RE: Sconfinati CAMPI di Cavoli Amari

Le scurrilita' in inglese sono, quando riconosciute, altresi' censurate :)

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
From: "Rox" <rox_on_vfr<at>libero.it>
Subject: RE: Sconfinati CAMPI di Cavoli Amari
Date: Wed, 11 Sep 2002 14:35:49 +0200

> From: Pierluigi Perri <perri<at>cirfid.unibo.it>
> Subject: RE: Sconfinati CAMPI di Cavoli Amari
>
> Ciao a tutti,
> senza voler entrare nel merito tecnico della faccenda, mi
> preoccupo pi? che
> altro dell'aspetto legale.
> Evidenziare una simile debolezza nei software che appongono la firma
> digitale significa in pratica
> "congelare" tutto quanto finora legiferato in tema di firma digitale,
> fascicolo elettronico, processo
> telematico e diverse altre leggi correlate.

Aspetta... le strutture PKI cominciano solo da un paio d'anni ad avere
qualche regolamentazione, anche se il concetto di fondo prevede poche idee
peraltro ben confuse.
Mi sembra anche che l'argomento del thread stia sfuggendo di mano.
La firma digitale, avallata da un'ente di certificazione, garantisce
autenticit?, integrit? e non ripudiabilit? del documento firmato.
Per cui, se firmo i miei dati, mi assumo ogni responsabilit? del contenuto,
nel bene e nel male.
Se spedisco un documento "variabile" nel tempo, la firma elettronica dice
che io e proprio io ho mandato quel documento... variabile.
L'integrit? e l'autenticit? del file originale non sono in discussione.

(esempio scemo) Se firmo e spedisco un contratto con clausole "variabili" e
finisco in causa, un qualunque avvocato la cui preparazione sia il limite
superiore di zero, magari con un perito avente  QI >= 1, pu? sottoscrivere
che ho firmato e spedito un documento ingannevole e che pertanto sono un
truffatore, meritevole di vitto e alloggio a carico del contribuente.

> Non solo...ma nel caso di firma digitale vi sono problemi per quanto
> riguarda il disconoscimento
> della firma. Diversi autori infatti ravvisano un'impossibilit? di
> disconoscere la firma con i mezzi
> tradizionali quali ad es. la querela di falso...ed i mezzi non
> tradizionali
> stentano ad essere
> emanati.

Uhm... puoi spiegarti meglio? Non ho sottomano i miei appunti, ma ricordo
che la firma elettronica, nei modi previsti dalla legge, equivale
strettamente alla firma cartacea.
Volendo posso ripudiare anche una firma cartacea, dando lavoro a un perito
calligrafico.
Se ripudio una firma elettronica invece faccio lavorare un perito
informatico :-)

La base di affidabilit? di una PKI ? il modo in cui viene rilasciata la
coppia di chiavi: nel momento in cui vengo avvisato che la procedura ?
legata alla persona, assolutamente vincolante e che la chiave privata NON
DEVE essere ceduta ad alcuno... all the d***s are mine :-)))
La custodia della chiave privata ? infatti esclusiva responsabilit?
dell'utente... se poi mi danno ad esempio una smart-card stracrittografata,
ma io scrivo la password/passphrase/PIN sulla stessa e lascio la card sulla
scrivania... la legge non tutela l'imprudenza n? tantomeno la deficienza
intellettiva ...

Concludo dicendo che, se non si ha bisogno di firmare elettronicamente
alcunch?, non si ? certo obbligati a richiedere la mitica coppia di chiavi.
chi invece abbia questa necessit? deve comunque documentarsi per conoscere
ed accettare i rischi derivanti dall'uso improprio.
La non ignoranza ? supposta condizione necessaria alla sottoscrizione di
ogni atto avente valore legale, dall'assegno bancario all'OPA.

Roberto

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List