Discussione:
PEC: domanda da niubbo
(troppo vecchio per rispondere)
Dr. Dimm
2009-11-02 08:29:47 UTC
Permalink
Salve a tutti... vi chiedo un piccolo chiarimento sugli obblighi di
legge riguardanti l'adozione della posta certificata: è possibile
soddisfarli utilizzando, in alternativa, un programma per la firma
elettronica della corrispondenza, tipo PGP per intenderci?
Saluti
mathom
2009-11-02 08:35:01 UTC
Permalink
Post by Dr. Dimm
Salve a tutti... vi chiedo un piccolo chiarimento sugli obblighi di
legge riguardanti l'adozione della posta certificata: è possibile
soddisfarli utilizzando, in alternativa, un programma per la firma
elettronica della corrispondenza, tipo PGP per intenderci?
PGP non certifica i flussi di consegna/accettazione delle email
certificate, ma si limita a autentica il mittente. Per cui no.

m.
usenet
2009-11-02 10:29:33 UTC
Permalink
Post by mathom
Post by Dr. Dimm
Salve a tutti... vi chiedo un piccolo chiarimento sugli obblighi di
legge riguardanti l'adozione della posta certificata: è possibile
soddisfarli utilizzando, in alternativa, un programma per la firma
elettronica della corrispondenza, tipo PGP per intenderci?
PGP non certifica i flussi di consegna/accettazione delle email
certificate, ma si limita a autentica il mittente. Per cui no.
m.
PGP è una cagata che non certifica nè autentica un cazzo!

Al masimo puoi definire PGP come un "auto-certificazione" che può avere
un senso per un piccolo gruppo di utenti (università, uso interno
aziendale, gruppo di amici/ricercatori ecc..) ma nessun senso per un
utilizzo pubblico dove le parti in causa (mittente/destinatario) non
hanno rapporti di conoscenza diretta tra loro.

PGP si basa sul "web of trust", PEC e "firma qualificata" si basano su
certificati emessi da una CA riconosciuta da ambedue le parti.

Firmando una mail con PGP non è previsto il "non ripudio" della firma.
mathom
2009-11-02 10:42:10 UTC
Permalink
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
[cut]

Non volevo dirlo così apertamente per riguardo a chi faceva
una domanda innocente :D

m.
Dr. Dimm
2009-11-02 11:21:30 UTC
Permalink
Post by mathom
Non volevo dirlo così apertamente per riguardo a chi faceva
una domanda innocente :D
Grazie ^_^
Dr. Dimm
2009-11-02 11:26:50 UTC
Permalink
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ne prendo atto. :)
Ma, in sostanza, la domanda era: e' possibile autocertificare le proprie
mail tramite un qualche sofware di autenticazione anziche' utilizzare
una casella di posta certificata?
PGP era solo un esempio a caso.
E comunque, ho come la _vaghissima_ senzazione che la risposta sia NO.
Tnx
mathom
2009-11-02 11:28:11 UTC
Permalink
Post by Dr. Dimm
Ma, in sostanza, la domanda era: e' possibile autocertificare le proprie
mail tramite un qualche sofware di autenticazione anziche' utilizzare
una casella di posta certificata?
Ribadisco, no.
Perché i flussi di accettazione e consegna delle email devono essere
certificati da un CA terza, accreditata nell'elenco tenuto dal CNIPA.

m.
whiplash
2009-11-03 23:32:54 UTC
Permalink
Post by mathom
Ribadisco, no.
Perché i flussi di accettazione e consegna delle email devono essere
certificati da un CA terza
Qindi bastano certificati X509 firmati da un'autorità riconosciuta, in
sintesi.
usenet
2009-11-02 14:06:54 UTC
Permalink
Post by Dr. Dimm
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ne prendo atto. :)
Ma, in sostanza, la domanda era: e' possibile autocertificare le proprie
mail tramite un qualche sofware di autenticazione anziche' utilizzare
una casella di posta certificata?
PGP era solo un esempio a caso.
E comunque, ho come la _vaghissima_ senzazione che la risposta sia NO.
Tnx
Yes, per certificare una mail puoi utilizzare la cosiddetta "firma
qualificata" contenuta nella CNS (Carta Nazionale dei Servizi) o
equivalente token USB disponibile presso uno qualsiasi dei certificatori
accreditati dal CNIPA a patto che il tuo client mail supporti la firma
elettronica attraverso un dispositivo di sicurezza (Thunderbird lo fa).

Nota che con la suddetta è anche possibile firmare il singolo file e
inviarlo come allegato in formato .p7m
Barabba
2009-11-02 23:06:16 UTC
Permalink
Post by usenet
Post by Dr. Dimm
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ne prendo atto. :)
Ma, in sostanza, la domanda era: e' possibile autocertificare le
proprie mail tramite un qualche sofware di autenticazione anziche'
utilizzare una casella di posta certificata?
PGP era solo un esempio a caso.
E comunque, ho come la _vaghissima_ senzazione che la risposta sia NO.
Tnx
Yes, per certificare una mail puoi utilizzare la cosiddetta "firma
qualificata" contenuta nella CNS (Carta Nazionale dei Servizi) o
equivalente token USB disponibile presso uno qualsiasi dei certificatori
accreditati dal CNIPA a patto che il tuo client mail supporti la firma
elettronica attraverso un dispositivo di sicurezza (Thunderbird lo fa).
Nota che con la suddetta è anche possibile firmare il singolo file e
inviarlo come allegato in formato .p7m
Si, ma a che pro?
Anche seguendo la giustissima procedura descritta, il destinatario
potrebbe semplicemente non riconoscere l'invio della mail...
E' proprio per questo che nasce la PEC, per dare un valore legale
all'invio di una email...
usenet
2009-11-03 10:10:02 UTC
Permalink
Post by Barabba
Post by usenet
Post by Dr. Dimm
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ne prendo atto. :)
Ma, in sostanza, la domanda era: e' possibile autocertificare le
proprie mail tramite un qualche sofware di autenticazione anziche'
utilizzare una casella di posta certificata?
PGP era solo un esempio a caso.
E comunque, ho come la _vaghissima_ senzazione che la risposta sia NO.
Tnx
Yes, per certificare una mail puoi utilizzare la cosiddetta "firma
qualificata" contenuta nella CNS (Carta Nazionale dei Servizi) o
equivalente token USB disponibile presso uno qualsiasi dei
certificatori accreditati dal CNIPA a patto che il tuo client mail
supporti la firma elettronica attraverso un dispositivo di sicurezza
(Thunderbird lo fa).
Nota che con la suddetta è anche possibile firmare il singolo file e
inviarlo come allegato in formato .p7m
Si, ma a che pro?
Anche seguendo la giustissima procedura descritta, il destinatario
potrebbe semplicemente non riconoscere l'invio della mail...
E' proprio per questo che nasce la PEC, per dare un valore legale
all'invio di una email...
Esattamente, io rispondevo alla domanda sul come certificare le proprie
mail, che non ha nulla a che vedere con la "ricevuta di ritorno" per cui
è stata creata la PEC.

L'ideale infatti è utilizzarle entrambe (PEC + Firma Qualificata) in
questo modo si certifica sià l'identità del mittente (FQ) sia
l'effettivo invio (PEC) questo per dare la garanzia ad entrambe le
parti, il ricevente ha la certezza che la mail proviene dal mittente
(firmatario) ed il mittente ha la prova legale d'aver inviato la mail
nei tempi certificati dalla TSA.
whiplash
2009-11-03 23:36:16 UTC
Permalink
Post by usenet
Esattamente, io rispondevo alla domanda sul come certificare le proprie
mail, che non ha nulla a che vedere con la "ricevuta di ritorno" per cui
è stata creata la PEC.
Beh, cosa impedisce di configurare un MTA per implementare anche
le funzioni di "ricevuta di ritorno"?
Le RFC relative ci sono, in fondo...
Francesco Potortì
2009-11-02 13:34:09 UTC
Permalink
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Wow! Tu sì che te ne intendi :)
whiplash
2009-11-03 23:31:29 UTC
Permalink
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ma non diciamo assurdità.
E' semplicemente basato su un modello di trust differente da
quello che certi cartelli tanto amano.
usenet
2009-11-04 00:13:34 UTC
Permalink
Post by whiplash
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ma non diciamo assurdità.
E' semplicemente basato su un modello di trust differente da
quello che certi cartelli tanto amano.
Scusa, ma tu il passaporto, la carta d'identità o la patente te li fai
rilasciare rispettivamente da questura, comune, motorizzazione o te li
stampi in casa per evitare i cartelli?

Ti sembra sensato che qualcuno possa auto-certificarsi facendosi
accreditare dall'amico..

Certo tanto in Italia siamo tutti bravi, belli, buoni e onesti, la mafia
non esiste..

