Il 30/01/10, Roberto Resoli<roberto.resoli@xxxxxxxxx> ha scritto: > Il 30/01/10, gdo@xxxxxxxxx<gdo@xxxxxxxxx> ha scritto: > ... > > Non sapevo che la legge permettesse di delegare la conservazione delle > > chiavi crittografiche a terzi! Avevo compreso che dovesse essere > gelosamente > > conservato dal titolare, unico soggetto a conoscenza delle password > > diaccesso al dispositivo e nemmeno lui in possesso della chiave privata. > > > già. Ma le ultime regole sulla firma digitale http://www.cnipa.gov.it/site/_contentfiles/01386600/1386656_DPCM_30marzo2009.pdf Anche la modifica all'art 10, che prescriveva l'obbligo di visualizzzazione del documento da firmare, presta il fianco a molte critiche: http://www.interlex.it/docdigit/regtecn09.htm "In ogni caso, dal contesto si può evincere che le nuove regole si riferiscono alla firma digitale. "Nuove" per modo di dire, perché buona parte del testo riprende le regole precedenti. Con qualche variazione. La più rilevante è nell'art. 10 "Verifica delle firme digitali", nel quale manca la fondamentale prescrizione che il documento deve essere presentato "chiaramente e senza ambiguità" a chi verifica la firma. La norma era presente nelle regole del '99, il cui art. 10 recitava al primo comma: Gli strumenti e le procedure utilizzate per la generazione, l’apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce e richiedere conferma della volontà di generare la firma. La disposizione era già scomparsa nelle seconda edizione delle regole: semplicemente, si era scoperto che il software di qualche certificatore non faceva vedere il documento sottoposto alla verifica. Ma, invece di imporre il rispetto di una norma fondamentale per evitare facili imbrogli, si era eliminata la norma stessa." La mia impressione è che si faccia di tutto per agevolare procedure di firma massiva, di cui l'uso degli hsm e l'abolizione dell'obbligo di visualizzazione sembrano corollari. Per lo meno si differenziano le chiavi da usare per tali procedure, da quelle usate in altri contesti (art.4). Ma i dubbi rimangono. rob -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx