Re: Firma digitale e non solo

  Salve a tutti,
mi scuso per il ritardo della risposta, dovuto in parte al fatto che non 
ero sicuro di voler protrarre una spiacevole "polemica" che ? stata 
generata dal mio post.
Chiedo pertanto al moderatore di portar pazienza e consetirmi di 
rispondere pubblicamente ai punti nei quali sono stato chiamato in 
causa, confidando nel fatto che sia chiaro che non era mia volont? 
accusare nessuno in particolare, ma sottolineare alcuni effetti 
"spiacevoli", almeno per me, generati da alcuni argomenti in discussione.

>>per portare a conoscenza un fatto che coinvolgeva praticamente il 90%
>>dei produttori di software di firma, problema per altro noto alla
>>maggior parte degli addetti ai lavori
>>
>
>Strano allora che si sia creato tutto questo casino, visto che era  un
>problema  "noto" e "superato". Ma una volta, i problemi "noti" mica si
>risolvevano ?
>
Era noto il problema, puramente legislativo, e molte soluzioni, anche 
tecnologiche, sono state proposte.
Nessuna applicazione ? riuscita a determinare una soluzione valida a 
requisiti INESISTENTI, ergo, il bug non ? software. Ovviamente, ? una 
opinione riguardo al problema, non a chi lo ha messo in discussione, il 
quale non si senta attaccato da una opinione diversa dalla sua, n? veda 
sminuito il suo lavoro (avevo avuto modo di vedere l'advisory sul suo 
sito e mi sembrava ben presentato, anche se presentarlo come un bug 
software ?, per me, nonsense)

>L'unico problema - e sto cominciando seriamente a convincermene - e' che su
>questa tecnologia si sono investiti molti soldi per il marketing e pochi per
>il testing. Se a cio' si aggiunge una generica maldestria politica e
>regolamentatoria, si ottiene un'ottima ricetta per l'ennesimo buco
>nell'acqua tecnologico.
>
Come sopra, ritengo che il testing c'entri poco.
Vale molto pi? la seconda.
Per il buco, non ? tecnologico ( se la firma ha valore legale non ? 
grazie al software, non credi?) ma forse ? leggermente legislativo... La 
firma si pu? fare comunque, anche al software. La "sottoscrizione" ne ? 
solo una particolare applicazione, e deriva da principi legislativi 
millenari, la cui applicazione tecnologica, se vuoi, ? intrinsecamente 
difficile, per cui avr? sicuramente bisogno del contributo e delle 
critiche di tutti coloro, come te, che ne comprendono le problematiche, 
e del tempo necessario per essere portata a conoscenza e consumo da 
parte degli utenti finali, che se vogliamo, ancora oggi spesso 
utilizzano maldestramente la firma autografa.
Un uso non corretto di uno strumento deve essere normato come tale, 
dopodich? possono essere introdotte delle facility per impedirlo, ma non 
? possibile impedirlo in assoluto.
Cos?, con un blocco di carta carbone, sar? lieto di dimostrarti alcuni 
grossi bug della penna biro.

Purtroppo, e non dovrebbe essere cos?, mi sento un "diverso" quando mi 
rifiuto di firmare un documento sopra una catasta di fogli, e non su una 
scrivania libera, figurati !

>
>>(evidenziato negli anni scorsi
>>anche in altre liste).
>>
>
>Dove ?  Io ho cercato prima di rilasciare l'advisory. E' la quarta-quinta
>volta che qualcuno mi dice  che  "altrove" la vulnerabilita' era stata
>identificata. Questo "altrove" mi piacerebbe vederlo incarnato. Altrimenti
>mi piacerebbe che si smettesse di nascondersi dietro un dito e che si
>dicesse chiaramente "Si',  sappiamo che e' una ca**ata madornale far firmare
>documenti word senza disabilitare le macro, ma lo facciamo lo stesso perche'
>tanto l'importante e' vendere il software e l'hardware di firma, non
>rispettare le leggi che la regolano".
>
Ripeto: non sono uno di quelli contro il quale punti il dito, percui non 
c'? niente da nascondere. Sul rispetto delle leggi, "sine reato, sine 
pena"....

Per quanto riguarda i luoghi ove ? stato discusso il problema, ti 
consiglio, almeno, il thread "Formato Documenti e Corretta 
interpretazione art.10,comma1 DPCM 8/2/99" del 17/01/01 sulla lista 
Teach. Come vedrai, il tema ? affrontato nel modo che auspicherei 
fossero trattate queste problematiche. In Unix-Security, se ne discusse 
almeno un paio di volte, se non ricordo male.