Quindi secondo te una firma PGP può avere lo stesso valore legale di una
firma qualificata rilasciata "esclusivamente" su token o smart-card?
whiplash
2009-11-04 01:13:58 UTC
Permalink
Post by usenet
Post by whiplash
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ma non diciamo assurdità.
E' semplicemente basato su un modello di trust differente da quello che
certi cartelli tanto amano.
Scusa, ma tu il passaporto, la carta d'identità o la patente te li fai
rilasciare rispettivamente da questura, comune, motorizzazione o te li
stampi in casa per evitare i cartelli?
Paragone assolutamente insostenibile.
Da un lato c'è uno Stato, dall'altro un cartello.
E' chiara la differenza, credo.
By the way, esistono paesi non esattamente di poco conto in cui
non esiste neanche il concetto di carta d'identità e in cui, comunque,
procurarsi un documento di identità è operazione assai banale...analogia
bocciata.
Post by usenet
Ti sembra sensato che qualcuno possa auto-certificarsi facendosi
accreditare dall'amico..
E' un modello di trust, come ho già detto.
E sì, ls chiavi firmate da una ristretta cerchia le metto in trust
incondizionato.
Post by usenet
Certo tanto in Italia siamo tutti bravi, belli, buoni e onesti, la mafia
non esiste..
Vuoi che ti racconti come è facile farsi firmare un certificato
SSL con dei controlli che sono, francamente, risibili, da alcune
CA accreditate?
O di alcuni incidenti accaduti in passato a Verisign?
O delle discutibili implementazioni del chaining fatte a suo
tempo da Microsoft?
O di implementazioni proprietarie di crittografia sui cui reali contenuti
poco si sa e che, con probabilità non esattamente pari a zero, hanno backdoor
e che però, poiche è il mercato o Gartner che lo dice, vengono utilizzate
senza tema alcuna?
Credo che siano tutte cose che conosci già, vero?
Post by usenet
Quindi secondo te una firma PGP può avere lo stesso valore legale di una
firma qualificata rilasciata "esclusivamente" su token o smart-card?
Dico che un modello di trust è un modello di trust e che affermazioni
apodittiche come "PGP non certifica né autentica un cazzo" sono
fuori luogo.
E' questione di contesto innanzitutto.
Candido
2009-11-04 22:22:33 UTC
Permalink
Post by whiplash
Dico che un modello di trust è un modello di trust e che affermazioni
apodittiche come "PGP non certifica né autentica un cazzo" sono
fuori luogo.
Però descrivono perfettamente lo stato delle cose.
--
Candido
Francesco Potortì
2009-11-05 08:30:05 UTC
Permalink
Post by Candido
Post by whiplash
Dico che un modello di trust è un modello di trust e che affermazioni
apodittiche come "PGP non certifica né autentica un cazzo" sono
fuori luogo.
Però descrivono perfettamente lo stato delle cose.
Mah. La frase è apodittica e priva di significato perché manca il
contesto. E che manchi non è casuale, mi pare: a me infatti non sembra
un tentativo di comunicare qualcosa, ma solo di iniziare una polemica.
Gabriele
2009-11-04 08:39:13 UTC
Permalink
Post by usenet
Post by whiplash
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
Ma non diciamo assurdità.
E' semplicemente basato su un modello di trust differente da
quello che certi cartelli tanto amano.
Scusa, ma tu il passaporto, la carta d'identità o la patente te li fai
rilasciare rispettivamente da questura, comune, motorizzazione o te li
stampi in casa per evitare i cartelli?
Ti sembra sensato che qualcuno possa auto-certificarsi facendosi
accreditare dall'amico..
Veramente ci son casi in cui basta portare 2 testimoni e il documento ti
viene rilasciato (se non sbaglio la C.I. al rinnovo).
Inoltre il sistema di trust per un certificato digitale non prevede "amici",
ma 1) avvocato o 2) notaio o 3) funzionario di banca.

Quindi sinceramente non vedo tanta differenza...

G.
usenet
2009-11-06 10:05:21 UTC
Permalink
Post by Gabriele
Post by usenet
Ti sembra sensato che qualcuno possa auto-certificarsi facendosi
accreditare dall'amico..
Veramente ci son casi in cui basta portare 2 testimoni e il documento ti
viene rilasciato (se non sbaglio la C.I. al rinnovo).
Inoltre il sistema di trust per un certificato digitale non prevede
"amici", ma 1) avvocato o 2) notaio o 3) funzionario di banca.
Quindi sinceramente non vedo tanta differenza...
Stai uscendo un tantino dal seminato..
i riferimenti sono chiari,
1) Certificato di firma/autenticazione rilasciato da una CA accreditata
CNIPA (non ripudiabile)
2) PGP accreditato dall'amico Fritz & Co. (nessun valore legale di
nessun genere, quindi ripudiabile)

Ora, paragonare i 2 sistemi significa evidentemente non haver compreso
come funzionano le leggi internazionali, nazionali, e l'intero sistema
messo in piedi per far funzionare una CA accreditata CNIPA, tutta la
documentazione peraltro è facilmente reperibile in rete, basterebbe
prendersi la briga di leggerla..

Quindi, non ci sono testimoni che tengano, se privo della documentazione
necessaria la RA (Registration Autority anche noti come CDRL Centri di
Registrazione Locale) ovvero l'omino che fisicamente rilascia i
certificati su token non può (per legge) emettere il certificato, pena
grane legali per violazione degli impegni contrattuali con la CA (vedere
il Manuale Operativo)

Per cui stiamo parlando da un lato di un sistema "legale" riconosciuto
dallo Stato, dall'altro di "aria fritta", che in nessun caso,
indipendentemente dal credo politico/religioso di qualche sviluppatore
potranno mai essere integrati in alcun sistema legalmente riconosciuto
dallo Stato o da altri stati appartenenti all'UE.
Parsifal
2009-11-07 11:57:12 UTC
Permalink
Stai uscendo un tantino dal seminato.. i riferimenti sono chiari,
1) Certificato di firma/autenticazione rilasciato da una CA accreditata
CNIPA (non ripudiabile)
2) PGP accreditato dall'amico Fritz & Co. (nessun valore legale di
nessun genere, quindi ripudiabile)
Mi pare che tu faccia un gran calderone tra firme elettronica, firma
elettronica qualificata, firma digitale, non repudiabilità e
caratteristiche oggettive di qualità, sicurezza, integrità e
immodificabilità.
E' come se mettessi sullo stesso piano scrittura privata, scrittura
privata autenticata, riproduzone meccanica ed atto pubblico per arrivare
a sostenere che il biglietto dell'autobus non ha alcun valore probatorio
\contrattuale perché non proviene da un pubblico ufficiale...
Ora, paragonare i 2 sistemi significa evidentemente non haver compreso
come funzionano le leggi internazionali, nazionali, e l'intero sistema
messo in piedi per far funzionare una CA accreditata CNIPA, tutta la
documentazione peraltro è facilmente reperibile in rete, basterebbe
prendersi la briga di leggerla..
Saggio consiglio, direi di iniziare con il metterlo in pratica prima di
fare affermazioni apodittiche basate sul nulla.
--
Parsifal
Parsifal
2009-11-06 11:05:38 UTC
Permalink
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
PGP è firma elettronica ex art.1, lett.q dlgs 82 del 2005, ergo ha
validità ex art.21 comma 1 del citato dlgs.
--
Parsifal
CtRiX
2009-11-06 12:21:06 UTC
Permalink
Post by Parsifal
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
PGP è firma elettronica ex art.1, lett.q dlgs 82 del 2005, ergo ha
validità ex art.21 comma 1 del citato dlgs.
si.
ma un altro requisito della PEC è la tracciabilità ( e pare che nessuno
qui se ne ricordi).

Qualcuno deve garantire che tale mail è partita il giorno X all'ora Y e
consegnata all'ora Z del giorno W, deve certificare i log, consernarli
per congruo tempo.
Parsifal
2009-11-06 12:45:14 UTC
Permalink
Post by CtRiX
Post by Parsifal
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
PGP è firma elettronica ex art.1, lett.q dlgs 82 del 2005, ergo ha
validità ex art.21 comma 1 del citato dlgs.
si.
ma un altro requisito della PEC è la tracciabilità ( e pare che nessuno
qui se ne ricordi).
PGP è firma elettronica, stop. La PEC posta certificata, stop. Si tratta
di tutt'altra cosa.
Con la PEC non puoi dimostrare che Tizio ti ha inviato un'e-mail, ma solo
che ti è arrivata la suddetta e-mail. Giuridicamente La PEC riguarda la
presunzione di conoscenza (1335 c.c.) mentre la firma elettronica
riguarda la paternità (e la non repudiabilità) del documento. DObbiamo
tenere i due aspetti ben distinti, al pari di quanto avviene con l
documentazione cartacea.
--
Parsifal
CtRiX
2009-11-06 12:49:13 UTC
Permalink
Post by Parsifal
PGP è firma elettronica, stop. La PEC posta certificata, stop. Si tratta
di tutt'altra cosa.
Con la PEC non puoi dimostrare che Tizio ti ha inviato un'e-mail, ma
solo che ti è arrivata la suddetta e-mail. Giuridicamente La PEC
riguarda la presunzione di conoscenza (1335 c.c.) mentre la firma
elettronica riguarda la paternità (e la non repudiabilità) del
documento. DObbiamo tenere i due aspetti ben distinti, al pari di quanto
avviene con l documentazione cartacea.
Te lo appoggio.
Stavo sottolineando anche io la differenza dei due strumenti.

