certificati SSL vs chiavi gnupg

Scrivo, come profano, per chiedere delucidazioni/pareri sulla
sicurezza dei certificati SSL e sul paragone di quest'ultimi con
il sistema di chiavi openpgp/gnupg.

Con gpg, la sicurezza della cifratura e' garantita dai robusti
algoritmi che conosciamo. E c'e' un meccanismo di firme e
controfirme delle chiavi (da parte di quanti piu' utenti
possibili), che serve per ottenere una ragionevole certezza
dell'identita' dei possessori (oltre a eventuali gpg-party).

I miei dubbi, per venire al dunque, riguardano il sistema di
certificati SSL, sia sul punto (1) della sicurezza del metodo di
cifratura che su quello (2) della sicurezza dell'identita'.


1A- Outlook Express dice: "Quando si riceve un messaggio di posta
elettronica crittografato, è improbabile che il messaggio sia
stato letto da altri." E gia' questo 'improbabile' non mi
suona molto bene, a meno che in originale non si volesse
intendere 'quasi impossibile', ma di solito le traduzioni
Microsoft sono impeccabili.

1B- Su questo howto <http://www.ibiblio.org/pub/Linux/docs/HOWTO/
other-formats/html_single/SSL-Certificates-HOWTO.html>, si dice:
"You can send your message as encrypted signed messages or clear
text message. The encryption is not really an encryption as the
message contains everything needed to decrypt the message, but
it ensures that the recipient won't read the message if he does
not have an s/mime compliant reader." ?????????

Vorrei delucidazioni su questi punti, anche perche' si trova
in giro meno materiale di quanto si possa pensare, sull'argomento.
Mi interesserebbe sapere, soprattutto, se la cifratura a chiave
asimmetrica tramite certificati SSL e' meno sicura di quella di
gnupg.


2- Supponiamo che io voglia mettere in piedi una Certification
Authority (come servizio offerto alla comunita' virtuale di un sito)
e che distribuisca a chi lo richiede il suo bel certificato, da
usare per le comunicazioni via email e non so cos'altro.
Pero', il tutto e' gratuito e non vengono richiesti dati anagrafici.
Quindi viene meno il ruolo della CA come garante dell'identita'
dei possessori dei certificati, cosi' come lo e' tradizionalmente.
Qualcuno si registrera' con i suoi dati reali, qualcuno con
pseudonimi; quindi il sistema SSL assomigliera', in questo scenario,
al sistema 'fai-da-te' di gnupg.
Mi chiedevo se siano gia' diffusi usi di questo genere dei
certificati SSL. E quali vantaggi/svantaggi si presentino rispetto
alla soluzione gnupg.
Sarebbe interessante anche sapere se esiste un meccanismo di
firma dei certificati/chiavi pubbliche, come su gnupg, per
aumentarne l'affidabilita', nel contesto di una comunita' dove si
vuole fare a meno dei dati anagrafici.



Poi, sono ben accette anche riflessioni sull'uso di SSL e gpg in
ambiente windows e linux (gpg, su windows, per esempio, non e'
molto ben supportato, a parte la perfettibile soluzione offerta da
WinPT o prodotti commerciali tipo CryptoEX) e magari anche sulle
tendenze e sul futuro di questi metodi di cifratura.
Vanno bene anche rimandi a URL o altro  :-)



Grazie e ciao a tutti.


g



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List