Re: [ml] Firma digitale: dati vs. documenti

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2004 ml@sikurezza.org
Soggetto: Re: [ml] Firma digitale: dati vs. documenti
Mittente: Dante Picca
Data: Tue, 22 Jun 2004 13:47:47 +0200 (CEST)

Subj. "Firma digitale: dati vs. documenti

Un saluto alla lista.

ho un problema di interpretazione della legislazione sulla Firma
Digitale. Da quel che capisco si firmano i "documenti" e non i "dati".
Supponiamo allora che io debba realizzare un applicativo web che,
tramite form, raccoglie i dati da un utente A e ne genera un file che
viene firmato digitalmente per poi inviarlo all'utente B. Fin qui niente
di strano. Posso creare un pdf, rtf o altro contenente i dati e farlo
firmare ad A. B lo riceve verifica etc. Tutto fila liscio.
Se pero' B deve archiviare i dati contenuti nel file in un DB, ed
ovviamente non facendolo a manina, come si puo' fare in modo che quello
che A firma sia "legalmente" lo stesso che entra nel DB? Ovvero, puo' A
in qualche modo firmare "i dati" che sta amndando a B indipendentemente
dal documento (in base a quel che ho capito no :)? Se estraggo in
qualche modo i dati dal file (in modo piu' o meno automatizzato) per
inserirli nel DB, in caso di incongruenze documento/dati nel DB, A
potrebbe sempre appellarsi al fatto che lui abbia firmato il documento e
"qualcosa" e' successo nel processo di estrazione.
Idee?

Grazie e saluti.

Concordo con la tua interpretazione. Per uscirne ci sono varie strade, ad esempio Adobe propone un tool che consente agli utenti con il reader di riempire un modulo pdf, sottoscriverlo con firma digitale a norma ed inviarlo. Il software che lo riceve estrae i dati dal form e li mette nel db. Di listino per ogni modulo che apri alla compilazione di infiniti utenti paghi 10.000 euro e per il software che estrae i dati dal form sono circa 20.000 euro a CPU. In Italia, che io sappia, solo 3-5 enti usano questo sistema. Per ovviare a questo problema esiste, a mio giudizio, una strada molto più economica. Infatti una volta che l'utente ti ha inviato i dati del form, tu puoi salvarli nel db e produrre il tuo documento informatico statico in cui i dati sono inseriti all'interno: questo è il documento da sottoscrivere. Pensa ad esempio all'HTML: io preparo un form che l'utente riempie e lo invia al server, a questo punto il server produce un file html statico identico al form, ma con i dati inseriti dall'utente al posto dei campi. Questo file diviene il documento informatico che l'utente deve sottoscrivere. Ovviamente il file HTML non deve contenere javascript, activex, link a fogli di stile esterni o comunque contenuti che possano alterare la sua rappresentazione in contesti diversi. Stai attento, però, quando produci il documento informatico devi essere certo che tutti i dati inseriti dall'utente nel form siano visibili nel documento. Se, ad esempio, lui inserisce nel form che ti deve dare 1.000.000 euro, ma per un problema nella generazione del documento informatico COMPARE solo 1.000, tu hai nel db 1.000.000, ma lui ha firmato 1.000 e non è così ovvio avere il rerto ... Buona giornata


                                Dante

In risposta a:
- [ml] Firma digitale: dati vs. documenti, Igor Falcomata'

Data:
- precedente: Re: [ml] DPS: fotografie, Alberto Pianon
- successivo: [ml] DPS, Raffaele . Gnutti
- indice

Argomento:
- precedente: [ml] Firma digitale: dati vs. documenti, Igor Falcomata'
- successivo: [ml] postfix e filtri uce [was: Cartoline virtuali e raffiche di email], Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005