Con la pec puoi anche dimostrare che hai inviato la mail, comunque, al
pari delle raccomandate A/R cartacee.
Altrimenti non servirebbe ad una cippa.
Roberto Tagliaferri
2009-11-06 13:05:50 UTC
Permalink
Post by CtRiX
Post by Parsifal
PGP è firma elettronica, stop. La PEC posta certificata, stop. Si tratta
di tutt'altra cosa.
Con la PEC non puoi dimostrare che Tizio ti ha inviato un'e-mail, ma
solo che ti è arrivata la suddetta e-mail. Giuridicamente La PEC
riguarda la presunzione di conoscenza (1335 c.c.) mentre la firma
elettronica riguarda la paternità (e la non repudiabilità) del
documento. DObbiamo tenere i due aspetti ben distinti, al pari di quanto
avviene con l documentazione cartacea.
Te lo appoggio.
Stavo sottolineando anche io la differenza dei due strumenti.
Con la pec puoi anche dimostrare che hai inviato la mail, comunque, al
pari delle raccomandate A/R cartacee.
Altrimenti non servirebbe ad una cippa.
domandina..
La raccomandata certifica solo l'invio e quindi è cosa buona e giusta
inviare direttamente il plico senza busta (altrimenti chiunque potrebbe
comunque dire che è arrivata una busta vuota).
La PEC come si configura?
E' implicita nel protocollo il controllo sul testo?
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
mathom
2009-11-06 14:53:53 UTC
Permalink
Post by Roberto Tagliaferri
La raccomandata certifica solo l'invio e quindi è cosa buona e giusta
inviare direttamente il plico senza busta (altrimenti chiunque potrebbe
comunque dire che è arrivata una busta vuota).
La PEC come si configura?
E' implicita nel protocollo il controllo sul testo?
Assolutamente no; ma a mio avviso (di non tecnico informatico)
sarà più difficile disconoscere il contenuto di un'email certificata
(anche se non firmato digitalmente) rispetto a quanto, in astratto,
potrebbe farsi per il contenuto di una lettera raccomandata.
Qualche tecnico mi conforti o mi smentisca...

m.
Parsifal
2009-11-06 17:59:12 UTC
Permalink
Post by Roberto Tagliaferri
domandina..
La raccomandata certifica solo l'invio e quindi è cosa buona e giusta
inviare direttamente il plico senza busta (altrimenti chiunque potrebbe
comunque dire che è arrivata una busta vuota). La PEC come si configura?
E' implicita nel protocollo il controllo sul testo?
Ho fatto una prova con la mia PEC, (molto veloce e mio su mio, quindi da
prendere con le molle) ed ho appurato che la ricevuta di consegna è un
messaggio con firma digitale e contenente in allegato il messaggio
originale. Ora questo *dovrebbe* dimostrare che l'allegato non è stato
modificato dato che la firma digitale dell'e-mail dovrebbe comprendere
anche l'allegato (o sbaglio?).
--
Parsifal
Andrea
2009-11-06 21:40:25 UTC
Permalink
Post by Parsifal
Ho fatto una prova con la mia PEC, (molto veloce e mio su mio, quindi da
prendere con le molle) ed ho appurato che la ricevuta di consegna è un
messaggio con firma digitale e contenente in allegato il messaggio
originale. Ora questo *dovrebbe* dimostrare che l'allegato non è stato
modificato dato che la firma digitale dell'e-mail dovrebbe comprendere
anche l'allegato (o sbaglio?).
Sei corretto, infatti si pone il problema del contenuto perché la
legislazione impone la conservazione della sola firma per il gestore
della PEC.

Quì si apre un altro tema sul fatto di come non è banale conservare un
messaggio di PEC. Va conservato elettronicamente ed integro.

AndreA
usenet
2009-11-07 07:35:02 UTC
Permalink
Post by Andrea
Post by Parsifal
Ho fatto una prova con la mia PEC, (molto veloce e mio su mio, quindi da
prendere con le molle) ed ho appurato che la ricevuta di consegna è un
messaggio con firma digitale e contenente in allegato il messaggio
originale. Ora questo *dovrebbe* dimostrare che l'allegato non è stato
modificato dato che la firma digitale dell'e-mail dovrebbe comprendere
anche l'allegato (o sbaglio?).
Sei corretto, infatti si pone il problema del contenuto perché la
legislazione impone la conservazione della sola firma per il gestore
della PEC.
Quì si apre un altro tema sul fatto di come non è banale conservare un
messaggio di PEC. Va conservato elettronicamente ed integro.
AndreA
http://www.pec.it/GuideFilmate.aspx#

Vedere "Backup Messaggio" per il proprio client di posta.
Candido
2009-11-08 17:05:07 UTC
Permalink
Post by Roberto Tagliaferri
La PEC come si configura?
Certifica spedizione e ricezione. Come una racc. A/R.
Post by Roberto Tagliaferri
E' implicita nel protocollo il controllo sul testo?
Il destinatario può controllare che non sia stato modificato, se è
questo che intendi.
--
Candido
usenet
2009-11-07 07:56:57 UTC
Permalink
Post by Parsifal
Post by usenet
PGP è una cagata che non certifica nè autentica un cazzo!
PGP è firma elettronica ex art.1, lett.q dlgs 82 del 2005, ergo ha
validità ex art.21 comma 1 del citato dlgs.
???????????

