[Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare

  • From: Roberto Resoli <roberto.resoli@xxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Sat, 30 Jan 2010 14:55:09 +0100

Il 30/01/10, Roberto Resoli<roberto.resoli@xxxxxxxxx> ha scritto:
> Il 30/01/10, gdo@xxxxxxxxx<gdo@xxxxxxxxx> ha scritto:
>  ...
> >  Non sapevo che la legge permettesse di delegare la conservazione delle
>  > chiavi crittografiche a terzi! Avevo compreso che dovesse essere 
> gelosamente
>  > conservato dal titolare, unico soggetto a conoscenza delle password
>  > diaccesso al dispositivo e nemmeno lui in possesso della chiave privata.
>
>
> già. Ma le ultime regole sulla firma digitale

http://www.cnipa.gov.it/site/_contentfiles/01386600/1386656_DPCM_30marzo2009.pdf

Anche la modifica all'art 10,  che prescriveva l'obbligo di
visualizzzazione del documento da firmare, presta il fianco a molte
critiche:
http://www.interlex.it/docdigit/regtecn09.htm
"In ogni caso, dal contesto si può evincere che le nuove regole si
riferiscono alla firma digitale. "Nuove" per modo di dire, perché
buona parte del testo riprende le regole precedenti. Con qualche
variazione. La più rilevante è nell'art. 10 "Verifica delle firme
digitali", nel quale manca la fondamentale prescrizione che il
documento  deve essere presentato "chiaramente e senza ambiguità" a
chi verifica la firma. La norma era presente nelle regole del '99, il
cui art. 10 recitava al primo comma: Gli strumenti e le procedure
utilizzate per la generazione, l’apposizione e la verifica delle firme
digitali debbono presentare al sottoscrittore, chiaramente e senza
ambiguità, i dati a cui la firma si riferisce e richiedere conferma
della volontà di generare la firma.

La disposizione era già scomparsa nelle seconda edizione delle regole:
semplicemente, si era scoperto che il software di qualche
certificatore non faceva vedere il documento sottoposto alla verifica.
Ma, invece di imporre il rispetto di una norma fondamentale per
evitare facili imbrogli, si era eliminata la norma stessa."

La mia impressione è che si faccia di tutto per agevolare procedure di
firma massiva, di cui l'uso degli hsm e l'abolizione dell'obbligo di
visualizzazione sembrano corollari.

Per lo meno si differenziano le chiavi da  usare per tali procedure,
da quelle usate in altri contesti (art.4). Ma i dubbi rimangono.

rob
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 01-2010