>>Se mi concedete altre due righe in questo sfogo, a mio avviso, sarebbe
>>stato sufficiente dire che, a fronte di un semplice test, alcuni dei
>>software di firma consentono di apporre la sottoscrizione a documenti
>>word..." per poter discutere sul vero problema, ovvero l'evidente buco
>>normativo, non certo il bug software...
>>
>
>Se mi concedi altre due righe in questa risposta, sarebbe stato sufficiente
>leggersi cio' che ho scritto invece di parlare sul nulla piu' assoluto.
>
Non so da cosa derivi questo tuo atteggiamento. Non ho messo te sul 
banco degli imputati, come, cosa che ho detto, non dovrebbe essere fatto 
ad un produttore, almeno quando non ve ne ? motivo. Allo stesso modo, 
non sono certo io che devo rispondere alle critiche che ALTRI ti hanno 
fatto. Non per farti scendere dalla tua torre d'avorio, ma se avessi 
fatto riferimento solo al tuo articolo, avrei aggiunto un post al thread 
"sconfinati campi...", non credi?
Vorrei abbassare i toni, ma non possono non sottolineare che se la mia 
affermazione non ha contenuto, non trovo adeguata la tua reazione.

>>Ho solo dato una scorsa veloce al documento, e ne consiglio la lettura
>>perch? offre una panoramica esaustiva sulle ricerche fatte negli ultimi
>>anni in merito all'e-voting, con riferimenti anche al modo mediante il
>>quale ? possibile garantire anonimato firmando una informazione, ovvero
>>le cosiddette "blind signatures".
>>
>
>Si', io sono a conoscenza dei metodi per realizzare un protocollo di
>votazione sicuro. Basta essere minimamente interessati al campo della
>criptografia per averli studiati, grazie.
>
Uh? Io pensavo di aver scritto alla lista, non a te. Io ho risposto ad 
altri che ritenevano non possibile coniugare firma elettronica e anonimato.
Sono certo che se in questa lista si discutesse di cose che gi? conosci 
non ci sarebbe molto da dire....

>
>> ma credo che il
>>marketing sar? lieto di racontarlo ai pi? interessati.
>>
>
>Sinceramente spero proprio di NON dover parlare con il MARKETING per poter
>sapere come e' stato realizzato un  sistema di voto elettronico su base
>criptografica. Spero invece di ottenere un bel white paper con i protocolli
>delineati chiaramente. Il concetto di "peer review" e' cosi' alieno alla
>mentalita' italiana ?
>
Ripeto: chiediglielo, magari te lo danno. Non stavo dicendo di parlare 
con un commerciale.
Io credo invece fermamente nella libert? di chi produce di mettere a 
disposizione o meno la documentazione che ritiene opportuna, e 
sopratutto, a chi. Siamo noi, i potenziali clienti, che a fronte 
dell'esaustivit? delle info abbiamo la possibilit? di scegliere un 
prodotto o meno.
Tanto peggio per chi si nasconde dietro un bel logo. Ma la realt? 
purtroppo ci insegna che non ? poi cos? vero...

>>Oggetto di discussione potrebbe invece essere il fatto che
>>
>
>Belli i due paragrafi finali, peccato che non contengano alcuna
>informazione utile alla discussione in oggetto.
>
Ma forse servono per parlare di cose pi? serie, ripeto.
Non mi ritengo all'altezza di dare certezze. Al massimo dei contributi o 
degli spunti di discussione.

Mi auguro che queste risposte non servano ad alimentare la polemica, ma 
a chiarire, se non lo sono stato prima, le mie posizioni.
Auspico anche che vi sia del vero, in quello che ho ritenuto giusto 
dire, o almeno che chi legge sia nello stato d'animo di valutare in modo 
oggettivo se cos? ?. Altrimenti, tanto meglio. Vuol dire che non ce 
n'era bisogno.
Tanti auguri a tutti.

>
>C'e', collegato a questa lista, qualcuno che SA effettivamente qualcosa di
>"True Vote" ?
>
>
>Stefano "Raistlin" Zanero
>System Administrator Gioco.Net
>public PGP key block at http://gioco.net/pgpkeys
>
>
>________________________________________________________
>http://www.sikurezza.org - Italian Security Mailing List
>
>

-- 
----------------------
Luca Bechelli
Network Security
mob: 328 3164385 
mailto:luca@bechelli.net
web: www.bechelli.net


 






________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List