q. firma elettronica: l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica;

Praticamente un hash MD5/SHA1

Forse intendevi dire "firma digitale".. peccato che la definizione sia

s. firma digitale: un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi crittografiche, una pubblica e una
privata, correlate tra loro, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza e
l'integrità di un documento informatico o di un insieme di documenti
informatici;

Ma faccio notare che è ben chiaro il termine "qualificata" ch efa
riferimento a:

r. firma elettronica qualificata: la firma elettronica ottenuta
attraverso una procedura informatica che garantisce la connessione
univoca al firmatario, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai quali si
riferisce in modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un certificato qualificato
e realizzata mediante un dispositivo sicuro per la creazione della firma;

Ergo: PGP è una cagata che non certifica nè autentica un cazzo!
Parsifal
2009-11-07 11:43:07 UTC
Permalink
Post by usenet
q. firma elettronica: l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica;
Praticamente un hash MD5/SHA1
Esatto, la lettera q indica dall'hash in su quindi anche la firma
elettronica apposta con PGP. Infatti IMHO si è trattato di un errore nel
tradurre "digital signature".
Post by usenet
Forse intendevi dire "firma digitale".. peccato che la definizione sia
Assolutamente no, altrimenti avrei scritto firma digitale ed avrei citato
la ettera S, non credi?
Post by usenet
Ma faccio notare che è ben chiaro il termine "qualificata" ch efa
Proprio per questa ragione PGP, non è firma digitale, ma non mi pare sia
stato da me affermato.
Post by usenet
Ergo: PGP è una cagata che non certifica nè autentica un cazzo!
Ergo insisti nello sbagliare e per perseverare nell'errore facendo
affermazioni apodittice, con l'aggravante di non aver nemmeno letto
quello che ho scritto.

Se magari tu partissi dall'idea che uno ha qualche vaga idea di cosa stia
parlando capiresti che se ho scritto che PGP è una *FIRMA ELETTRONICA*
intendevo proprio FIRMA ELETTRONICA altrimenti avrei scritto "FIRMA
DIGITALE".

PGP è un dispositivo di firma elettronica in quanto si tratta di un
insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di
identificazione informatica.
Certo, la definizione si può applicare anche ad un hash, ma ciò non
toglie che anche PGP sia una firma elettronica.
Questo significa che un documento firmato con PGP non sarà oggetto di
valutazione ex art. 20 comma 1 ed 1 bis, ma ex art. 21 comma 1.

Detto in parole povere, se ho un documento è firmato con PGP il giudice
sarà tenuto a tenere conto delle sue caratteristiche di sicurezza,
affidabilità ed integrità nella valutazione del documento.

Se poi vuoi continuare a sostenere che un .txt nudo e crudo ha le stesse
caratteristiche di sicurezza, affidabilità ed integrità dello stesso .txt
firmato con PGP accomodati pure, ma mi perdonerai se mi viene da ridere.
--
Parsifal
usenet
2009-11-08 08:30:52 UTC
Permalink
Post by Parsifal
Se poi vuoi continuare a sostenere che un .txt nudo e crudo ha le stesse
caratteristiche di sicurezza, affidabilità ed integrità dello stesso .txt
firmato con PGP accomodati pure, ma mi perdonerai se mi viene da ridere.
Ciò che ti sfugge è il fatto che la "firma elettronica" ovvero l'hash
non ha nulla a che fare con la "certificazione" sia che venga ottenuta
con un bel "openssl dgst -sha1 nomefile.txt" o con altri metodi dimostra
"SOLO" che il file in questione non ha subito alterazioni che è molto
diverso dal dimostrarne anche l'autenticità (paternità).

Un file completo di hash o firma PGP non dimostra che sia stato creato
dall'utente X in quanto PGP non ha le caratteristiche di una firma
qualificata (essendo basato sul Web of Trust), il ché si traduce che tu
non puoi legalmente dimostrare che la "firma" apposta al file sia
realmente la mia (e qui si ricade sul princio di non-ripudio), quindi sì
dimostri che il file in questione è un "originale" ma non puoi
dimostrare chi lo ha realmente prodotto (autore) il ché ci riporta
all'inutilità di PGP.

