X in quanto PGP non ha le caratteristiche di una firma
> qualificata (essendo basato sul Web of Trust), il ché si traduce che tu
> non puoi legalmente dimostrare che la "firma" apposta al file sia
> realmente la mia (e qui si ricade sul princio di non-ripudio), quindi sì
> dimostri che il file in questione è un "originale" ma non puoi
> dimostrare chi lo ha realmente prodotto (autore) il ché ci riporta
> all'inutilità di PGP.

Il problema è che la disciplina non si ferma al solo principio del non
ripudio, ma tiene conto di altre caratteristiche.
Che poi PGP non sia un sistema di firma digitale è vero, ma questo
nessuno l'ha mai affermato, ma d'altra parte un cardiochirurgo non è,
probabilmente, la persona più adatta a cui richiedere un intervento di
neurochirurgia, ma questo non significa non sia un medico o che sia, per
utilizzare le tue parole, "una cagata che non certifica nè autentica un
cazzo".
Francesco Potortì (08.11.2009, 18:58)
usenet <cc>:
>In soldoni quindi non si può sostituire la PEC con altro metodo d'invio


Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
stato detto il contrario.

>tutto il resto è aria fritta.


Sembra che tu ce l'abbia con qualcuno o qualcosa...
Candido (08.11.2009, 19:05)
Roberto Tagliaferri <tagliaferri> wrote:

> La PEC come si configura?


Certifica spedizione e ricezione. Come una racc. A/R.

> E' implicita nel protocollo il controllo sul testo?


Il destinatario può controllare che non sia stato modificato, se è
questo che intendi.
usenet (11.11.2009, 09:57)
Francesco Potortì ha scritto:
> usenet <cc>:
>> In soldoni quindi non si può sostituire la PEC con altro metodo d'invio

> Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
> stato detto il contrario.
>> tutto il resto è aria fritta.

> Sembra che tu ce l'abbia con qualcuno o qualcosa...


Rispondo con una domanda..

Conosci il "mantra" dello sviluppatore Web (e di qualsiasi cosa abbia a
che fare con la rete)..

"MAI fidarsi della rete, MAI fidarsi della rete, MAI fidarsi della rete"

Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
fiducia" tra gli utenti.
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".

Quando si progetta un sistema che deve funzionare indipendntemente dalla
conoscenza/fiducia reciproca tra le parti come un sistema PEC o di
"firma qualificata" è ovvio che non è possibile utilizzare uno strumento
simile.
Francesco Potortì (11.11.2009, 11:41)
usenet <cc>:
>Francesco Potortì ha scritto:
>Rispondo con una domanda..


>Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
>fiducia" tra gli utenti.
>Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
>uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
>un università, un azienda o un relativamente piccolo gruppo di "amici".


Funziona anche per grandi reti di persone, il web of trust è pensato
proprio per quello. Per conoscenza diretta è tutto molto più semplice,
non c'è bisogno di un web of trust.

>Quando si progetta un sistema che deve funzionare indipendntemente dalla
>conoscenza/fiducia reciproca tra le parti come un sistema PEC o di
>"firma qualificata" è ovvio che non è possibile utilizzare uno strumento
>simile.


Come ho scritto sopra: «credo sia ovvio a chiunque legge qui, né d'altra
parte è mai stato detto il contrario».
Candido (11.11.2009, 22:44)
usenet <cc> wrote:

> Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
> uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
> un università, un azienda o un relativamente piccolo gruppo di "amici".


Ma potrebbe funzionare anche per un'isituzione come, ad esempio, un
ordine professionale.
Sparrow® (11.11.2009, 22:59)
In news:4afa6e87$0$1106$4fafbaef,
usenet scrisse:
> un università, un azienda


Strano. Solitamente si apostrofano, erroneamente, termini maschili.
Ora succede il contrario. :)
matteo.mardegan (18.06.2016, 12:25)
Il giorno mercoledì 11 novembre 2009 10:41:09 UTC+1, Francesco Potortì ha scritto:
> usenet <cc>:


Rispolvero questo tread/flame, per dire anche la mia su PGP: la soluzione sarebbe semplice; far si che nel "Web of trust" ci entri anche un'autorità pubblica. Prevedere una legge che ad esempio consenta la possibilità di recarsi all'ufficio anagrafe del comune per richiedere di farsi identificare, documento alla mano, e certificare la propria chiave OpenPGP. Più magari un key server dove vengano depositate queste chiavi. Molto semplice e sicuramente meno oneroso per la comunità.
[..]
Claiudio (11.07.2016, 14:04)
Il 18/06/2016 12:25, matteo.mardegan ha scritto:
>>> Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
>>> fiducia" tra gli utenti.
>>> Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
>>> uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
>>> un università, un azienda o un relativamente piccolo gruppo di "amici".

> Rispolvero questo tread/flame, per dire anche la mia su PGP: la soluzione sarebbe semplice; far si che nel "Web of trust" ci entri anche un'autorità pubblica. Prevedere una legge che ad esempio consenta la possibilità di recarsi all'ufficio anagrafe del comune per richiedere di farsi identificare, documento alla mano, e certificare la propria chiave OpenPGP. Più magari un key server dove vengano depositate queste chiavi. Molto semplice e sicuramente meno oneroso per la comunità.


A distanza di un mese (soprattutto dopo un key signing party svolto
sulle prealpi venete ;-) ), rispolvero anche io:
la soluzione proposta riporterebbe però a qualcosa di simile ad una CA
gestita dallo stato, ritornando ad avere i "problemi" che si vorrebbero
eliminare con la WoT.

Discussioni simili