RE: Sconfinati CAMPI di Cavoli Amari

>Aspetta... le strutture PKI cominciano solo da un paio d'anni ad avere
>qualche regolamentazione, anche se il concetto di fondo prevede poche idee
>peraltro ben confuse.
>Mi sembra anche che l'argomento del thread stia sfuggendo di mano.
>La firma digitale, avallata da un'ente di certificazione, garantisce
>autenticit?, integrit? e non ripudiabilit? del documento firmato.
>Per cui, se firmo i miei dati, mi assumo ogni responsabilit? del contenuto,
>nel bene e nel male.
>Se spedisco un documento "variabile" nel tempo, la firma elettronica dice
>che io e proprio io ho mandato quel documento... variabile.
>L'integrit? e l'autenticit? del file originale non sono in discussione.

Sei sicuro che l'integrità non sia in discussione?
Guarda...dopo quello che ho letto credo che l'unica cosa che ancora possa
non essere in discussione è la marcatura temporale del documento informatico.

>(esempio scemo) Se firmo e spedisco un contratto con clausole "variabili" e
>finisco in causa, un qualunque avvocato la cui preparazione sia il limite
>superiore di zero, magari con un perito avente  QI >= 1, pu? sottoscrivere
>che ho firmato e spedito un documento ingannevole e che pertanto sono un
>truffatore, meritevole di vitto e alloggio a carico del contribuente.

Vuoi proprio riempire le carceri eh? :-)
E che ne sa un onesto "padre di famiglia", come dice il nostro codice 
civile, che
il documento word ha le clausole modificabili?
Anche in questa lista ho letto lo stupore di diverse persone che smanettano con
crittografia e firma digitale tutti i giorni...figurati l'uomo della strada 
se immagina
lontanamente qualcosa.


> > Non solo...ma nel caso di firma digitale vi sono problemi per quanto
> > riguarda il disconoscimento
> > della firma. Diversi autori infatti ravvisano un'impossibilit? di
> > disconoscere la firma con i mezzi
> > tradizionali quali ad es. la querela di falso...ed i mezzi non
> > tradizionali
> > stentano ad essere
> > emanati.
>
>Uhm... puoi spiegarti meglio? Non ho sottomano i miei appunti, ma ricordo
>che la firma elettronica, nei modi previsti dalla legge, equivale
>strettamente alla firma cartacea.

La dottrina dominante (non ricordo il nome dell'autore ma se vuoi te lo 
cerco) è
del parere che la firma digitale goda di tutela rafforzata rispetto alla 
firma normale.
Per cui è giusto quello che dici tu, ossia che in teoria firma digitale e 
firma cartacea sono
equiparate, ma è invece nella pratica che si notano le differenze.
Anche perchè "falsificare" una firma digitale è sicuramente più complesso, 
e quindi
richiede un onere probatorio decisamente maggiore, rispetto ad una firma 
cartacea
dove per falsificarla bastano un foglio, una penna, un pò di gioco di mano 
e l'aver visto
almeno una volta la firma originale.

>Volendo posso ripudiare anche una firma cartacea, dando lavoro a un perito
>calligrafico.
>Se ripudio una firma elettronica invece faccio lavorare un perito
>informatico :-)

Ti ripeto...non è così semplice.
Del resto...il perito calligrafico riconosce le differenze tra la firma 
originale e la firma falsificata.
In un'ipotesi di firma elettronica mi dici che differenze riconosceresti? :-)

>La base di affidabilit? di una PKI ? il modo in cui viene rilasciata la
>coppia di chiavi: nel momento in cui vengo avvisato che la procedura ?
>legata alla persona, assolutamente vincolante e che la chiave privata NON
>DEVE essere ceduta ad alcuno... all the d***s are mine :-)))
>La custodia della chiave privata ? infatti esclusiva responsabilit?
>dell'utente... se poi mi danno ad esempio una smart-card stracrittografata,
>ma io scrivo la password/passphrase/PIN sulla stessa e lascio la card sulla
>scrivania... la legge non tutela l'imprudenza n? tantomeno la deficienza
>intellettiva ...

Quanto dici è vero.
Vorrei però farti notare anche che qua stiamo parlando di firma digitale.
Le PKI c'entrano ma presentano anche delle differenze rispetto alle fattispecie
pure della firma digitale.

>Concludo dicendo che, se non si ha bisogno di firmare elettronicamente
>alcunch?, non si ? certo obbligati a richiedere la mitica coppia di chiavi.
>chi invece abbia questa necessit? deve comunque documentarsi per conoscere
>ed accettare i rischi derivanti dall'uso improprio.
>La non ignoranza ? supposta condizione necessaria alla sottoscrizione di
>ogni atto avente valore legale, dall'assegno bancario all'OPA.

Anche qua se ne può discutere. Diversi uffici pubblici ed università 
obbligano i propri
dipendenti ad accettare ed utilizzare la firma digitale per siglare i 
propri atti. Ancora...la firma
digitale per legge è tout court, nel senso che non posso limitarla 
esclusivamente all'espletamento
della mia attività di capoufficio, ma anche se dovesse capitare un'ordine 
di 40 bottiglie di vino
siglate con la mia firma digitale esso sarebbe, agli occhi della legge, 
perfettamente valido.
Almeno nella firma cartacea si richiede anche il timbro della struttura :-)
Ciao

Brigante



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List