In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
per il semplice fatto che il "certificatore" deve essere
obbligatoriamente un "ente-struttura" esterno che garantisce tutte le
parti coinvolte nella comunicazione, e questo lo si può ottenere
esclusivamente con certificati di tipo x509 emessi da una CA unita a
rigidissime regole di emissione e HSM/token/smart-card sulle quali
inserire chiavi private e certificati, tutto il resto è aria fritta.
Parsifal
2009-11-08 15:37:24 UTC
Permalink
Post by usenet
Ciò che ti sfugge è il fatto che la "firma elettronica" ovvero l'hash
non ha nulla a che fare con la "certificazione" sia che venga ottenuta
con un bel "openssl dgst -sha1 nomefile.txt" o con altri metodi dimostra
"SOLO" che il file in questione non ha subito alterazioni che è molto
diverso dal dimostrarne anche l'autenticità (paternità).
No, ciò che sfugge a te è che stiamo parlando di caratteristiche di
sicurezza, affidabilità ed integrità di un documento. La disciplina della
firma elettronica non è tesa solo "dimostrarne la paternità" esattamente
come la disciplina probatoria in tema di documenti non si limita,
semplicisticamente, soltanto a valutare la loro paternità.
D'altra parte, per un hash si possono vincere o perdere processi.
Post by usenet
Un file completo di hash o firma PGP non dimostra che sia stato creato
dall'utente X in quanto PGP non ha le caratteristiche di una firma
qualificata (essendo basato sul Web of Trust), il ché si traduce che tu
non puoi legalmente dimostrare che la "firma" apposta al file sia
realmente la mia (e qui si ricade sul princio di non-ripudio), quindi sì
dimostri che il file in questione è un "originale" ma non puoi
dimostrare chi lo ha realmente prodotto (autore) il ché ci riporta
all'inutilità di PGP.
Il problema è che la disciplina non si ferma al solo principio del non
ripudio, ma tiene conto di altre caratteristiche.
Che poi PGP non sia un sistema di firma digitale è vero, ma questo
nessuno l'ha mai affermato, ma d'altra parte un cardiochirurgo non è,
probabilmente, la persona più adatta a cui richiedere un intervento di
neurochirurgia, ma questo non significa non sia un medico o che sia, per
utilizzare le tue parole, "una cagata che non certifica nè autentica un
cazzo".
--
Parsifal
Francesco Potortì
2009-11-08 16:58:39 UTC
Permalink
Post by usenet
In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
stato detto il contrario.
Post by usenet
tutto il resto è aria fritta.
Sembra che tu ce l'abbia con qualcuno o qualcosa...
usenet
2009-11-11 07:57:58 UTC
Permalink
Post by Francesco Potortì
Post by usenet
In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
stato detto il contrario.
Post by usenet
tutto il resto è aria fritta.
Sembra che tu ce l'abbia con qualcuno o qualcosa...
Rispondo con una domanda..

Conosci il "mantra" dello sviluppatore Web (e di qualsiasi cosa abbia a
che fare con la rete)..

"MAI fidarsi della rete, MAI fidarsi della rete, MAI fidarsi della rete"

Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
fiducia" tra gli utenti.
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".

Quando si progetta un sistema che deve funzionare indipendntemente dalla
conoscenza/fiducia reciproca tra le parti come un sistema PEC o di
"firma qualificata" è ovvio che non è possibile utilizzare uno strumento
simile.
Francesco Potortì
2009-11-11 09:41:09 UTC
Permalink
Post by usenet
Post by Francesco Potortì
Post by usenet
In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
stato detto il contrario.
Post by usenet
tutto il resto è aria fritta.
Sembra che tu ce l'abbia con qualcuno o qualcosa...
Rispondo con una domanda..
Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
fiducia" tra gli utenti.
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".
Funziona anche per grandi reti di persone, il web of trust è pensato
proprio per quello. Per conoscenza diretta è tutto molto più semplice,
non c'è bisogno di un web of trust.
Post by usenet
Quando si progetta un sistema che deve funzionare indipendntemente dalla
conoscenza/fiducia reciproca tra le parti come un sistema PEC o di
"firma qualificata" è ovvio che non è possibile utilizzare uno strumento
simile.
Come ho scritto sopra: «credo sia ovvio a chiunque legge qui, né d'altra
parte è mai stato detto il contrario».
m***@gmail.com
2016-06-18 10:25:30 UTC
Permalink
Post by Francesco Potortì
Post by usenet
Post by Francesco Potortì
Post by usenet
In soldoni quindi non si può sostituire la PEC con altro metodo d'invio
Questo credo sia ovvio a chiunque legge qui, né d'altra parte è mai
stato detto il contrario.
Post by usenet
tutto il resto è aria fritta.
Sembra che tu ce l'abbia con qualcuno o qualcosa...
Rispondo con una domanda..
Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
fiducia" tra gli utenti.
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".
Rispolvero questo tread/flame, per dire anche la mia su PGP: la soluzione sarebbe semplice; far si che nel "Web of trust" ci entri anche un'autorità pubblica. Prevedere una legge che ad esempio consenta la possibilità di recarsi all'ufficio anagrafe del comune per richiedere di farsi identificare, documento alla mano, e certificare la propria chiave OpenPGP. Più magari un key server dove vengano depositate queste chiavi. Molto semplice e sicuramente meno oneroso per la comunità.
Post by Francesco Potortì
Funziona anche per grandi reti di persone, il web of trust è pensato
proprio per quello. Per conoscenza diretta è tutto molto più semplice,
non c'è bisogno di un web of trust.
Post by usenet
Quando si progetta un sistema che deve funzionare indipendntemente dalla
conoscenza/fiducia reciproca tra le parti come un sistema PEC o di
"firma qualificata" è ovvio che non è possibile utilizzare uno strumento
simile.
Come ho scritto sopra: «credo sia ovvio a chiunque legge qui, né d'altra
parte è mai stato detto il contrario».
Claiudio
2016-07-11 12:04:59 UTC
Permalink
Post by m***@gmail.com
Post by usenet
Su cosa si basa PGP.. sul "Web of trust" ovvero sul creare una "rete di
fiducia" tra gli utenti.
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".
Rispolvero questo tread/flame, per dire anche la mia su PGP: la soluzione sarebbe semplice; far si che nel "Web of trust" ci entri anche un'autorità pubblica. Prevedere una legge che ad esempio consenta la possibilità di recarsi all'ufficio anagrafe del comune per richiedere di farsi identificare, documento alla mano, e certificare la propria chiave OpenPGP. Più magari un key server dove vengano depositate queste chiavi. Molto semplice e sicuramente meno oneroso per la comunità.
A distanza di un mese (soprattutto dopo un key signing party svolto
sulle prealpi venete ;-) ), rispolvero anche io:
la soluzione proposta riporterebbe però a qualcosa di simile ad una CA
gestita dallo stato, ritornando ad avere i "problemi" che si vorrebbero
eliminare con la WoT.

Candido
2009-11-11 20:44:09 UTC
Permalink
Post by usenet
Il ché funziona benissimo fintanto che gli "utenti" si conoscono/fidano
uno dell'altro, quindi funziona benissimo in un ambiente ristretto come
un università, un azienda o un relativamente piccolo gruppo di "amici".
Ma potrebbe funzionare anche per un'isituzione come, ad esempio, un
ordine professionale.
--
Candido
Sparrow®
2009-11-11 20:59:13 UTC
Permalink
Post by usenet
un università, un azienda
Strano. Solitamente si apostrofano, erroneamente, termini maschili.
Ora succede il contrario. :)
Continua a leggere su narkive:
Risultati di ricerca per 'PEC: domanda da niubbo' (newsgroup and mailinglist)
49
risposte
Progresso all'italiana: ancora giù nella classifica del benessere mondiale
iniziato 2015-04-13 07:45:56 UTC
it.arti.trash
31
risposte
[RFC] Abitudini
iniziato 2003-10-29 00:15:36 UTC
it.arti.musica.strumenti.chitarra
133
risposte
indecisione tra android e windows
iniziato 2011-12-29 09:35:12 UTC
it.arti.trash
43
risposte
La mia proposta di soluzione contro spam e virus
iniziato 2016-06-02 09:00:33 UTC
it.discussioni.consumatori.tutela
142
risposte
chiuso megaupload
iniziato 2012-01-20 08:53:03 UTC
it.arti.trash
Risultati di ricerca per 'PEC: domanda da niubbo' (Domande e Risposte)
4
risposte
Temperatura PECI del core della CPU MacBook Air
iniziato 2017-02-14 23:26:23 UTC
apple
1
rispondi
Perché vengo scioccato da uno scaldabagno?
iniziato 2017-02-27 16:52:10 UTC
fai da te
3
risposte
Film / serie TV con una scena di poltiglia nera appuntita che cresce da un contenitore di laboratorio?
iniziato 2018-11-05 02:34:38 UTC
sci-fi
1
rispondi
C'è qualche rilevanza sullo schermo o prova che Good Omens sia narrato da Dio?
iniziato 2020-05-21 00:27:41 UTC
film
7
risposte
modulando da Sol maggiore a Sol # maggiore
iniziato 2017-06-28 15:14:19 UTC
musica
Discussioni interessanti ma non correlate
21
risposte
Come posso superare i requisiti di "anni di esperienza" quando mi candido alle posizioni?
iniziato 2012-05-29 12:55:49 UTC
8
risposte
Reclutare persone che mantengono e migliorano, non solo inseguono il nuovo e brillante
iniziato 2018-12-24 12:01:01 UTC
11
risposte
La società non ha presentato una richiesta di visto in modo tempestivo. Mi chiede di lavorare dall'estero, ma vuole che mi tagli lo stipendio
iniziato 2019-05-31 13:21:24 UTC
11
risposte
Come posso trattare con un manager violento che mi sminuisce pubblicamente?
iniziato 2013-08-04 22:21:57 UTC
5
risposte
Come posso evitare la discriminazione nei miei confronti senza invocare il mio status di classe protetta
iniziato 2017-08-12 00:36:37 UTC
Loading...