Re: Firma digitale e non solo

Pregherei tutti di moderare i toni, ricordo che i flame non sono ben
accetti.

ps: auguri di buone feste a tutti, gia' che ci siamo.

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
From: "Raistlin" <raistlin<at>gioco.net>
Subject: Re: Firma digitale e non solo
Date: Sun, 29 Dec 2002 23:19:13 +0100

> Era noto il problema, puramente legislativo, e molte soluzioni, anche
> tecnologiche, sono state proposte.

Dove ? Da chi ? Applicate ? Quando ?  Pubblicate sui forum ? Discusse ? Se
si', perche' quando ne ho parlato io mezzo universo e' caduto dalle nuvole ?

> Nessuna applicazione ? riuscita a determinare una soluzione valida a
> requisiti INESISTENTI

E dai coi requisiti inesistenti. Come si e' gia' detto (ma effettivamente
ora comprendo che  la tua mail non rispondeva proprio alle mie osservazioni
visto che evidentemente non  le  hai lette :-) i requisiti sono li'.
"Documento" = "riproduzione di atti e fatti" = "cio' che vedo e' cio' che
firmo" = "se mi fai firmare un documento word senza pensare che poi questo
cambia e' una c*****a colossale"

> Per il buco, non ? tecnologico ( se la firma ha valore legale non ?
> grazie al software, non credi?) ma forse ? leggermente legislativo...

Interpretativo. Che poi la legge faccia comunque acqua, e' un altro paio di
maniche.

> Un uso non corretto di uno strumento deve essere normato come tale,

E' gia' normato come tale. La cosa inquietante e' che un tool software,
fatto per gente che come dici tu a volte ha problemi con le firme fatte sul
cartaceo, deve IMPEDIRTI DI FARE una cosa priva di valore, o almeno DIRTELO,
sorbole.

> Cos?, con un blocco di carta carbone, sar? lieto di dimostrarti alcuni
> grossi bug della penna biro.

Il problema e' di awareness.

Se io ricevo un assegno firmato a carbone mi metto a ridere e lo respingo.

Se un utente normale riceve un  documento word  secondo te controlla se ci
sono le macro, o  quando il viewer gli dice "FIRMA VERIFICATA - DOCUMENTO
OK" ci crede ?

Specie se consideri che il viewer  NON TI FA VEDERE che quelli sono campi,
te li confonde ben bene  in mezzo al testo.

In questo senso c'e' bisogno di MOSTRARE i bachi. Sperabilmente, per
risolverli.

> Per quanto riguarda i luoghi ove ? stato discusso il problema, ti
> consiglio, almeno, il thread "Formato Documenti e Corretta
> interpretazione art.10,comma1 DPCM 8/2/99"

Archivio storico: 404 not found. Su google, non e' linkata. I miracoli
ancora non riesco a farli, mi dispiace !

> Non so da cosa derivi questo tuo atteggiamento. Non ho messo te sul
> banco degli imputati, come, cosa che ho detto, non dovrebbe essere fatto
> ad un produttore, almeno quando non ve ne ? motivo.

La frase e' un ossimoro. Se la rileggi te ne rendi conto.

> Ripeto: chiediglielo, magari te lo danno.

Chiesto. Still waiting. E' passato solo un mese, del resto.

> Non stavo dicendo di parlare
> con un commerciale.

"Non ho avuto modo di verificare se il documento illustra come true-vote ?
stato realizzato, ma credo che _il marketing sar? lieto di racontarlo_ ai
pi? interessati."

Questa l'hai scritta tu eh (a parte la sottolineatura)... non e' mia
intenzione essere cavilloso, ma se non ci smentissimo da una mail con
l'altra magari sarebbe meglio.

> Io credo invece fermamente nella libert? di chi produce di mettere a
> disposizione o meno la documentazione che ritiene opportuna

Io credo fermamente nella mia possibilita' di esprimere un giudizio di
merito. Un prodotto criptografico _deve_ essere totalmente documentato. La
ratio e' la seguente: un algoritmo e un protocollo criptografici SARANNO
scoperti. Pertanto devono essere sicuri anche da un aggressore che li
conosca. Se non lo sono, sono insicuri inerentemente. Per essere
ragionevolmente sicuri che un sistema del genere non contenga sviste
paurose, serve almeno la peer review (a volte non basta nemmeno quella).

Posso esprimere questa opinione e condensarla nel dire "Se true-vote non e'
documentato in modo molto piu' approfondito e pubblico, di per se' la cosa
non e' un buon sintomo" ? Grazie, troppo buono.

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List