Re: Firma digitale e non solo

> Dico questo anche in riferimento al thread "sconfinati cavoli..." dove
> si è, a mio avviso, ingiustamente, scelto un capro espiatorio,  Dike,

Aredaje.

Per l'ennesima volta ripeto che il mio advisory riguardava il prodotto che
USO (DiKe), ma che ero _certo_ che si sarebbe potuto applicare anche agli
altri produttori.

> per portare a conoscenza un fatto che coinvolgeva praticamente il 90%
> dei produttori di software di firma, problema per altro noto alla
> maggior parte degli addetti ai lavori

Strano allora che si sia creato tutto questo casino, visto che era  un
problema  "noto" e "superato". Ma una volta, i problemi "noti" mica si
risolvevano ?

L'unico problema - e sto cominciando seriamente a convincermene - e' che su
questa tecnologia si sono investiti molti soldi per il marketing e pochi per
il testing. Se a cio' si aggiunge una generica maldestria politica e
regolamentatoria, si ottiene un'ottima ricetta per l'ennesimo buco
nell'acqua tecnologico.

> (evidenziato negli anni scorsi
> anche in altre liste).

Dove ?  Io ho cercato prima di rilasciare l'advisory. E' la quarta-quinta
volta che qualcuno mi dice  che  "altrove" la vulnerabilita' era stata
identificata. Questo "altrove" mi piacerebbe vederlo incarnato. Altrimenti
mi piacerebbe che si smettesse di nascondersi dietro un dito e che si
dicesse chiaramente "Si',  sappiamo che e' una ca**ata madornale far firmare
documenti word senza disabilitare le macro, ma lo facciamo lo stesso perche'
tanto l'importante e' vendere il software e l'hardware di firma, non
rispettare le leggi che la regolano".

> Se mi concedete altre due righe in questo sfogo, a mio avviso, sarebbe
> stato sufficiente dire che, a fronte di un semplice test, alcuni dei
> software di firma consentono di apporre la sottoscrizione a documenti
> word..." per poter discutere sul vero problema, ovvero l'evidente buco
> normativo, non certo il bug software...

Se mi concedi altre due righe in questa risposta, sarebbe stato sufficiente
leggersi cio' che ho scritto invece di parlare sul nulla piu' assoluto.

> Ho solo dato una scorsa veloce al documento, e ne consiglio la lettura
> perchè offre una panoramica esaustiva sulle ricerche fatte negli ultimi
> anni in merito all'e-voting, con riferimenti anche al modo mediante il
> quale è possibile garantire anonimato firmando una informazione, ovvero
> le cosiddette "blind signatures".

Si', io sono a conoscenza dei metodi per realizzare un protocollo di
votazione sicuro. Basta essere minimamente interessati al campo della
criptografia per averli studiati, grazie. Cio' che manca invece e':

>Non ho avuto modo di verificare se il
> documento illustra come true-vote è stato realizzato,

No, questo non c'e'.

>  ma credo che il
> marketing sarà lieto di racontarlo ai più interessati.

Sinceramente spero proprio di NON dover parlare con il MARKETING per poter
sapere come e' stato realizzato un  sistema di voto elettronico su base
criptografica. Spero invece di ottenere un bel white paper con i protocolli
delineati chiaramente. Il concetto di "peer review" e' cosi' alieno alla
mentalita' italiana ?

> Oggetto di discussione potrebbe invece essere il fatto che

Belli i due paragrafi finali, peccato che non contengano alcuna
informazione utile alla discussione in oggetto.

C'e', collegato a questa lista, qualcuno che SA effettivamente qualcosa di
"True Vote" ?

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List