Re: Firma digitale e non solo

  Mi unisco al moderatore per salutare tutti i partecipanti della lista.

>
>ps: auguri di buone feste a tutti, gia' che ci siamo.
>
>bye
>Koba (moderatore)
>
>--- Enclosed, please find the posted message.
>From: "Raistlin" <raistlin<at>gioco.net>
>Subject: Re: Firma digitale e non solo
>Date: Sun, 29 Dec 2002 23:19:13 +0100
>
Non risponder? punto per punto, anche per non protrarre oltremodo la 
discussione. Per altro, a tutti ? noto il contenuto completo della mail 
al quale si ? risposto con evidente opera di cut (senza molti paste....).
Il mio riferimento al thread della lista teach ? FACILMENTE 
raggiungibile al link 
http://liste.teach.it/teach-sicurezza/2001/0022.html : a questo punto 
non mi meraviglio che l'autore della segnalazione non sia riuscito a 
trovare documentazione antecedente alla sua mail.
Se avr?, finalmente, pazienza di leggere, trover? che l'argomento ? 
stato affrontato nel modo in cui auspicavo.
Con questo non vorrei essere mal interpretato: sono lieto che abbia 
riportato alle cronache un problema, per altro grave, e mai ho voluto 
dire che egli abbia agito in cattiva fede dicendo che non era a 
conoscenza di precedenti discussioni sul fatto. Tanti come lui ce ne 
volgliono perch? gli utenti finali possano utilizzare dei prodotti 
sempre migliori.
La difesa della propria opinione ? per altro ammirevole, tuttavia fino a 
quando non diviene estrema e incentrata nella difesa di un primato 
dietro il quale non vale molto la pena di nascondersi.

Saluti a tutti,

-- 
----------------------
Luca Bechelli
Network Security
mob: 328 3164385 
mailto:luca@bechelli.net
web: www.bechelli.net


 


>
>>Era noto il problema, puramente legislativo, e molte soluzioni, anche
>>tecnologiche, sono state proposte.
>>
>
>Dove ? Da chi ? Applicate ? Quando ?  Pubblicate sui forum ? Discusse ? Se
>si', perche' quando ne ho parlato io mezzo universo e' caduto dalle nuvole ?
>
>>Nessuna applicazione ? riuscita a determinare una soluzione valida a
>>requisiti INESISTENTI
>>
>
>E dai coi requisiti inesistenti. Come si e' gia' detto (ma effettivamente
>ora comprendo che  la tua mail non rispondeva proprio alle mie osservazioni
>visto che evidentemente non  le  hai lette :-) i requisiti sono li'.
>"Documento" = "riproduzione di atti e fatti" = "cio' che vedo e' cio' che
>firmo" = "se mi fai firmare un documento word senza pensare che poi questo
>cambia e' una c*****a colossale"
>
>>Per il buco, non ? tecnologico ( se la firma ha valore legale non ?
>>grazie al software, non credi?) ma forse ? leggermente legislativo...
>>
>
>Interpretativo. Che poi la legge faccia comunque acqua, e' un altro paio di
>maniche.
>
>>Un uso non corretto di uno strumento deve essere normato come tale,
>>
>
>E' gia' normato come tale. La cosa inquietante e' che un tool software,
>fatto per gente che come dici tu a volte ha problemi con le firme fatte sul
>cartaceo, deve IMPEDIRTI DI FARE una cosa priva di valore, o almeno DIRTELO,
>sorbole.
>
>>Cos?, con un blocco di carta carbone, sar? lieto di dimostrarti alcuni
>>grossi bug della penna biro.
>>
>
>Il problema e' di awareness.
>
>Se io ricevo un assegno firmato a carbone mi metto a ridere e lo respingo.
>
>Se un utente normale riceve un  documento word  secondo te controlla se ci
>sono le macro, o  quando il viewer gli dice "FIRMA VERIFICATA - DOCUMENTO
>OK" ci crede ?
>
>Specie se consideri che il viewer  NON TI FA VEDERE che quelli sono campi,
>te li confonde ben bene  in mezzo al testo.
>
>In questo senso c'e' bisogno di MOSTRARE i bachi. Sperabilmente, per
>risolverli.
>
>>Per quanto riguarda i luoghi ove ? stato discusso il problema, ti
>>consiglio, almeno, il thread "Formato Documenti e Corretta
>>interpretazione art.10,comma1 DPCM 8/2/99"
>>
>
>Archivio storico: 404 not found. Su google, non e' linkata. I miracoli
>ancora non riesco a farli, mi dispiace !
>
>>Non so da cosa derivi questo tuo atteggiamento. Non ho messo te sul
>>banco degli imputati, come, cosa che ho detto, non dovrebbe essere fatto
>>ad un produttore, almeno quando non ve ne ? motivo.
>>
>
>La frase e' un ossimoro. Se la rileggi te ne rendi conto.
>
>>Ripeto: chiediglielo, magari te lo danno.
>>
>
>Chiesto. Still waiting. E' passato solo un mese, del resto.
>
>>Non stavo dicendo di parlare
>>con un commerciale.
>>
>
>"Non ho avuto modo di verificare se il documento illustra come true-vote ?
>stato realizzato, ma credo che _il marketing sar? lieto di racontarlo_ ai
>pi? interessati."
>
>Questa l'hai scritta tu eh (a parte la sottolineatura)... non e' mia
>intenzione essere cavilloso, ma se non ci smentissimo da una mail con
>l'altra magari sarebbe meglio.
>
>>Io credo invece fermamente nella libert? di chi produce di mettere a
>>disposizione o meno la documentazione che ritiene opportuna
>>
>
>Io credo fermamente nella mia possibilita' di esprimere un giudizio di
>merito. Un prodotto criptografico _deve_ essere totalmente documentato. La
>ratio e' la seguente: un algoritmo e un protocollo criptografici SARANNO
>scoperti. Pertanto devono essere sicuri anche da un aggressore che li
>conosca. Se non lo sono, sono insicuri inerentemente. Per essere
>ragionevolmente sicuri che un sistema del genere non contenga sviste
>paurose, serve almeno la peer review (a volte non basta nemmeno quella).
>
>Posso esprimere questa opinione e condensarla nel dire "Se true-vote non e'
>documentato in modo molto piu' approfondito e pubblico, di per se' la cosa
>non e' un buon sintomo" ? Grazie, troppo buono.
>
>Stefano "Raistlin" Zanero
>System Administrator Gioco.Net
>public PGP key block at http://gioco.net/pgpkeys
>
>----- End forwarded message -----
>
>__
>______________________________________________________
>http://www.sikurezza.org - Italian Security Mailing List
>
>





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List