Qindi bastano certificati X509 firmati da un'autorità riconosciuta, in
sintesi.

Si, ma a che pro?
Anche seguendo la giustissima procedura descritta, il destinatario
potrebbe semplicemente non riconoscere l'invio della mail...
E' proprio per questo che nasce la PEC, per dare un valore legale
all'invio di una email...

Paragone assolutamente insostenibile.
Da un lato c'è uno Stato, dall'altro un cartello.
E' chiara la differenza, credo.
By the way, esistono paesi non esattamente di poco conto in cui
non esiste neanche il concetto di carta d'identità e in cui, comunque,
procurarsi un documento di identità è operazione assai banale...analogia
bocciata.
E' un modello di trust, come ho già detto.
E sì, ls chiavi firmate da una ristretta cerchia le metto in trust
incondizionato.
Vuoi che ti racconti come è facile farsi firmare un certificato
SSL con dei controlli che sono, francamente, risibili, da alcune
CA accreditate?
O di alcuni incidenti accaduti in passato a Verisign?
O delle discutibili implementazioni del chaining fatte a suo
tempo da Microsoft?
O di implementazioni proprietarie di crittografia sui cui reali contenuti
poco si sa e che, con probabilità non esattamente pari a zero, hanno backdoor
e che però, poiche è il mercato o Gartner che lo dice, vengono utilizzate
senza tema alcuna?
Credo che siano tutte cose che conosci già, vero?
Dico che un modello di trust è un modello di trust e che affermazioni
apodittiche come "PGP non certifica né autentica un cazzo" sono
fuori luogo.
E' questione di contesto innanzitutto.

Veramente ci son casi in cui basta portare 2 testimoni e il documento ti
viene rilasciato (se non sbaglio la C.I. al rinnovo).
Inoltre il sistema di trust per un certificato digitale non prevede "amici",
ma 1) avvocato o 2) notaio o 3) funzionario di banca.

Quindi sinceramente non vedo tanta differenza...

G.

PGP è firma elettronica, stop. La PEC posta certificata, stop. Si tratta
di tutt'altra cosa.
Con la PEC non puoi dimostrare che Tizio ti ha inviato un'e-mail, ma solo
che ti è arrivata la suddetta e-mail. Giuridicamente La PEC riguarda la
presunzione di conoscenza (1335 c.c.) mentre la firma elettronica
riguarda la paternità (e la non repudiabilità) del documento. DObbiamo
tenere i due aspetti ben distinti, al pari di quanto avviene con l
documentazione cartacea.

Esatto, la lettera q indica dall'hash in su quindi anche la firma
elettronica apposta con PGP. Infatti IMHO si è trattato di un errore nel
tradurre "digital signature".
Assolutamente no, altrimenti avrei scritto firma digitale ed avrei citato
la ettera S, non credi?
Proprio per questa ragione PGP, non è firma digitale, ma non mi pare sia
stato da me affermato.
Ergo insisti nello sbagliare e per perseverare nell'errore facendo
affermazioni apodittice, con l'aggravante di non aver nemmeno letto
quello che ho scritto.

Se magari tu partissi dall'idea che uno ha qualche vaga idea di cosa stia
parlando capiresti che se ho scritto che PGP è una *FIRMA ELETTRONICA*
intendevo proprio FIRMA ELETTRONICA altrimenti avrei scritto "FIRMA
DIGITALE".

PGP è un dispositivo di firma elettronica in quanto si tratta di un
insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di
identificazione informatica.
Certo, la definizione si può applicare anche ad un hash, ma ciò non
toglie che anche PGP sia una firma elettronica.
Questo significa che un documento firmato con PGP non sarà oggetto di
valutazione ex art. 20 comma 1 ed 1 bis, ma ex art. 21 comma 1.

Detto in parole povere, se ho un documento è firmato con PGP il giudice
sarà tenuto a tenere conto delle sue caratteristiche di sicurezza,
affidabilità ed integrità nella valutazione del documento.

Se poi vuoi continuare a sostenere che un .txt nudo e crudo ha le stesse
caratteristiche di sicurezza, affidabilità ed integrità dello stesso .txt
firmato con PGP accomodati pure, ma mi perdonerai se mi viene da ridere.