Re: firma digitale

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: firma digitale
From: Paolo Sala <piviul@riminilug.it>
Date: Fri, 02 Jul 2010 14:39:04 +0200
Message-id: <[🔎] 4C2DDDE8.2020406@riminilug.it>
In-reply-to: <[🔎] AANLkTim7-YzdsNnNbq_Q5huxQ0gSOarinh6VYJNqR_rm@mail.gmail.com>
References: <[🔎] 4C2DBC66.40708@riminilug.it> <[🔎] AANLkTim7-YzdsNnNbq_Q5huxQ0gSOarinh6VYJNqR_rm@mail.gmail.com>

Fabrizio Mancini scrisse in data 02/07/2010 14:01:
> non ho ben capito a quale scopo ti serve la firma digitale, ma se ti
> serve una firma digitale certificata, cioè che sia riconosciuta anche
> all'esterno della tua rete di fiducia, allora ti serve una firma
> digitale secondo le norme cnipa (es. la firma digitale certificata è
> l'unica valida alternativa alla firma autografa).
>   
Bhé, per il governo italiano...

> [...]
> A tal proposito sono nate le CA (Certification Authority), le quali
> più o meno discutibilmente, si assumono la responsabilità di
> certificare chi è colui che richiede il certificato di firma digitale.
>   
Si, infatti mi ero posto il problema e credo anch'io che qui sia il
punto da approfondire... Ma in fondo ricevere da una CA una coppia di
chiavi o un macchinetto (usb o smartcard...) non è la stessa cosa? Certo
dipende dalla CA... In ogni caso a me sembra che con gpg se si abilita
la richiesta di una passphrase per generare la firma (oltre ovviamente
la necessaria chiave privata) si garantisca meglio dell'infrastruttura
messa in piedi dal cnipa in cui basta possedere il macchinetto... certo
rimane il punto debole della Certification Authority.

> Quindi, più che sulla questione tecnica, ti suggerisco di approfondire
> tale discorso all'interno della tua azienda, con il tuo ufficio legale
> o con qualche legale competente in materia che segue la tua azienda e
> che conosca i vostri processi.
> Una volta stabilito i posti più impensabili dove potrebbero finire i
> vostri documenti, ovvero anche in tribunale o meno, hai un punto di
> partenza per ragionare sull'infrastruttura della quale ti dovrai
> dotare.
>   
In effetti bisogna ragionare anche in questi termini...

> Es. è mai successo che un paziente vi abbia fatto causa per dei
> docuemnti da voi prodotti secondo lui sbagliati? i vostri documenti
> sono mai finiti in mano ad un giudice?
>   
No per fortuna no e non dovrebbe capitare... ma non si sa mai.

> Una volta chiariti questi aspetti, saprai se dovrai inserire
> all'interno del tuo software una firma digitale qualificata oppure una
> costruita sulla tua rete di fiducia.
> Per rispondere alla tua domanda finale, credo tu debba dare fiducia al
> tuo certificato di firma digitale, ovvero tu devi dire a gpg che ti
> fidi di quel certificato di firma. Una volta fatto ciò dovresti
> poterla verificare.
> Con le CA invece tu demandi alla CA la verifica della firma, e saranno
> loro a dirti se ti puoi fidare di quel certificato, se è stato
> revocato, se è scaduto ecc. ecc.
> Ma la firma l'hai fatta detached o attached?
>   
Premesso che non ho fatto ancora nulla pensavo detached. Ho visto però
che qualcuno ha fatto qualcosa inglobato nel documento stesso che sembra
essere interessante: http://www.sinadura.net/... anche se è quasi tutto
in spagnolo.

Ciao e mille grazie davvero Fabrizio

Piviul

Reply to:

Follow-Ups:
- Re: firma digitale
  - From: Fabrizio Mancini <mr.file@gmail.com>

References:
- firma digitale
  - From: Paolo Sala <piviul@riminilug.it>
- Re: firma digitale
  - From: Fabrizio Mancini <mr.file@gmail.com>

Prev by Date: Re: firma digitale
Next by Date: Re: firma digitale
Previous by thread: Re: firma digitale
Next by thread: Re: firma digitale
Index(es):
- Date
- Thread