[ml] Re: Certificat gratis

Data ed ora di questo messaggio: martedì 7 novembre 2006 ore 15.10.04

Da  : Luca de Grazia
A   : ml-request@xxxxxxxxxxxxx    


OGGETTO: RE: Certificat gratis





mrso> Mi permetto di obiettare da tecnico ad un avvocato, mal me ne incolga ;)


Appunto :-) :-)

>> Tutti i dettagli legali relativi al certificato qualificato di firma da noi rilasciato

mrso> Quindi non parliamo di un certificato qualunque, ma di un certificato
mrso> _qualificato_

Che strutturalmente per quanto mi consta è tale.

>> a) la normativa permette il rilascio di certificati aventi il valore indicato
>> nelle normative citate a mrso> Non sono un avvocato ;) ma c'e' una questione
TECNICA che mi spinge a mrso> non concordare con lei:

mrso> Allegato II della direttiva europea:
mrso> "d. verificare con mezzi appropriati, secondo la legislazione nazionale
mrso> l'identità e, eventualmente, le specifiche caratteristiche della persona
mrso> cui è rilasciato un certificato qualificato;"

La direttiva è stata recepita per cui si applica la norma italiana.

mrso> Si dice di VERIFICARE l'identita', e questo non puo' essere fatto con
mrso> un'autocertificazione.

Non  è  così.  Si  tratta  di  responsabilità del certificatore, non di validità
dell'oggetto.

mrso> Io posso dichiarare le mie generalita', ma a Globaltrust e' richiesto di
mrso> verificarle. Cosa che (in Italia) si puo' fare utilizzando determinati
mrso> documenti, non in un modo qualsiasi.

Come sopra

mrso> Ma  sopratutto:  "l.  utilizzare sistemi affidabili per memorizzare imrso>
mrso> certificati  in  modo  verificabile  e  far  sì che: - soltanto le persone
mrso> autorizzate  possano  effettuare  inserimenti e modifiche; - l'autenticità
mrso> delle informazioni sia verificabile, - l'operatore possa rendersi conto di
mrso> qualsiasi modifica tecnica che comprometta i requisiti di sicurezza."

Si applica sempre la norma italiana.


mrso> Ora, un file salvato su un PC e trasmesso via rete (orrore) non risponde
mrso> a nessuno di questi requisiti. Pertanto, secondo il mio parere _tecnico_
mrso> non puo' definirsi un certificato qualificato.

Peccato che la legislazione dica il contrario.



mrso> Dal momento che Global Trust opera in una catena di certificazione
mrso> soggetta a vigilanza, sono certo che prima o poi un'autorita' di
mrso> vigilanza si fara' sentire sul tema direttamente con loro...

Già fatto :-)

>> b)  è la legge medesima che consente il rilascio del certificato sul presupposto
>> che il soggetto richiedente NON MENTA sulle proprie generalità.

mrso> Se la legge consente il rilascio di un certificato QUALIFICATO su queste
mrso> basi, allora la disciplina relativa alle "firme qualificate" ha un
mrso> tremendo buco esattamente in mezzo.

Vero.

>> Nella pratica, trovo comodo questo certificato perché, in sostanza, è una via
>> di mezzo che certifica il soggetto


mrso>  Si',  ma  le  vie di mezzo si chiamano "certificati elettronici" e "firme
mrso>  elettroniche",  o  sbaglio ? Proprio perche' mancano i requisiti di mrso>
identificazione  certa, di inalterabilita' del dispositivo di firma, etc... e tE
come posso alterare la firma?

>> quanto  una  volta  installato  si  "attiva" on line al momento della spedizione
>> della email.

mrso> Pardon ? Un certificato non si "attiva" e non si "disattiva", perche' e'
mrso> validato da una firma digitale, eterna ed immutabile ;) che viene
mrso> applicata in un certo momento del tempo. Al massimo ci possono essere
mrso> delle date (di rilascio e di scadenza) inserite nel certificato, ma
mrso> sicuramente non puo' esistere una procedura di attivazione online, se
mrso> non realizzata in modo barbino...

Evidentemente  speravo  che  comprendeste...provate  e  vedrete  che è come dico
io..qui    dovrei    perdere    troppo    tempo    per    spiegare    tutti    i
passaggi..sinceramente... :-)

>> Probabilmente  è  uno dei casi di "firma elettronica avanzata" con time stamping
>> incorporato...   (marca   temporale)...

mrso> Spero che stia scherzando, avvocato. La firma elettronica avanzata e'
mrso> scomparsa dal nostro ordinamento (dal Codice dell'Amministrazione Digitale).


Caro Ingegnere, ma dove lo ha letto? :-)

Art.1, comma 1, lettere q,r,s del Codice vigente:

q)  firma  elettronica: l'insieme dei dati in forma elettronica, allegati oppure
connessi  tramite associazione logica ad altri dati elettronici, utilizzati come
metodo   di   autenticazione   identificazione  informatica;


r)  firma  elettronica qualificata: la firma elettronica ottenuta attraverso una
procedura  informatica  che garantisce la connessione univoca al firmatario e la
sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario
può  conservare un controllo esclusivo e collegata ai dati ai quali si riferisce
in  modo  da consentire di rilevare se i dati stessi siano stati successivamente
modificati,  che  sia basata su un certificato qualificato e realizzata mediante
un   dispositivo   sicuro   per  la  creazione  della  firma,  quale  l'apparato
strumentaleusato per la creazione della firma elettronica;


s)  firma  digitale: un particolare tipo di firma elettronica qualificata basata
su  un  sistema  di chiavi crittografiche, una pubblica e una privata, correlate
tra  loro,  che consente al titolare tramite la chiave privata e al destinatario
tramite   la  chiave  pubblica,  rispettivamente,  di  rendere  manifesta  e  di
verificare  la  provenienza  e  l'integrità  di un documento informatico o di un
insieme di documenti informatici;


mrso> Inoltre, il processo di marcatura temporale di un _documento_ non
mrso> c'entra nulla con "l'attivazione" del certificato... anche perche'
mrso> l'emissione del certificato in una data X al massimo puo' dimostrare che
mrso> la firma del documento e' avvenuta DOPO la data X, non che il documento
mrso> esisteva PRIMA della data X.

Lo  so  bene,  anche  qui  si  è  trattato  di  fretta...dico  semplicemente che
"giuridicamente",  anche se "tecnicamente" non è una marcatura temporale, sta di
fatto  che  l'apposizione  della  firma sul documento o, meglio, sulla email che
viene inviata, viene apposta esattamente quando viene spedita, e pertanto presso
il  certificatore  (e  dovrebbe essere possibile controllarlo anche dalla firma)
esiste una traccia del momento esatto di apposizione della medesima.

Il che vuol dire..."data certa opponibile a terzi".

Una  sola  cosa,  molto sintetica: come ogni cosa nel diritto si può decidere di
utilizzare  procedure  "blindate"  e procedure "all'acqua di rose"; nel mezzo vi
sono  varie  soluzioni,  più  o  meno robuste, che l'utilizzatore dovrà valutare
nell'ambito del proprio specifico ambito lavorativo ed utilizzativo.

In  giudizio,  la differenza si sostanzierebbe nell'onere della prova, non nella
validità o meno del "documento".

Saluti a tutti.


Luca-M. de Grazia
--------------------------------------
Avvocato - Patrocinante in Cassazione
http://www.degrazia.it
--------------------------------------
PGP Pubblic Key on http://idn.degrazia.it/documento.asp?id=5
Fingerprint:
8337 43CB 712B A691 B9BE
D9DB 783D E6F7 0B62 E622

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature