Il monopolio della SIAE

di Aaron Brancotti: non rischiate inutilmente copiando software in maniera illegale. Andate a rubare un originale. La pena è analoga, forse minore


Web – Poichè mi si è laureato lo Yanez e posso quindi contare su un valido e soprattutto gratuito parere legale, ultimamente mi sto togliendo lo sfizio di svolgere nel magico campo della giurisprudenza l’analogo di una delle attività classiche dello sviluppo del software, ovvero il beta testing. Praticamente si tratta di trovare i bug, ovvero errori e malfunzionamenti vari, e segnalarli a chi di dovere. In particolare già da tempo mi ronzava in testa una domanda, tanto da giustificare la stesura di un articolo poi pubblicato su vari siti e a seguito del quale ho ricevuto molta posta: per quale motivo in USA esistono numerosi enti che si occupano della protezione dei Diritti d’Autore e in Italia invece c’è solo la SIAE? La mia preoccupazione è motivata dal fatto che i comportamenti della SIAE, in molti campi che vanno dal mancato riconoscimento di quel patrimonio dell’Umanità che va sotto il nome di Open Source fino all’arbitraria assegnazione dei proventi della propria attività, peraltro sbandierata senza pudore davanti a milioni di ascoltatori durante una storica puntata di “Reporter”, sono spesso e volentieri a dir poco opinabili. Se la SIAE non operasse in regime di monopolio, mi dicevo, forse starebbe un po’ più attenta? fatta la domanda, ecco come lo Yanez mi rispondeva:

Se non l’hai già fatto, vai a leggerti l’art.180 comma 1 della famigerata legge 633 del 1941, che taglia le gambe a qualsiasi velleità e tentativo di fare concorrenza alla SIAE.

La famigerata legge è quella, appunto, che sancisce l’accordo tra Stato Italiano (nella persona del Re Vittorio Emanuele III e del Senato e della Camera dei Fasci e delle Corporazioni) e SIAE come unico interlocutore possibile per quanto riguarda intervento, mediazione, mandato, rappresentanza e cessione per l’esercizio dei Diritti d’Autore in Italia. Al mio successivo quesito, ovvero “come cambiare questo stato di cose”, lo Yanez prontamente rispondeva:

Oh, niente, basta convincere la maggioranza dei parlamentari e dei senatori a cambiare l’articolo 180 comma 1 della legge 633, oppure se riesci a convincere Pannella potresti fargli indire un referendum abrogativo. Lui è abbastanza esperto in questo. Solo che poi devi convincere il 50% più uno degli italiani a votare si.
Per iniziare, se conosci qualche parlamentare potresti convincerlo a presentare un disegno di legge per la riforma della legge sul diritto d’autore, poi prendergli subito le misure per la bara e prenotargli un loculo al Maggiore.

Ma dopo qualche tempo scopro il sito di ASAE , che se ho ben capito è una associazione di autori, compositori, editori e altre figure professionali bistrattate e dimenticate dalla SIAE e che proprio a causa della summenzionata legge non puo’ a sua volta costituirsi come società. Ed eccolo lì, ben chiaro, nella loro home page: “(?) ? che la SIAE si occupi della riscossione dei proventi derivanti da diritto d’Autore in un regime monopolista di fatto è una palese violazione alle norme comunitarie sulla concorrenza (in particolare agli artt. 86 e 90 del Trattato CE, recepito dall’art 9 l.287/90)”. Primo bug, io segnalo. Tam tam digitale. Grazie.

Poi mi viene in mente un’altra cosa. “Yanez, quali sono le pene per il furto?”. Risposta: Per chi mi hai preso? Non mi sono mica mangiato il Codice Penale . Ma io lo so che lo Yano è tanto sarcastico quanto scrupoloso. Via mail mi risponde: Art 624, Comma 1 Codice Penale: “Furto” – Chiunque s’impossessa della cosa mobile altrui, sottraendola a chi la detiene, al fine di trarne profitto per sé o per altri è punito con la reclusione fino a tre anni e con la multa da lire sessantamila a un milione . Mi ricordo che il famoso spot pubblicitario BSA poi ritirato grazie alla denuncia di E.Somma presso l’Istituto di Autodisciplina Pubblicitaria affermava che per la copia illegale di software si rischiano fino a tre anni di reclusione e sicuramente più di un milione di multa. Lo spot venne ritirato (o meglio cambiato, in realtà è ancora in giro), ma non mi risulta che la legge sia stata modificata. Quindi: “Non rischiate inutilmente copiando software in maniera illegale. Andate a rubare un originale in un negozio di vostra fiducia. La pena è analoga, se non addirittura minore.”

Sinceramente mi sembra abbastanza assurdo. Io segnalo. Tam tam digitale. Grazie.

Ed ora l’ovvio disclaimer, affinchè io non venga ingabbiato per istigazione a delinquere e altre trenta o quaranta pene aggiuntive a scelta, che già uso Internet e quindi son pedofilo: sto scherzando! Bambini, non provate questo a casa vostra da soli, senza la supervisione di un adulto. Possibilmente il vostro avvocato o il vostro analista. Io ormai ho lo Yanez. Come analista, intendo.

Aaron Brancotti

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    raziocinio
    Vorrei raccontare una storiella (vera):Conosco un ragazzo che è stato già dietro le sbarre (tecnicamente: in stato di fermo) svariate volte. Credo che alcuni procedimenti contro di lui siano ancora aperti. Ecco il suo reato: gli hanno rubato il portafoglio con dentro la carta d'identità. Il ladro ha utilizzato la carta d'identità del suddetto ragazzo per tre anni (!) eseguendo vari negozi giuridici (dall'emissione di assegni a vuoto alla compravendita di immobili) utilizzando la carta d'identità del suddetto sfigato.Ad ogni denuncia del truffato di turno, visita più o meno cordiale delle forze dell'ordine e relativo viaggio in caserma/questura con relativi interrogatori, ecc....Se il valore di una carta d'identità rubata (furto regolarmente denunciato) è tale da rovinare (si rovinare) la vita di uno che malauguratamente dovesse lasciarsela RUBARE, quale potrebbero essere le disavventure di un cittadino qualsiasi che dovesse lasciarsi rubare la tanto "INATTACCABILE" smart card con la sua chiave privata?E se il furto della chiave privata (che come ogni ammasso di bit può essere duplicato senza perdita di possesso da parte del legittimo proprietario) dovesse avvenire dall'interno di una CA o, in qualsiasi altro modo, senza perdita di possesso della smartcard?Date un occhiata a:http://www.javacard.org/mirroring/tamper.htmlBasta per farvi venire i capelli dritti?Quello che vorrei far notare è che, per quanto sia un vantaggio in termini di efficienza, l'introduzione della FD presenta il non trascurabile rischio di essere percepita dai non addetti ai lavori come così sicura da essere sempre inattaccabile. Con conseguenti avventure kafkiane ben peggiori del racconto (vero) precedente. Se poi aggiungiamo le mire di controllo degli attori con gli errori tecnici e la credulità popolare.... Speriamo nello stellone Italiano di non essere noi le vittime (poche se le cose sono fatte bene, ma comunque il rischio esiste)...Spero di non essere troppo fuori tema...Saluti.
    • Anonimo scrive:
      Re: raziocinio
      - Scritto da: marlenus
      Se il valore di una carta d'identità rubata
      (furto regolarmente denunciato) è tale da
      rovinare (si rovinare) la vita di uno che
      malauguratamente dovesse lasciarsela RUBARE,
      quale potrebbero essere le disavventure di
      un cittadino qualsiasi che dovesse lasciarsi
      rubare la tanto "INATTACCABILE" smart card
      con la sua chiave privata?Difatti la chiave privata non dovrebbe *mai* risiedere interamente sulla smart-card. Solo una parte di essa dovrebbe stare sulla smart-card, e l'altra parte dovrebbe essere immessa manualmente (o prelevata da altro supporto) ad ogni operazione, tipo bancomat per intenderci.E la custodia delle chiavi private *non* dovrebbe essere effettuata dalle CA!Ciao.
  • Anonimo scrive:
    firma digitale?
    che prima facciano universale l'accesso in rete(tradotto la rete come servizio essenziale quindi garantito a TUTTI non le fesserie sulla flat rate).Poi, casomai, ne riparliamo.Vogliono l'e-governament? sta benissimo. Comincino i fautori del nuovo corso a fare l'infrastruttura giusta e non le solite cialtronate propagandistiche.
  • Anonimo scrive:
    Il software open-source esiste già da tempo!
    -----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1Premesso che condivido pienamente le critiche e le preoccupazioniespresse dall'autore dell'articolo, volevo precisare che,fortunatamente, un software open-source per la crittografia a chiavepubblica o asimmetrica esiste gia` da tempo.Si tratta peraltro di un programma ormai molto popolare econsolidato, che garantisce anche la totale interoperabilita` con ipiu` diffusi software per la crittografia a chiave pubblica, anchecommerciali, essendo pienamente conforme allo standard "OpenPGP".Il programma in questione si chiama "GPG" (Gnu Privacy Guard), ed e`liberamente scaricabile da qui:http://www.gnupg.org/Il software e` stato inizialmente sviluppato in Germania, con ilpieno sostegno (anche economico) del governo tedesco (dal quale ilnostro governo avrebbe molto da imparare).Pur essendo stato sviluppato inizialmente in Germania, come tutti isoftware in licenza GPL di una certa rilevanza, GPG ha ormai uncarattere transnazionale, tanto che ne esistono versioni localizzateper tutte le lingue piu` diffuse (compreso l'italiano).Sono altresi` disponibili implementazioni per varie piattaforme(comprese Unix, Linux, Windows e Mac).Per quanto attiene invece al progetto italiano menzionatonell'articolo (Raynux), non posso nascondere che, visitandone ilsito, ho provato un vivo senso di... Orrore!Nella pagina localizzata su questo link:http://www.rad.unipd.it/progetti/firma/tecnica/tecnica1.php3potrete leggere infatti una delle piu` grandi baggianate mai espressecirca l'uso della crittografia a chiave pubblica, ovvero che la"chiave privata" e` quella che si adopera per criptare il messaggio,e che la "chiave pubblica" e` quella che si adopera per decrittarlo(mentre avviene esattamente l'opposto!)Spero vivamente che si tratti soltanto di una svista (anche se e`scritto grande e grosso su un diagramma, che deve aver richiesto pureun certo tempo per essere approntato), ma e` certo che con questepremesse cascano davvero le braccia...Forse sarebbe piu` opportuno indirizzare gli sforzi dei programmatoriitaliani verso la partecipazione a progetti open-source gia`consolidati, quali GPG, piuttosto che disperderli in iniziativetraballanti e dall'incerto futuro.Concludo firmando questo articolo (con la mia chiave privata)mediante GPG, a scopo dimostrativo.Per chi volesse verificare l'interoperabilita` di qualsiasi altroprogramma OpenGPG-compliant, dovrebbe essere possibile (word-wrappingpermettendo) verificare la mia firma mediante la mia chiave pubblica,scaricabile dal keyserver:wwwkeys.us.pgp.netfacendo una ricerca con la mia email:ema_zep@tin.itSaluti,Emanuele Zeppieri.-----BEGIN PGP SIGNATURE-----Version: GnuPG v1.0.6 (MingW32) - WinPT 0.5.1Comment: For info see http://www.gnupg.orgiD8DBQE8NvRv17jtlY+O0jkRArXJAKD3G2TtvdEYZefja3HyGCoQPjeaeQCguoXxiUPNm8JV0CdN+PNiFieFRSE==0f5L-----END PGP SIGNATURE-----
    • Anonimo scrive:
      Re: Verifica OK!
      Ho appena verificato che la mia firma è perfettamente verificabile mediante un semplice copia e incolla, grazie al fatto che il sistema di pubblicazione di PI non ha introdotto word-wrap arbitrari nel mio precedente messaggio.Rimane pertanto valido l'invito a chiunque volesse provare la potenza di GPG ;-)Ciao,Emanuele Zeppieri.
    • Anonimo scrive:
      Re: Il software open-source esiste già da tempo!
      Le capacita' di GnuPG adesso (e di PGP prima) sono indubbie.Il problema e' che non fa parte dei formati "riconosciuti" per la FD da parte delle istituzioni. Certo, sarebbe stato tutto piu' facile se il formato iniziale fosse stato l'OpenPGP, molte delle critiche esperesse non avrebbero avuto modo di esistere.Ma la situazione attuale e' quella che viene presentata nell'articolo :(
    • Anonimo scrive:
      Re: Il software open-source esiste gi? da tempo!
      Grazie per l'utilissima precisazione.Non trovo per?, contrariamente a quanto affermi la versione Mac?!
      • Anonimo scrive:
        Re: Il software open-source esiste gi? da tempo!
        - Scritto da: Ivanoe
        Grazie per l'utilissima precisazione.
        Non trovo per?, contrariamente a quanto
        affermi la versione Mac?!http://macgpg.sourceforge.net/
    • Anonimo scrive:
      Re: Il software open-source esiste già da tempo!
      [munehiro@quela munehiro]$ gpg --verify pippo.gpggpg: Firma fatta sab 05 gen 2002 13:41:19 CET usando la chiave DSA con ID 8F8ED239gpg: richiedo la chiave 8F8ED239 a wwwkeys.eu.pgp.net ...gpg: chiave 8F8ED239: chiave pubblica importatagpg: Numero totale esaminato: 1gpg: importate: 1gpg: Firma valida da "Emanuele Zeppieri "Impossibile trovare un percorso di fiducia valido fino alla chiave. Vediamose possiamo assegnare qualche valore di fiducia del proprietario mancante. Non è stato trovato alcun percorso che porti a una delle nostre chiavi.gpg: ATTENZIONE: questa chiave non è certificata con una firma fidata!gpg: Non ci sono indicazioni che la firma appartenga al proprietario.gpg: Impronta digitale: F92C 6472 546B CA11 D9C5 2CCB D7B8 ED95 8F8E D239[munehiro@quela munehiro]$e poi dicono che non e' user friendly.cmq quando passi una chiave, passa il keyid, non l'email. Il keyid sono gli ultimi due valori della fingerprint, nel tuo caso 0x8f8ed239
      • Anonimo scrive:
        Re: Il software open-source esiste già da tempo!
        - Scritto da: munehiro
        [munehiro@quela munehiro]$ gpg --verify
        pippo.gpg
        gpg: Firma fatta sab 05 gen 2002 13:41:19
        CET usando la chiave DSA con ID 8F8ED239
        gpg: richiedo la chiave 8F8ED239 a
        wwwkeys.eu.pgp.net ...
        gpg: chiave 8F8ED239: chiave pubblica
        importata
        gpg: Numero totale esaminato: 1
        gpg: importate: 1
        gpg: Firma valida da "Emanuele Zeppieri
        "

        e poi dicono che non e' user friendly.Infatti. Se poi si considera che esistono pure dei front-end visuali per GPG (anche sotto Windows), diventa ancora più semplice.E grazie per la demo ;-)
        cmq quando passi una chiave, passa il keyid,
        non l'email. Il keyid sono gli ultimi due
        valori della fingerprint, nel tuo caso
        0x8f8ed239Qui non sono d'accordo: secondo me è preferibile passare l'email, perché si ricorda (e si trascrive) molto più facilmente del keyid, considerato poi che i keyserver permettono tranquillamente di fare le ricerche anche in base all'email.Inoltre l'email garantisce l'univocità al pari del keyid, fin tanto che uno non si mette ad uploadare nuove chiavi con la stessa email (se nome e cognome fossero univoci, passerei addirittura quelli).P.S.Se poi volessi pure firmare le mie chiavi... ;-)Ciao,Emanuele.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!
          - Scritto da: Emanuele Zeppieri
          - Scritto da: munehiro

          [munehiro@quela munehiro]$ gpg --verify

          pippo.gpg

          gpg: Firma fatta sab 05 gen 2002 13:41:19

          CET usando la chiave DSA con ID 8F8ED239

          gpg: richiedo la chiave 8F8ED239 a

          wwwkeys.eu.pgp.net ...

          gpg: chiave 8F8ED239: chiave pubblica

          importata

          gpg: Numero totale esaminato: 1

          gpg: importate: 1

          gpg: Firma valida da "Emanuele Zeppieri

          "



          e poi dicono che non e' user friendly.

          Infatti.
          Se poi si considera che esistono pure dei
          front-end visuali per GPG (anche sotto
          Windows), diventa ancora più semplice.does a fish really need a bicycle ?sinceramente con i pulsantini mi romperei. Forse sarebbe piu' facile all'inizio, ma piu' lento in confronto. L'importante e' avere la possibilita' di scegliere quale interfaccia usare. E' un'altra delle ragioni per cui detesto windows: o visuale o ti attacchi... voglio poter avere la liberta' di scegliere.
          E grazie per la demo ;-)


          cmq quando passi una chiave, passa il
          keyid,

          non l'email. Il keyid sono gli ultimi due

          valori della fingerprint, nel tuo caso

          0x8f8ed239

          Qui non sono d'accordo: secondo me è
          preferibile passare l'email, perché si
          ricorda (e si trascrive) molto più
          facilmente del keyid, considerato poi che i
          keyserver permettono tranquillamente di fare
          le ricerche anche in base all'email.certo pero' qualsiasi persona potrebbe fare una chiave specificando la tua email, scrivere maialate, firmarla con la chiave appena creata e inserirla nel db. In questo modo, ci sarebbero due chiavi, con la stessa email. Peccato che quando effettui il lookup con gpg, lui cerca per keyid, e quindi dice che la firma e' valida. Questo porterebbe a pensare che le maialate le hai scritte tu.Con il keyid questo problema non ce l'hai, perche' anche se un tizio creasse una chiave diversa, c'e' una probabilita' bassissima che abbia lo stesso keyid tuo, e praticamente nulla che abbia la stessa fingerprint.
          Inoltre l'email garantisce l'univocità al
          pari del keyid, fin tanto che uno non si
          mette ad uploadare nuove chiavi con la
          stessa email (se nome e cognome fossero
          univoci, passerei addirittura quelli).come vedi non e' vero in assoluto

          P.S.
          Se poi volessi pure firmare le mie chiavi...
          ;-)senza vederti in faccia con carta d'identita' in una mano e fingerprint nell'altra non firmo proprio niente :)
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: munehiro
            L'importante e'
            avere la possibilita' di scegliere quale
            interfaccia usare. E' un'altra delle ragioni
            per cui detesto windows: o visuale o ti
            attacchi... voglio poter avere la liberta'
            di scegliere.Oddio, volendo Windows un minimo di scelta la concede, visto che offre anch'esso una specie di CLI (la "DOS box").Ma certo non è neanche lontamente paragonabile alla potenza di una CLI unix-like, siamo d'accordo ;-)
            certo pero' qualsiasi persona potrebbe fare
            una chiave specificando la tua email,
            scrivere maialate, firmarla con la chiave
            appena creata e inserirla nel db. In questo
            modo, ci sarebbero due chiavi, con la stessa
            email. Peccato che quando effettui il lookup
            con gpg, lui cerca per keyid, e quindi dice
            che la firma e' valida. Questo porterebbe a
            pensare che le maialate le hai scritte tu.
            Con il keyid questo problema non ce l'hai,
            perche' anche se un tizio creasse una chiave
            diversa, c'e' una probabilita' bassissima
            che abbia lo stesso keyid tuo, e
            praticamente nulla che abbia la stessa
            fingerprint.Beh, il problema di qualcuno che tenta di "impersonarti" non lo risolvi comunque, perché il tizio potrebbe tranquillamente comunicare la sua keyid (corrispondente alla nuova chiave che ha appena creato), e dire che sei tu l'impostore.Da cui la necessità del "web of trust", che è l'unica strategia per dirimere il problema dell'autenticazione (e da cui la mia (impudente) preghiera di firmare le mie chiavi ;-)D'altro canto se uno cerca su un keyserver la tua chiave pubblica tramite l'email, è vero che trova anche quella dell'ipotetico impostore, ma trova pure la tua (quella "vera"), per cui quantomeno dovrebbe insospettirsi; se poi vede che una delle 2 chiavi fa parte di un web of trust e l'altra no, il problema è risolto (sperabilmente a tuo favore ;-)

            P.S.

            Se poi volessi pure firmare le mie
            chiavi...

            ;-)

            senza vederti in faccia con carta
            d'identita' in una mano e fingerprint
            nell'altra non firmo proprio niente :)Hai ragione, la tua mi sembra una prudenza più che giustificata.Allora semmai fammi sapere se qualche volta capiti a Roma, che vengo con faccia, carta d'identità e fingerprint (e un caffè pagato, di quelli buoni ;-)Ciao,Emanuele.
    • Anonimo scrive:
      Re: Il software open-source esiste già da tempo!
      Ciao Emanuele,
      Premesso che condivido pienamente le
      critiche e le preoccupazioni
      espresse dall'autore dell'articolo, volevo
      precisare che,
      fortunatamente, un software open-source per
      la crittografia a chiave
      pubblica o asimmetrica esiste gia` da tempo.Vero, ma che cosa c'entra con la firma digitale?
      Concludo firmando questo articolo (con la
      mia chiave privata)
      mediante GPG, a scopo dimostrativo.La "firma digitale" di cui si parla nell'articoloe' cosa ben diversa...
      • Anonimo scrive:
        Re: Il software open-source esiste già da tempo!
        - Scritto da: Pisolo

        Concludo firmando questo articolo (con la

        mia chiave privata)

        mediante GPG, a scopo dimostrativo.

        La "firma digitale" di cui si parla
        nell'articolo
        e' cosa ben diversa...Veramente e' la medesima cosa infatti la FD non e' altro che una firma crittata con la chiave privata RSA e autenticata decrittandola con la chiave publica del tizio che ha firmato, nulla di nuovo, anzi e' una tecnica nota (con l'RSA) fin dal 1976 ad opera di Rivest Shamir e Adleman.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!
          - Scritto da: z2
          - Scritto da: Pisolo


          Concludo firmando questo articolo (con
          la


          mia chiave privata)


          mediante GPG, a scopo dimostrativo.



          La "firma digitale" di cui si parla

          nell'articolo

          e' cosa ben diversa...
          Veramente e' la medesima cosa infatti la FD
          non e' altro che una firma crittata con la
          chiave privata RSA e autenticata
          decrittandola con la chiave publica del
          tizio che ha firmato, nulla di nuovo, anzi
          e' una tecnica nota (con l'RSA) fin dal 1976
          ad opera di Rivest Shamir e Adleman.Mi riferivo al fatto che la "firma digitale"e' il RISULTATO di una "procedura informatica"BASATA su un processo di cifratura ma che hamolti altri aspetti da considerare tra cui:Generazione delle chiaviConservazione delle chiavie Dispositivi di firmavedi art 6,7 del DPCM 8 Febbraio 1999Per questo dicevo che la firma di Emanuele fatta con "a manina" GPG verificabile conuna chiave pubblica che sta su un server californiano c'entra poco con la firma digitaledell'articolo. Ciao
      • Anonimo scrive:
        Re: Il software open-source esiste già da tempo!
        - Scritto da: Pisolo
        Ciao Emanuele, Ciao Pisolo.
        Vero, ma che cosa c'entra con la firma
        digitale?Rispondo sia a te che a Dixie, che esprimeva un dubbio analogo al tuo.La firma digitale oggetto del mio messaggio (e della mia modesta dimostrazione), e la firma digitale oggetto della legge italiana in materia, sono *esattamente* la stessa cosa, almeno dal punto di vista "concettuale".Sono gli stessi anche gli algoritmi adottati da GPG e quelli prescritti dalla legge italiana.Altro discorso invece è quello relativo all'autenticazione delle chiavi, prerogativa che la legge italiana sembra riservare solo ad una ristretta cerchia di "autorità di certificazione" (CA), peraltro generando un potenziale conflitto con le direttive europee.Nondimeno l'uso in sede legale della firma digitale nella sua forma "semplice" o "libera" (cioè in pratica quella che ho prodotto io) non è *per niente* escluso dalla legge italiana.Ecco cosa riferisce al proposito, testualmente, Interlex:---------------------- 4. Hanno valore legale i certificati PGP e simili?Questa è una domanda molto frequente cherichiederebbe una trattazione estesa (che faremoin altra sede) anche alla luce della recentedirettiva europea.In estrema sintesi: se per "valore legale"s'intende l'opponibilità a terzi, in sede civile,di un documento firmato con una procedura che nonrisponde ai requisiti del documento informatico exDPR 318/97, la risposta è affermativa, tenendopresente che il documento stesso costituisce unmezzo di prova come un altro. Invece, se siintendono la "validità e rilevanza ad ogni effettodi legge", la risposta è "no": il requisito legaledella forma scritta è soddisfatto solo da unafirma digitale generata a partire da una coppia dichiavi certificata da un soggetto iscrittonell'elenco pubblico dell'AIPA, nel rispetto ditutte le norme. Questo vale anche per i documentiscambiati con la pubblica amministrazione e inogni caso in cui sia necessaria la certezza legaledell'identità del firmatario.Altro discorso è quello della "affidabilità" dellafirma digitale "libera", che dipendedall'affidabilità del certificatore e delle sueprocedure di identificazione del titolare. Lavalutazione, in questo caso, è lasciata alle particoinvolte.Rintracciabile su:http://www.interlex.it/docdigit/intro/intro12a.htm----------------------Ciò posto, c'è da aggiungere anche che se una qualche CA decidesse di adottare GPG, allora la procedura di apposizione della propria firma digitale, stavolta con "validità e rilevanza ad ogni effetto di legge", sarebbe proprio quella che ho illustrato nel mio messaggio (posto che la chiave pubblica sia certificata dalla CA ovviamente).Poi tutti i dettagli legislativi riguardanti il supporto di memorizzazione delle chiavi (smart card e balle simili) sono totalmente indipendenti dal software utilizzato per la produzione delle chiavi, l'apposizione della firma e la verifica dei documenti firmati.Concludo infine esprimendo l'auspicio (ma pure la certezza) che la firma digitale "libera" assuma pieno titolo legale in futuro, dal momento che gli orpelli burocratici prescritti dalla legge non comportano *alcuna* sicurezza aggiuntiva rispetto ad essa (anzi, comportano un indebolimento della sicurezza).Spero di aver chiarito i duoi dubbi.(Per mestiere non faccio il giurista).Ciao,Emanuele.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!
          - Scritto da: Emanuele Zeppieri
          - Scritto da: Pisolo

          Ciao Emanuele,

          Ciao Pisolo.

          Rispondo sia a te che a Dixie, che esprimeva
          un dubbio analogo al tuo.
          [CUT]
          Ciò posto, c'è da aggiungere anche che se
          una qualche CA decidesse di adottare GPG,
          allora la procedura di apposizione della
          propria firma digitale, stavolta con
          "validità e rilevanza ad ogni effetto di
          legge", sarebbe proprio quella che ho
          illustrato nel mio messaggio (posto che la
          chiave pubblica sia certificata dalla CA
          ovviamente).
          ...forse ho studiato poco prima di parlare, ma mi sembrava di capiere che (a parte le storture italiane della cosa) le firme dovessero anche arrivare ad essere intoperanti e quindi se una CA certifica la mia firma anche tutte le altre CA devono essere in grado di riconoscerla, giusto?Quindi tutte le CA devono poter validare un documento firmato con GPG....ciao
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Dixie
            ...forse ho studiato poco prima di parlare,
            ma mi sembrava di capiere che (a parte le
            storture italiane della cosa) le firme
            dovessero anche arrivare ad essere
            intoperanti e quindi se una CA certifica la
            mia firma anche tutte le altre CA devono
            essere in grado di riconoscerla, giusto?
            Quindi tutte le CA devono poter validare un
            documento firmato con GPG....

            ciaoAttualmente, l'interoperabilità tra le varie soluzioni hardware/software proposte dalle CA non è per niente garantita, come puoi appurare dalla lettura dei messaggi di Andrea Monti.Ne deduco pertanto che l'interoperabilità non è nemmeno richiesta dalle legge (benché sarebbe opportuno, anzi doveroso, che lo fosse).In ogni caso, per garantire l'interoperabilità dei software, la cosa più intelligente da fare sarebbe *proprio* adottare lo standard OpenPGP (cioè quello di GPG), che è il più diffuso e non ha vincoli di proprietà (RFC 2440).Inoltre GPG è conforme alle specifiche della legge per quanto attiene agli algoritmi di crittografia e di hashing. Per cui, per rispondere alla tua domanda nel modo più diretto possibile: non vedo ragioni per cui una CA non possa adottare GPG (certamente non ve ne sono sul piano "logico").Ciao,Emanuele.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!

          Altro discorso invece è quello relativo
          all'autenticazione delle chiavi, prerogativa
          che la legge italiana sembra riservare solo
          ad una ristretta cerchia di "autorità di
          certificazione" (CA), peraltro generando un
          potenziale conflitto con le direttive
          europee.Li' sta il punto.La legge della "firma digitale" "italiana"comprende anche la parte di conservazione, autenticazione e generazione delle chiavi.Fino a quando non cambia la leggeper me la FD valida legalmentee' quindi un tutt'uno.Condivido comunque l'auspicio di strumentiliberi per l'uso della FD.
    • Anonimo scrive:
      Re: Il software open-source esiste già da tempo!


      Nella pagina localizzata su questo link:
      http://www.rad.unipd.it/progetti/firma/tecnic

      potrete leggere infatti una delle piu`
      grandi baggianate mai espresse
      circa l'uso della crittografia a chiave
      pubblica, ovvero che la
      "chiave privata" e` quella che si adopera
      per criptare il messaggio,
      e che la "chiave pubblica" e` quella che si
      adopera per decrittarloSi parla di firma digitale, dove sarebbe la baggianata?
      • Anonimo scrive:
        Re: Il software open-source esiste già da tempo!
        - Scritto da: Invece va bene

        Si parla di firma digitale, dove sarebbe la
        baggianata?Dove intendi che si parla di firma digitale, sulla pagina da me segnalata?Se intendevi questo, non è per niente così, visto che si parla, *chiaro e tondo*, di chiave privata per passare dal testo "in chiaro" a quello "cifrato", e di chiave pubblica per la trasformazione inversa (che è, ripeto, una baggianata di proporzioni galattiche).Quindi il disegno è *testualmente* riferito alla crittografia a chiave pubblica (o almeno vorrebbe), e *non* alla firma digitale, come dici tu.Altrimenti fammi vedere dove, in quel disegno, tu sia riuscito a rilevare una sia pur flebile traccia della descrizione di un procedimento di apposizione della firma digitale.Ciao,Emanuele.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!
          Crittografia e firma digitale sono quasi la stessa cosa. Dalla FAQ di GnuPG:[T]o send your friend a message, you would encrypt your message with his public key, and he would only be able to decrypt it by having the secret key and putting in the password to use his secret key. GnuPG is also useful for signing things. Things that are encrypted with the secret key can be decrypted with the public key. To sign something, a hash is taken of the data, and then the hash is in some form encoded with the secret key. If someone has your public key, they can verify that it is from you and that it hasn't changed by checking the encoded form of the hash with the public key.
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            Lascia stare, non fa per te ;-)Cordialmente,Emanuele.
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Emanuele Zeppieri
            Lascia stare, non fa per te ;-)Per ma ha ragione lui.punto 2.6 dihttp://www.interlex.it/docdigit/intro/intro2.htmCiao
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Andrea
            Per ma ha ragione lui.

            punto 2.6 di

            http://www.interlex.it/docdigit/intro/intro2.

            CiaoA parte il fatto che vieni smentito dalla stessa pagina che hai citato tu, visto che dice testualmente: Il mittente cifra il testo con la chiave pubblica del destinatario, questi lo decifra con la propria chiave privata(sotto la fig. 3).Spiegando quindi una volta per tutte come si effettua la criptazione, posto che uno sappia almeno leggere :-(Poi nella stessa pagina si parla della criptazione con la chiave privata del mittente, ammettendo testualmente che *non serve a nulla*: I cifrari a chiave pubblica possono essere usati anche "al contrario", cioè cifrando il testo chiaro con la chiave privata del mittente. A prima vista questa operazione non serve a nulla, perché chiunque può decifrare il testo con la chiave pubblica dello stesso mittente.E poi si dice che serve per gli scopi di apposizione e verifica della firma. Ma questo è *falso* (sebbene possa avere una qualche valenza didattica, alquanto dubbia a mio avviso, ma è comunque l'unica giustificazione plausibile).È *falso* perché quando si firma NON si cripta il *messaggio*, come si afferma in quella pagina, ma soltanto un codice hash del messaggio(!) che viene poi allegato al messaggio. (Con la (flebile) speranza che tu sappia cosa sia una funzione di hashing...)E lo si fa proprio per lasciare il messaggio in *chiaro*, come è ragionevole che sia per un messaggio che si vuole autenticare.E, ancora una volta, nella pagina di Raynux non si parla di criptazione di un codice hash, ma, testualmente di criptazione del "testo in chiaro", che è, ribadisco, una baggianata (c'è perfino l'esempio di un breve testo (e non della sua impronta hash) criptato.Saluti.
          • Anonimo scrive:
            RE: a cosa serve firmare con la chiave privata
            Non vorrei intromettermi, ma:- Scritto da: Emanuele Zeppieri
            - Scritto da: Andrea

            Per ma ha ragione lui.



            punto 2.6 di




            http://www.interlex.it/docdigit/intro/intro2.


            Poi nella stessa pagina si parla della
            criptazione con la chiave privata del
            mittente, ammettendo testualmente che *non
            serve a nulla*:In realtà serve a garantire l'utente B che il messaggio proviene da A (solo lui possiede la sua chiave privata, se non se l'è fatta rubare e la CA è onesta -casi notoriamente non considerati dalla teoria). E scusa se è poco!
            E poi si dice che serve per gli scopi di
            apposizione e verifica della firma. Ma
            questo è *falso* (sebbene possa avere una
            qualche valenza didattica, alquanto dubbia a
            mio avviso, ma è comunque l'unica
            giustificazione plausibile).

            È *falso* perché quando si firma NON si
            cripta il *messaggio*, come si afferma in
            quella pagina, ma soltanto un codice hash
            del messaggio(!) che viene poi allegato al
            messaggio. (Con la (flebile) speranza che tu
            sappia cosa sia una funzione di hashing...)Essattamente. Io utente B ho la garanzia che il messaggio (in chiaro) è stato firmato dall'utente A (presumibilmente dopo averlo letto ed approvato). La firma, per come viene creata (hash) garantisce (entro ragionevoli limiti) che sia esattamente il testo allegato.

            E lo si fa proprio per lasciare il messaggio
            in *chiaro*, come è ragionevole che sia per
            un messaggio che si vuole autenticare.Sarò un paranoico, ma perchè non criptarlo con la chiave pubblica del mittente? Solo lui è il destinatario del messaggio. A meno di non parlare di una scrittura pubblica (ad esempio un contratto) che deve poter essere letta da chiunque....Saluti.
          • Anonimo scrive:
            Re: RE: a cosa serve firmare con la chiave privata
            - Scritto da: Marlenus

            Non vorrei intromettermi, ma:Per carità, a me piace il dialogo! :-)Però, ehm, dovrebbe apportare qualche informazione utile...
            In realtà serve a garantire l'utente B che
            il messaggio proviene da A
            bla bla bla...A proposito di informazioni (in)utili, per l'appunto.Hai fornito una spiegazione incompleta, non attinente al topic, e, soprattutto, non richiesta.Forse stavi facendo un ripasso mentale di quello che hai appena studiato sulla firma digitale. OK, ma non indirizzarlo a me per favore... ;-)

            tu sappia cosa sia una funzione di

            hashing...)
            Essattamente."Es(s)attamente"?! Allora sei d'accordo con me?E allora, ancora una volta, quale sarebbe l'utilità del tuo messaggio?!
            Io utente B ho la garanzia che
            il messaggio (in chiaro) è stato firmato
            dall'utente A (presumibilmente dopo averlo
            letto ed approvato). La firma, per come
            viene creata (hash) garantisce (entro
            ragionevoli limiti) che sia esattamente il
            testo allegato.Ancora un'informazione preziosissima, sei davvero una miniera inesauribile, grazie! :-)
            Sar? un paranoico, ma perché non criptarlo
            con la chiave pubblica del mittente? Solo
            lui è il destinatario del messaggio.Criptarlo con la chiave pubblica del MITTENTE?! Solo lui è il... DESTINATARIO?!!Cioè il *mittente* è l'unico *destinatario* di sé stesso?! E si firma le cose da solo?!! (E non te l'ha mai detto nessuno che per questi scopi onanistici c'è, eventualemnte, la crittografia a chiave privata?!)Guarda, non sei paranoico, sei soltanto ubriaco ;-)Risentiamoci quando "saremo" (tiè, mi ci metto pure io!) un po' più lucidi. OK? ;-)
            Saluti.Si scherza eh! ;-)Ciao,Emanuele.
        • Anonimo scrive:
          Re: Il software open-source esiste già da tempo!

          Se intendevi questo, non è per niente così,
          visto che si parla, *chiaro e tondo*, di
          chiave privata per passare dal testo "in
          chiaro" a quello "cifrato", e di chiave
          pubblica per la trasformazione inversa (che
          è, ripeto, una baggianata di proporzioni
          galattiche).Perche' e' una baggianata?Per cifrare (decifrare) un messaggiosi usa la chiave pubblica o quella privataa seconda della direzione del messaggio Se A manda a B puo'1) cifrare o con la sua chiave privata e dare a B la sua pubblica2) cifrare con la chiave pubblica di BLa Pubblica amministrazione credo checifri con la sua chiave privata e diaai cittadini la sua chiave pubblicaper decifrare che e' quello che c'e' nel disegno.Altrimenti illuminaci tu.
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Andrea

            Altrimenti illuminaci tu.
            Purtroppo temo che illuminare te sia un'impresa disperata, ma visto che me lo chiedi ci provo, ma per l'ultima volta, sia ben chiaro.
            Perche' e' una baggianata?
            Per cifrare (decifrare) un messaggio
            si usa la chiave pubblica o quella privata
            a seconda della direzione del messaggio

            Se A manda a B puo'
            1) cifrare o con la sua chiave privata e
            dare a B la sua pubblica
            2) cifrare con la chiave pubblica di BLa 1) è un'altra baggianata di proporzioni colossali, che conferma le mie ipotesi circa la tua (in)competenza in materia.Se A vuole mandare a B un messaggio *privato*, che solo B possa leggere (altrimenti mi spieghi quale sarebbe l'utilità della criptazione?!) allora *deve* utilizzare la chiave *pubblica* di B per criptare, e B poi utilizzerà la sua chiave *privata* per decriptare.Se invece per criptare si usasse il tuo fantasioso procedimento n° 1, allora A sarebbe costretto a spedire a B, assieme al messaggio criptato, anche la sua chiave pubblica, che potrebbe essere intercettata, per cui verrebbe a cadere tutta l'utilità della crittografia a chiave asimmetrica (che è stata inventata *apposta* per NON far circolare le chiavi di decriptazione!!)Ma senza neanche ricorrere a questo esempio, il tuo procedimento n° 1 risulta addirittura ridicolo, visto che la chiave PUBBLICA di A è alla mercè di tutti (visto che è, e deve essere, appunto, PUBBLICA!) e quindi *chiunque* intercettando il messaggio potrebbe decrittarlo!!I miei complimenti per l'astuzia ;-)Altro è il procedimento di criptazione insito nella firma digitale, che provo ora pazientemente a spiegarti :-(
            La Pubblica amministrazione credo che
            cifri con la sua chiave privata e dia
            ai cittadini la sua chiave pubblica
            per decifrare che e' quello che c'e' nel
            disegno.E credi malissimo.La pubblica amministrazione *firma*, non cripta (o almeno non lo fa con la sua chiave privata), e dà ai cittadini la sua chiave pubblica per permettere loro di *verificare la firma*, e non certo per decriptare! (Dove diavolo l'hai letta questa?!)E il procedimento di apposizione della firma digitale, sebbene utilizzi uno step di criptazione, lascia il messaggio firmato *in chiaro*, senza criptarlo.In particolare l'agoritmo di apposizione della firma funziona così:1. il software genere un codice hash del messaggio da firmare (mediante opportuna funzione di hashing);2. il codice hash così generato viene criptato con la chiave privata di chi firma (il *codice hash*, e NON il messaggio, che invece rimane in *chiaro*!!)Poi se uno vuole pure criptare il messaggio, allora per questo scopo deve usare la chiave PUBBLICA del destinatario, per le ragioni che ho tentato di spiegarti sopra.Nella pagina web di Raynux si dice invece che per gli scopi di *criptazione* si userebbe la chiave privata, e per la decriptazione quella pubblica, che è, ribadisco per l'ennesima volta, una colossale falsità (ma anche un'idiozia), che riecheggia, più o meno, quello che hai scritto tu ;-)Ciao,Emanuele.
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Emanuele Zeppieri
            - Scritto da: Andrea



            Altrimenti illuminaci tu.



            Purtroppo temo che illuminare te sia
            un'impresa disperata, ma visto che me lo
            chiedi ci provo, ma per l'ultima volta, sia
            ben chiaro.Mi hai illuminato, grazie. (sul serio)Non e' stato difficile e alla finesarebbe bastato un:Il testo del messaggio e' in chiaro, sempre.Mentre nel disegno e' il testo del messaggioche viene cifrato, mescolendo come ben dicevi,concetto di cifratura di un messaggio e difirma di un messaggio.E' stato il disegno a confondermi.
            La 1) è un'altra baggianata di proporzioni
            colossali, che conferma le mie ipotesi circa
            la tua (in)competenza in materia.Nessuno ha mai detto di essere esperto, almeno non io :)
            Altro è il procedimento di criptazione
            insito nella firma digitale, che provo ora
            pazientemente a spiegarti :-(


            La Pubblica amministrazione credo che

            cifri con la sua chiave privata e dia

            ai cittadini la sua chiave pubblica

            per decifrare che e' quello che c'e' nel

            disegno.

            E credi malissimo.Su questo, dopo aver capito un po' di piu',credo pero' di non avere totalemente torto.Il disegno e' sbagliato ma quello che ho scritto e' corretto:la Pa cifra (non il messaggio ma l'hash)CON CHIAVE PRIVATA e i cittadini usanoquella pubblica per decifrare l'hash(per poi confrontarlo con quello chegenerano loro sul messaggio e vederese coincidono, giusto?).
            La pubblica amministrazione *firma*, non
            cripta (o almeno non lo fa con la sua chiave
            privata), e dà ai cittadini la sua chiave
            pubblica per permettere loro di *verificare
            la firma*, e non certo per decriptare! (Dove
            diavolo l'hai letta questa?!)E' proprio quel disegno che mi ha confuso!
            E il procedimento di apposizione della firma
            digitale, sebbene utilizzi uno step di
            criptazione, lascia il messaggio firmato *in
            chiaro*, senza criptarlo.Questo e' il punto chiave.
            Nella pagina web di Raynux si dice invece
            che per gli scopi di *criptazione* si
            userebbe la chiave privata, e per la
            decriptazione quella pubblica, che è,
            ribadisco per l'ennesima volta, una
            colossale falsità (ma anche un'idiozia), che
            riecheggia, più o meno, quello che hai
            scritto tu ;-)Verissimo
            Ciao,
            Emanuele.Ciao e grazieAndrea
          • Anonimo scrive:
            Re: Il software open-source esiste già da tempo!
            - Scritto da: Andrea
            la Pa cifra (non il messaggio ma l'hash)
            CON CHIAVE PRIVATA e i cittadini usano
            quella pubblica per decifrare l'hash
            (per poi confrontarlo con quello che
            generano loro sul messaggio e vedere
            se coincidono, giusto?).Giusto, funziona esattamente così.Il che implica che, per effettuare la verifica, il messaggio in chiaro deve sempre essere spedito! ;-)(Cosa di cui, peraltro, non si fa alcuna menzione nel disegno "incriminato").
            Ciao e grazie
            Andrea Figurati, anzi, scusa per il tono del mio messaggio ;-)Ciao,Emanuele.
      • Anonimo scrive:
        Re: Il software open-source esiste già da tempo!
        - Scritto da: Invece va bene



        Nella pagina localizzata su questo link:


        http://www.rad.unipd.it/progetti/firma/tecnic



        potrete leggere infatti una delle piu`

        grandi baggianate mai espresse

        circa l'uso della crittografia a chiave

        pubblica, ovvero che la

        "chiave privata" e` quella che si adopera

        per criptare il messaggio,

        e che la "chiave pubblica" e` quella che
        si

        adopera per decrittarlo

        Si parla di firma digitale, dove sarebbe la
        baggianata?che e' esattamente il contrario, per quanto riguarda la criptazione. Per quanto riguarda l'autenticazione e firma invece la chiave privata serve per firmare, la pubblica serve per controllare la correttezza e validita' della firma.
  • Anonimo scrive:
    Forse ha senso riflettere...
    C'è una strana eccitazione quendo si parla di alcuni argomenti e spesso si cade nella trappola. Bisogna dimostrare che siamo capaci di critiche autorevoli su argomenti difficili dimostrando la nosta sapienza.La Firma Digitale (FD) è un grosso vanto della legislatura Italiana, perchè ha avuto il coraggio di mettere mano ad un problema all'avanguardia, questo comporta inevitabili problemi:1) Evvero ci sono molte difficoltà di incteroperabilità fra le certificazioni, ma questo è un problema dovuto al fatto che generale è la forma del certificato che compone la PKI.2) Non è del tutto vero che i lettori di Smartcard sono incompatibili con il SW visto che chi produce il sw da anche i lettori.3) E' ovvio che chi produce i SW per la FD non lo fà per i 4 "pezzenti" (con me 5) che usano Linux o S.O. Open Source, ma questo è un problema diverso è più grave. Perchè la P.A. non usa S.O. open source?4) non tutto finisce nelle mani degli americani solo a Napoli ci sono aziende che fatturamo miliardi sulla FD e l'università federico II ha un settore di ricerca nel CdL di ingegneria riservato all FD.5) A chi si esalta sulla capacità dei crackers (che non sono grissini :-)) di violare i sistemi cifrati vorrei ricordare che sfondano una porta aperta: La FD non assicura la sua inviolabilità, dice solo che è improbabile ed inoltre non viene fissata la lunghezza della codifica HASH o eventualmente della crittografia. Questo fà si che con il crescere della potenza dei sistemi di elaborazione cresca anche la "forza" della codifica.Vorrei ricordarvi che un qualsiasi documento può essere contraffatto sia esso elettronico o cartaceo. Tutto stà nel valore di ciò che vogliamo tenere segreto. Non spenderò 10 Miliardi in cassaforte per metterci un milione.Sù con la vita è un pò di ottimismo!Saluti Carlo!
    • Anonimo scrive:
      Re: Forse ha senso riflettere...
      - Scritto da: Carlo
      5) A chi si esalta sulla capacità dei
      crackers (che non sono grissini :-)) di
      violare i sistemi cifrati vorrei ricordare
      che sfondano una porta aperta: La FD non
      assicura la sua inviolabilità, dice solo che
      è improbabile ed inoltre non viene fissataPer la precisione: l' improbabilità equivale, a tutti gli effetti pratici (e sottolineo tutti), ad impossibilità. Questo almeno per una certa dimensione delle chiavi in su.Il problema è che questa improbabilità non è dimostrata matematicamente, è solo ipotizzata.In ogni caso se i sistemi crittografici attuali verranno craccati, non sarà da parte di un hacker,per quante palle abbia, ma da parte di un matematico che vincerà la field medal (l' equivalente del premio nobel per la matematica). Comunque bisogna aggiungere che i pericoli maggiori derivano dalla gestione pratica delle chiavi. Della serie: è inutile che metti una seeratura sofisticatissima alla tua porta, se poi nascondi la chiave sotto lo zerbino.
    • Anonimo scrive:
      Re: Forse ha senso riflettere...
      - Scritto da: Carlo
      ...
      1) Evvero ci sono molte difficoltà di
      incteroperabilità fra le certificazioni, ma
      questo è un problema dovuto al fatto che
      generale è la forma del certificato che
      compone la PKI.No il problema e' dovuto al fatto che i certificatori non si sono messi d'accordo
      2) Non è del tutto vero che i lettori di
      Smartcard sono incompatibili con il SW visto
      che chi produce il sw da anche i lettori.Prova ad installare contemporaneamente piu' software e ad utilizzare piu' lettori e carte "mischiando" il tutto. Rimarrai sorpreso.
      3) E' ovvio che chi produce i SW per la FD
      non lo fà per i 4 "pezzenti" (con me 5) che
      usano Linux o S.O. Open Source, ma questo è
      un problema diverso è più grave. Perchè la
      P.A. non usa S.O. open source?Non e' una questione di 6 pezzenti (ci sono anch'io), almeno non credo. Il punto e' che trasparenza e compatibilita' garantite dall'open source non avrebbero garantito la possibilita' di sfruttare rendite di posizione in determinati settori. In pratica, se per legge - come in effetti e' - le societa' di capitali devono per forza usare la firma digitale per alcune comunicazioni con le camere di commercio, e' abbastanza ovvio che si cerchera' di fare di tutto per conservare questa "riserva di caccia", invece di consentire a chiunque l'accesso. Detto in altri termini, l'incompatibilita' e' uno strumento a "basso costo" di controllo del mercato
      4) non tutto finisce nelle mani degli
      americani solo a Napoli ci sono aziende che
      fatturamo miliardi sulla FD e l'università
      federico II ha un settore di ricerca nel CdL
      di ingegneria riservato all FD.Il che non fa altro che potenziare il monopolio microsoft.
      5) A chi si esalta sulla capacità dei
      crackers (che non sono grissini :-)) di
      violare i sistemi cifrati vorrei ricordare
      che sfondano una porta aperta: ... A parte che fra il dire e il fare c'e' di mezzo una capacita' non alla portata di tutti, non mi preoccupo molto dei fantomatici "craccatori", quanto delle intrinseche insicurezze di certe piattaforme, dell'impossibilita' di verificare se quello che garantiscono i certificatori quanto a sicurezza sia vero o meno, se effettivamente esistano backdoor piu' o meno volutamente inserite nei software.
      Sù con la vita è un pò di ottimismo!L'ottimista invento' l'aereo,Il realista, il paracadute:)Have fun:)Andrea Monti
      • Anonimo scrive:
        Re: Forse ha senso riflettere...
        - Scritto da: Andrea Monti



        2) Non è del tutto vero che i lettori di

        Smartcard sono incompatibili con il SW
        visto

        che chi produce il sw da anche i lettori.
        Prova ad installare contemporaneamente piu'
        software e ad utilizzare piu' lettori e
        carte "mischiando" il tutto. Rimarrai
        sorpreso.Questo non è uno scenario realistico e potrebbe oscurare il problema più grande.L'impossibilità di verificare un documento firmato perchè il mio SW non riconosce uno dei formati del certificato e dei suoi attributi!


        3) E' ovvio che chi produce i SW per la FD

        non lo fà per i 4 "pezzenti" (con me 5)
        che

        usano Linux o S.O. Open Source, ma questo
        è

        un problema diverso è più grave. Perchè la

        P.A. non usa S.O. open source?
        Non e' una questione di 6 pezzenti (ci sono
        anch'io), almeno non credo. Il punto e' che
        trasparenza e compatibilita' garantite
        dall'open source non avrebbero garantito la
        possibilita'..Sono daccordo ma...


        4) non tutto finisce nelle mani degli

        americani solo a Napoli ci sono aziende
        che

        fatturamo miliardi sulla FD e l'università

        federico II ha un settore di ricerca nel
        CdL

        di ingegneria riservato all FD.
        Il che non fa altro che potenziare il
        monopolio microsoft....ci sono anche dei problemi tecnici che chi fa fatturato non intende accollarsi per sviluppare sw che potrebbe non fargli avere un sufficiente ritorno di capitale tant'è che anche win3.1 viene tagliato fuori (chissà i pianti di bill :-)). Credo che sia irrealistico pensare che chi legifera imponga alle persone fisiche o giuridiche di produrre SW open source a meno che non esistano altre formule. Esistono?Se la PA si basasse interamente su SW open source apparte l'incredibile risparmio le società sarebbero costrette dal mercato e questa mi sembra una cosa più democratica e realistica. Ma come lei si rese conto qualche tempo fà i politici confondono Open Source con Open House :-) e quindi :Perchè la PA non usa SW OS? Chiedilo al tuo Deputato :-)

        5) A chi si esalta sulla capacità dei

        crackers (che non sono grissini :-)) di

        violare i sistemi cifrati vorrei ricordare

        che sfondano una porta aperta: ...

        A parte che fra il dire e il fare c'e' di
        mezzo una capacita' non alla portata di
        tutti, non mi preoccupo molto dei
        fantomatici "craccatori....Vi ricordo che il sistemi crittografici si basano sulla semplicita della cifratura e la DIFFICOLTA' della decifratura non della IMPOSSIBILITA'.La FD è stata progettata per essere molto sicura a partire dalle cryptocard fino alle meticolose specifiche del manuale tecnico.Ovviamente non poteva dire che tutto questo è inutile se usate un sistema che non da nessuna garanzia sulla sicurezza ( in verità neanche sulla sua stabilità).La qualità della sicurezza di qualsiasi sistema non si misura sul numero di bit di codifica o di hascing ma dal livello culturale di chi deve operare in sicurezza!Personalmente io mi sono occupato di FD che doveva essere la mia tesi di laurea e l'ho trovato un progetto davvero grande peraltro l'italia è stata una delle prima a legiferare in tale materia, ho lasciato perdere quando mi hanno proposto di scrivere codice in VisualBasic sotto win.Per quanto riguarda l'open source c'è una buona notizia esiste il progetto per creare un CA open source si chiama OpenCA (La userò per creare certificati X.509 per IpSec).

        Sù con la vita è un pò di ottimismo!
        L'ottimista invento' l'aereo,
        Il realista, il paracadute:)L'umano lo fece imperfetto :-)

        Have fun:)smoke c@nn@bis...
        Andrea Monti
        • Anonimo scrive:
          Re: Forse ha senso riflettere...
          - Scritto da: carlo
          ...............................................
          ...ci sono anche dei problemi tecnici che
          chi fa fatturato non intende accollarsi per
          sviluppare sw che potrebbe non fargli avere
          un sufficiente ritorno di capitale tant'è
          che anche win3.1 viene tagliato fuori
          (chissà i pianti di bill :-)). Credo che sia
          irrealistico pensare che chi legifera
          imponga alle persone fisiche o giuridiche di
          produrre SW open source a meno che non
          esistano altre formule. Esistono?
          Se la PA si basasse interamente su SW open
          source apparte l'incredibile risparmio le
          società sarebbero costrette dal mercato e
          questa mi sembra una cosa più democratica e
          realistica. Ma come lei si rese conto
          qualche tempo fà i politici confondono Open
          Source con Open House :-) e quindi :
          Perchè la PA non usa SW OS?
          Chiedilo al tuo Deputato :-)Non e' irrealistico dal momento che al momento viene chiesto all'utente (fatturante e non...) di dotarsi di sistemi "a pagamento" per poter utilizzare quello che e' un diritto.
        • Anonimo scrive:
          Re: Forse ha senso riflettere...
          - Scritto da: carlo


          - Scritto da: Andrea Monti

          Prova ad installare contemporaneamente
          piu'

          software e ad utilizzare piu' lettori e

          carte "mischiando" il tutto. Rimarrai

          sorpreso.
          Questo non è uno scenario realistico e
          potrebbe oscurare il problema più
          grande.Invece purtroppo e' molto concreto. Vista l'incompatibilita' fra smartcard, lettori e sofware, se hai la firma rilasciata dal certificatore x e la usi con il software e il lettore del certificatore y ci sono ottime probabilita' che il tutto non funzioni. E' paradossale ma e' cosi':(L'impossibilità di verificare un
          documento firmato perchè il mio SW non
          riconosce uno dei formati del certificato e
          dei suoi attributi!Vero (e sicuramente non banale), a condizione di essere riuscito a far funzionare il computer:))

          Il che non fa altro che potenziare il

          monopolio microsoft.
          ...ci sono anche dei problemi tecnici che
          chi fa fatturato non intende accollarsi per
          sviluppare sw che potrebbe non fargli avere
          un sufficiente ritorno di capitale tant'è
          che anche win3.1 viene tagliato fuori
          (chissà i pianti di bill :-)). Il "vangelo" dell'open source predica che la lira si tira su con i servizi e non (solo) con il software in se'. Si tratta di accettare il fatto che esistano modelli economici alternativi a quello basato sul "dare soldi, dare licenza".Credo che sia
          irrealistico pensare che chi legifera
          imponga alle persone fisiche o giuridiche di
          produrre SW open source a meno che non
          esistano altre formule. Esistono?Si tratta semplicemente di imporre che i software utilizzati dalla pubblica amministrazione siano compatibili, trasparenti e verificabili. Poi se zio Bill ne tira fuori uno del genere, tanto meglio:)
          La FD è stata progettata per essere molto
          sicura a partire dalle cryptocard fino alle
          meticolose specifiche del manuale tecnico.Un conto e' il progetto, un conto e' la sua realizzazione. E' proprio in questa fase che le migliori intenzioni finiscono male.
          La qualità della sicurezza di qualsiasi
          sistema non si misura sul numero di bit di
          codifica o di hascing ma dal livello
          culturale di chi deve operare in sicurezza!Dovrebbe essere un dato acquisito ma non lo e' affatto.
          Personalmente io mi sono occupato di FD che
          doveva essere la mia tesi di laurea e l'ho
          trovato un progetto davvero grande peraltro
          l'italia è stata una delle prima a
          legiferare in tale materia, Essere primi non vuole dire automaticamente essere i migliori. Quei pochi fatti con i quali ci stiamo confrontando tutti gia' dimostrano che la normativa e' carente e, per certi versi, strumentalizzabile a scopi privati.
          Per quanto riguarda l'open source c'è una
          buona notizia esiste il progetto per creare
          un CA open source si chiama OpenCA (La userò
          per creare certificati X.509 per IpSec).Si, conosco il progetto e - anzi - mi dispiace di non averlo citato nell'articolo (cerchero' di rimediare). Peccato che nessuno in Open CA abbia i 12 miliardi di capitale sociale e le altre amenita' che servono per diventare certificatore:)

          Have fun:)
          smoke c@nn@bis...Drink wineAndrea Monti
          • Anonimo scrive:
            Re: Forse ha senso riflettere...
            - Scritto da: Andrea Monti

            - Scritto da: carlo


            Il "vangelo" dell'open source predica che la
            lira si tira su con i servizi e non (solo)
            con il software in se'. Si tratta di
            accettare il fatto che esistano modelli
            economici alternativi a quello basato sul
            "dare soldi, dare licenza".Quando parlai di questo ai produttori di SW e servizi per la FD mi fecero capire che a loro poco piaceva che il loro SW ottenuto con molti costi doveva essere rilasciato secondo la GPL e di conseguenza i servizi di cui parli potevano a quel punto essere "serviti" da chiunque.Questo è un periodo molto ricco per chi opera in questo settore e non credo siano intenzionati a perdera la gallina per non parlare delle uova d'oro! Come vedi non tutti credono al vangelo e rimangono legati al vecchio detto tuttoameenienteate!
            Si tratta semplicemente di imporre che i
            software utilizzati dalla pubblica
            amministrazione siano compatibili,
            trasparenti e verificabili.E quindi -
            -
            -
            -
            -
            -
            -
            -
            -
            -
            -
            -
            -
            O.S.
            Essere primi non vuole dire automaticamente
            essere i migliori. Quei pochi fatti con i
            quali ci stiamo confrontando tutti gia'
            dimostrano che la normativa e' carente e,
            per certi versi, strumentalizzabile a scopi
            privati.Per chi è rassegnato a vivere in un paese che investe poco in ricerca ed è abituato ad inseguire gli altri, questo dà soddisfazione.Da quello che che sò la legge è molto flessibile e dal punto di vista ingegneristico non mette vincoli o limitazioni ma anzi esorta ad usare soluzioni che evolgano con il mutare delle condizioni tecniche.Forse questa generalizzazione permette che sistemi instabili e insicuri non vengano considarati a mò di untori!

            un CA open source si chiama OpenCA (La
            userò

            per creare certificati X.509 per IpSec).
            Si, conosco il progetto e - anzi - mi
            dispiace di non averlo citato nell'articolo
            (cerchero' di rimediare). Peccato che
            nessuno in Open CA abbia i 12 miliardi di
            capitale sociale e le altre amenita' che
            servono per diventare certificatore:) Essere una certification Authority non è una fesseria ci vogliono delle garanzie è i 12 miliardi sono solo l'aspetto economico non sò se sei conosci tute le imposizioni tecniche che devono soddisfare chi si imbatte in questo progetto. Tant'è che a quanto pare siano pochi a poterselo permettere e tra questi c'è la posta.Credo che qesto sia necessario.



            Have fun:)

            smoke c@nn@bis...
            Drink wineand some girls...
          • Anonimo scrive:
            Re: Forse ha senso riflettere...
            - Scritto da: Carlo
            Quando parlai di questo ai produttori di SW
            e servizi per la FD mi fecero capire che a
            loro poco piaceva che il loro SW ottenuto
            con molti costi doveva essere rilasciato
            secondo la GPL e di conseguenza i servizi di
            cui parli potevano a quel punto essere
            "serviti" da chiunque.Non deve necessariamente essere rilasciato con la GPL (anche se sarebbe meglio) basterebbe che si rendessero noti i sorgenti, non stiamo parlando di un videogioco o di un word-processor, ma di un software crittografico; e loro vorrebbero distribuirlo senza sorgenti? ma scherziamo? Solo un deficente userebbe un software crittografico di cui non siano noti i sorgenti, visto che non c'e' nessuna garanzia che il software non contenga backdoor o bug che lo rendono attaccabile, indipendentemente dalla pesantezza dell'algoritmo crittografico che usa.E lo stato darebbe in appalto un progetto cosi' importante a dei buffoni che neanche rilasciano i sorgenti?
            Questo è un periodo molto ricco per chi
            opera in questo settore e non credo siano
            intenzionati a perdera la gallina per non
            parlare delle uova d'oro! Come vedi non
            tutti credono al vangelo e rimangono legati
            al vecchio detto tuttoameenienteate!E' anche vero che lo stato dovrebbe tutelare il cittadino impedendo le amenita' di cui sopra.
            Essere una certification Authority non è una
            fesseria ci vogliono delle garanzie è i 12
            miliardi sono solo l'aspetto economico non
            sò se sei conosci tutte le imposizioni
            tecniche che devono soddisfare chi si
            imbatte in questo progetto. Tant'è che a
            quanto pare siano pochi a poterselo
            permettere e tra questi c'è la posta.
            Credo che qesto sia necessario.Mi piacerebbe sapere chi e' il deficente che ha redatto la lista di requisiti per essere certification autority; e' assurdo chiedono 12 miliardi e poi permettono che un software crittografico che verrebbe usato da tutti sia rilasciato senza sorgenti e quindi senza garanzia alcuna; sono solo dei pagliacci.
          • Anonimo scrive:
            Re: Forse ha senso riflettere...
            - Scritto da: z2
            Mi piacerebbe sapere chi e' il deficente che
            ha redatto la lista di requisiti per essere
            certification autority; e' assurdo chiedono
            12 miliardi e poi permettono che un software
            crittografico che verrebbe usato da tutti
            sia rilasciato senza sorgenti e quindi senza
            garanzia alcuna; sono solo dei pagliacci.Non sarei così severo. una CA non è un SW di cifratura ma è qualcosa di molto complesso! Al suo interno usa metodi di cifratura ma sopratutto di autenticazione a chiave pubblica che sono efficaci e sopratutto noti come RSA.Per quanto riguarda i SW sugli host che devono fornire i servizi il problema resta. Se rendo noti i sorgenti ( in qualsiasi forma) mi indebolisco comunque, sopratutto se sono solo io a farlo!
          • Anonimo scrive:
            Re: Forse ha senso riflettere...
            - Scritto da: Carlo
            Non sarei così severo. una CA non è un SW di
            cifratura ma è qualcosa di molto complesso!
            Al suo interno usa metodi di cifratura ma
            sopratutto di autenticazione a chiave
            pubblica che sono efficaci e sopratutto noti
            come RSA.Conosco bene l'RSA (l'ho studiata quando ho dato algebra insieme alla funzione di eulero, congruenze ecc..) l'autenticazione e' sempre per via crittografica solo che invece di crittare con chiave publica e decrittare con chiave privata avviene l'inverso nel caso della FD(tralasciando i dettagli: se A vuole spedire un messaggio crittato a B critta il messaggio con la chiave publica di B il quale lo decrittera' con la sua chiave privata, volendo invece A firmare il messaggio crittato da spedire a B, crittera' la firma con la sua chiave privata (sua di A) e B decrittera' la firma con la chiave publica di A); e anche qui' vale il discorso che un software crittografico DEVE essere distribuito con i sorgenti altrimenti e' una buffonata di cui solo un matto si fiderebbe.
            Per quanto riguarda i SW sugli host che
            devono fornire i servizi il problema resta.
            Se rendo noti i sorgenti ( in qualsiasi
            forma) mi indebolisco comunque, sopratutto
            se sono solo io a farlo!indebolisco in che senso? Nei confronti di altre ditte perche' e' possibile copiare il codice?Be' qui basterebbe che lo stato mettesse come requisito oltre i gia' citati 12 miliardi anche il dover rendere disponibile i sorgenti di tale software(e non solo per questo ma sopratutto per garantire la serieta' del servizio), cosi' facendo nessuno potrebbe rubare codice, perche' dovendo tutti rendere noti i sorgenti un eventuale copiatura si noterebbe subito.
          • Anonimo scrive:
            Re: Forse ha senso riflettere...
            - Scritto da: Carlo

            Non sarei così severo. una CA non è un SW di
            cifratura ma è qualcosa di molto complesso!
            Al suo interno usa metodi di cifratura ma
            sopratutto di autenticazione a chiave
            pubblica che sono efficaci e sopratutto noti
            come RSA.
            Per quanto riguarda i SW sugli host che
            devono fornire i servizi il problema resta.
            Se rendo noti i sorgenti ( in qualsiasi
            forma) mi indebolisco comunque, sopratutto
            se sono solo io a farlo!Credimi, ha ragione z2.In materia di sicurezza non è accettabile alcun software che non sia open-source, perché su di esso non sarebbe possibile fare i dovuti controlli di affidabilità.La disponibilità del codice sorgente è un (pre)requisito primario ed essenziale, che rafforza il produttore, invece di indebolirlo, perché offre garanzie di "controllabilità" e qualità del software non ottenibili altrimenti.Poi software open-source non vuol dire necessariamente software "gratuito", a parte il fatto che non rientra per niente nei compiti delle CA quello di produrre software.Anzi, a rigore, le CA non dovrebbero neanche *adoperare* il software di crittografia a chiave pubblica: il loro *unico* compito dovrebbe essere quello della custodia delle chiavi pubbliche, e della certificazione che queste appartengono a determinati soggetti giuridici, null'altro.Difatti i compiti che attribuisce loro la legge italiana sono un'autentica mostruosità, anzitutto sul piano della logica, o del semplice buonsenso.Ciao,Emanuele.
  • Anonimo scrive:
    Una lancia a favore della FD
    Un giorno il Presidente degli Stati Uniti d'America, vide per la prima volta passare davanti il viale della Casa Bianca un'automobile o meglio quello che poteva assomigliare in quel lontano 1909. Si rivolse al suo segretario ed esclamò: "guarda lì quell'ammasso di ferraglia rumorosa ..... non avrà di certo futuro".Attualmente noi viviamo circondati da auto ed abbiamo dimenticato carrozze e cavalli!.Sulla firma digitale, possiamo trovare numerosi difetti o più semplicemente esprimere un'opinione contraria ma mi chiedo: "al momento abbiamo un altro sistema quantomeno sicuro?"Oggi, legato al sistema della firma digitale è il processo telematico, ovvero la modernizzazione della comunicazione all'interno del mondo giudiziario. Pur condividendo ogni tipo di censura verso la FD, sotto il profilo commerciale ed evidenziando l'immeritato potere che acuisterebbero sempre più i programmi legati al sistema windows, non posso fare altro che sperare che il costo che verrà sopportato da ogni utente possa migliorare se non la macchina della giustizia, almeno la quotidianeità dei servizi di cancelleria che l'avvocato affronta.Auspico, infine che con il tempo (sepre breve nell'informatica) la FD migliori, diventi sempre più sicura e aspetto ancora più importante "gratuita e alla portata di tutti"Cordialmente.Avv. Massimo MelicaPresidente Centro Studi Informatica Giuridica
    • Anonimo scrive:
      Re: Una lancia a favore della FD
      Gentile Collega,- Scritto da: maxmel
      Sulla firma digitale, possiamo trovare
      numerosi difetti o più semplicemente
      esprimere un'opinione contraria ma mi
      chiedo: "al momento abbiamo un altro sistema
      quantomeno sicuro?"Gli aspetti teorico-matematici della firma digitale garantiscono la sicurezza del sistema. L'implementazione in software e procedure è un altro paio di maniche (ed è li che sorgono i maggiori rischi per la sicurezza). L'attuale sistema della firma digitale "pesante" è sicuro sulla base di un "atto di fede" nei confronti dei certificatori e non sulla base di verifiche indipendenti.
      Oggi, legato al sistema della firma digitale
      è il processo telematico, ovvero la
      modernizzazione della comunicazione
      all'interno del mondo giudiziario. Una "riforma" ancora al di la' da venire e che nelle sue basi (vedi il servizio "Cyberavvocato" della Cassa Forense) non lascia presagire molto di buono:)
      Pur condividendo ogni tipo di censura verso
      la FD, sotto il profilo commerciale ...Non credo ci sia nulla di male nella "commercializzazione" della firma digitale. Il "business" non è automaticamente da guardare con sospetto. Quello che non trovo corretto è tagliare fuori da una opportunità così importante una larga fascia di operatori e penalizzare i diritti dei cittadini.
      non posso fare altro che
      sperare che il costo che verrà sopportato da
      ogni utente possa migliorare se non la
      macchina della giustizia, almeno la
      quotidianeità dei servizi di cancelleria che
      l'avvocato affronta.Ita est amen:) anche se non e' detto che l'impiego di sistemi open source sarebbe di per se' meno funzionale di quelli proprietari, anzi
      Auspico, infine che con il tempo (sepre
      breve nell'informatica) la FD migliori,
      diventi sempre più sicura e aspetto ancora
      più importante "gratuita e alla portata di
      tutti"Speriamo...CordialmenteAndrea Monti
      • Anonimo scrive:
        Re: Una lancia a favore della FD
        Ringrazio tutti coloro che hanno risposto al mio breve quanto umile intervento, quello che da un lato mi ha sempre affascinato nel mondo dell'informatica e la sua costante evoluzione.Comprendo ed apprezzo le preoccupazioni dei tenici, ai quali non è possibile vendere aria fritta affermando: "che la FD sia sicura al 100%", ma è pur vero che nella sua fragilità costituisce di certo una chiave di sviluppo per l'intera società dell'informazione.Personalmente, mi adopero affinche il concetto di FD, entri nella P.A., con la viva speranza che con il tempo si possa giungere sempre a maggiori processi di sicurezza, al fine di tutelare lo scambio delle informazioni.All'inizio del 2001, ottemperando alla L.675/96 ho adeguato il mio studi affinchè rispondesse a tutti i criteri di sicurezza per la gestione dei dati personali - comuni e sensibili - dei miei assistiti.Non vi nascondo che l'intera operazione è costata un bel pò, ed è costata ancor di più quando ho riflettuto guardando le nostre cancellerie giudiziarie civili, come gestiscono le centinaia di migliaia di fascicoli d'ufficio.Montagne di fascicoli alla portata di chiunque liberamente passeggi nei corridoi del Tribunale .... e la privacy ... dov'è?Sicuramente la FD, nella sua insicurezza tecnica, paragonata allo stato attuale non può far altro che alleviare o migliorare quella che allo stato è un'attività gestita in modo ormai faraginoso e poco sicuro.CordialmenteAvv. Massimo Melica
        • Anonimo scrive:
          Re: Una lancia a favore della FD
          - Scritto da: maxmel
          Comprendo ed apprezzo le preoccupazioni dei
          tenici, ai quali non è possibile vendere
          aria fritta affermando: "che la FD sia
          sicura al 100%", ma è pur vero che nella sua
          fragilità costituisce di certo una chiave di
          sviluppo per l'intera società
          dell'informazione.L'insicurezza non risiede nel sistema in quanto tale ma nella sua implementazione, trovo ridicolo che per realizzare un sistema di questo tipo si usi codice chiuso, questo rende estremamente insicuro il tutto ed obbliga i fruitori di tale servizio a 'fidarsi' di chi lo ha sviluppato (chi mi garantisce che nel codice non ci siano backdoor o piu' semplicemente che non ci siano bug che rendano insicuro il sistema?); inoltre trovo inammissibile che il tutto sia stato affidato a piu' ditte le quali sviluppano sistemi incompatibili tra loro (ma scherziamo?); come se non bastasse tali ditte sviluppano solo per piattaforma Microsoft, il che e' assurdo visto che non permette a molte persone di fruire del servizio stesso (perche' io che sono un utente Linux non posso usare la FD? E' ridicolo)
          Personalmente, mi adopero affinche il
          concetto di FD, entri nella P.A., con la
          viva speranza che con il tempo si possa
          giungere sempre a maggiori processi di
          sicurezza, al fine di tutelare lo scambio
          delle informazioni.Pensiamo a tutelare anche il diritto di accedere al suddetto servizio da parte di TUTTI.
          All'inizio del 2001, ottemperando alla
          L.675/96 ho adeguato il mio studi affinchè
          rispondesse a tutti i criteri di sicurezza
          per la gestione dei dati personali - comuni
          e sensibili - dei miei assistiti.Trovo fortemente incoraggiante che abbiate deciso di migrare e abbandonare una piattaforma intrinsecamente insicura quale e' Microsoft (perche' lo avete fatto vero?)
          Non vi nascondo che l'intera operazione è
          costata un bel pò, ed è costata ancor di più
          quando ho riflettuto guardando le nostre
          cancellerie giudiziarie civili, come
          gestiscono le centinaia di migliaia di
          fascicoli d'ufficio.
          Montagne di fascicoli alla portata di
          chiunque liberamente passeggi nei corridoi
          del Tribunale .... e la privacy ... dov'è?Non e' molto diverso dal trattare e archiviare i suddetti dati in sistemi informatici altamente insicuri.
          Sicuramente la FD, nella sua insicurezza
          tecnica, paragonata allo stato attuale non
          può far altro che alleviare o migliorare
          quella che allo stato è un'attività gestita
          in modo ormai faraginoso e poco sicuro.

          Cordialmente

          Avv. Massimo Melica
          Ripeto: l'insicurezza non e' nella FD ma nella sua implementazione.
          • Anonimo scrive:
            Re: Una lancia a favore della FD
            Windows serve solo per giocareNon tratto sicurezza o privacy ma ho solo letto la licenza di win 2000 e ho capito solo una cosaInstalla l'ultimo gioco, l'ultima scheda 3Dun duon lettore dvd e divertitimon eta win me che salvava tutte le password degli zip in un file di testo ?Il che la dice lunga sulla sicurezzapoi il fatto che sicuro per sicuro che se un pc lasciato incustodito con la fd o hakkato (e' possibile) o condiviso le mutande con winmx uno perde la firma (il fatto e che non lo sa) si ritrova in un mare di Ca..a senza averne colpa(in certi uffici stavano col napster aperto mentre lavorano) em in azienda c'e l'adsl o il cavoprima della FD si deve anche insegnare la sicurezza, privacy e BASI di informaticail che vale per tutti gli OS linux compresoprovate a cercare i file di sistema nei sistemi di condivisione poi ditemi
    • Anonimo scrive:
      Re: Una lancia a favore della FD
      - Scritto da: maxmel
      Un giorno il Presidente degli Stati Uniti
      d'America, vide per la prima volta passare
      davanti il viale della Casa Bianca
      un'automobile o meglio quello che poteva
      assomigliare in quel lontano 1909.

      Si rivolse al suo segretario ed esclamò:
      "guarda lì quell'ammasso di ferraglia
      rumorosa ..... non avrà di certo futuro".

      Attualmente noi viviamo circondati da auto
      ed abbiamo dimenticato carrozze e cavalli!.appunto! è proprio quello che dico io!"Guarda un po' qua questo ammasso di ferraglia SILENZIOSA. Non avrà di certo futuro!"http://strc.herts.ac.uk/tp/info/qucomp/gifs/MOT.gife indovina un po' dove porta http://strc.herts.ac.uk/tp/info/qucomp ?:-)))
      • Anonimo scrive:
        Re: Una lancia a favore della FD
        Ueh HAL, mi sa che qua dentro siamo gli unici a crederci. O a intuire il caos che ci sarà fra pochi anni quando il primo spezzone di circuito quantistico fotterà in un lampo ogni sistema di firma e crittazione.Almeno potremo dire di averlo detto no?
        • Anonimo scrive:
          è una trappola!
          - Scritto da: Fede
          Ueh HAL, mi sa che qua dentro siamo gli
          unici a crederci. O a intuire il caos che ci
          sarà fra pochi anni quando il primo spezzone
          di circuito quantistico fotterà in un lampo
          ogni sistema di firma e crittazione.

          Almeno potremo dire di averlo detto no?infatti il problema che si porrà, segreto militare a parte, sarà che un tower ci sta sotto la scrivania, ma una trappola magneto-ottica che permetta di raffreddare circa cento milioni di atomi di rubidio alla temperatura di circa cento milionesimi di grado sopra lo zero assoluto forse no (ammesso che ne facciano la recensione su PC professionale)
          • Anonimo scrive:
            Re: è una trappola!
            He he! 30 anni fa 20 milioni di transistor non li producevano neppure tutte le industrie elettroniche messe assieme. Oggi ce li portiamo in tasca tutto il giorno.Ma oltretutto per scrittare un po' di chiavi RSA ad Echelon mica occorre un affare tascabile. Va bene anche un groviglio di laser grande come un campo da calcio. Basta giusto giusto che esegua quei due piccoli algoritmi quantistici di fattorizzazione.L'IBM ha già fattorizzato con l'algoritmo di Shor 4 bit. Secondo me in meno di un paio d'anni una macchina che fattorizza 56 bit la fanno. A quel punto una chiave DES si ottiene in 158 operazioni (meno di un nanosecondo).Per l'RSA la cura si chiama algoritmo di Grover (tempo polinomiale).Non so per l'AES, ma se è basato su i soliti trucchetti dei numeri primi resisterà poco.A quel punto che ce ne faremo con una rete senza una protezione digitale possibile?Se ne vedranno delle belle.
          • Anonimo scrive:
            balle
            - Scritto da: Fede
            L'IBM ha già fattorizzato con l'algoritmo di
            Shor 4 bit. Secondo me in meno di un paio
            d'anni una macchina che fattorizza 56 bit la
            fanno. A quel punto una chiave DES si
            ottiene in 158 operazioni (meno di un
            nanosecondo).ok... facciamo un po' di conti ?ammettiamo che, come sostieni, si risolva un hash a 56 bit in un nanosecondo. Anzi... facciamo in un picosecondo. Un picosecondo sono 10^-12 secondi.ora... se in un picosecondo prova le 2^56 combinazioni che sono2^5672057594037927936e' logico aspettarsi che per decriptare le 2^128 di una chiave a 128 bit, con combinazioni pari a 2^128340282366920938463463374607431768211456occorrano 2^128 / 2^56 = 2^72 picosecondi che sono4722366482869645213696 picosecondiora facciamo un po' di conti ?4722366482869645213696 * 10^-124722366482.869645213696000000004722366482.86964521369600000000 / ( 60 * 60 * 24 * 365 )149.74525884289844031253ovvero 149 anni.
            Se ne vedranno delle belle.sei ancora convinto delle tue affermazioni ?Possiamo andare sui femtosecondi, su cui abbiamo difficolta' a lavorare, e puoi abbassare la velocita' fino a rientrare in tempi umani. Ma credi veramente che un computer di oggi abbia difficolta' a lavorare con hash maggiori di 128 bit ? e se questi computer quantici sono cosi' potenti, se possono fattorizzare potranno implementare algoritmi che trovano numeri primi molto grandi con cui sara' possibile ampliare maggiormente la resistenza di un hash crittografico.
          • Anonimo scrive:
            Re: balle
            Ti suggerisco di informarti un po' prima di scrivere tanti -troppi- numeri.Gli algoritmi quantistici non hanno nulla a che vedere con quelli classici. Il tuo modo di ragionare rientra ancora tra i metodi classici.
          • Anonimo scrive:
            Re: è una trappola!
            sai cosa ce ne faremo useremoo il pc per cui e nato:l'esplorazione spazialeterra 6 e terra ritoneraiil chip e venuto dallo spazio (1947)e il chip tornera nello spazio (anzi c'e gia tornato) con il primo lancio spazialestar treck si avvicinaun compurer quantico puo risolvere equazioni matematiche complesse (per il calcolo di nuovi sistemi di propulsione) in men che non si dica
          • Anonimo scrive:
            O magari peggio
            - Scritto da: Fede
            L'IBM ha già fattorizzato con l'algoritmo di
            Shor 4 bit. Secondo me in meno di un paio
            d'anni una macchina che fattorizza 56 bit la
            fanno. A quel punto una chiave DES si
            ottiene in 158 operazioni (meno di un
            nanosecondo).Ricordo una citazione di un dirigente NSA (National Security Agency - si occupa, ovviamente anche di cifratura e decifratura) di cui, purtroppo non ricordo il nome che suonava più o meno così:I tecnici di IBM sono stati davvero bravi. Hanno RISCOPERTO molti algoritmi.Continuo ad essere paranoico (forse) ma chi ci garantisce che in qualche polveroso e iperprotetto sotterraneo in Virginia non esistano già quantum computer magari a 1024 qubit?
            A quel punto che ce ne faremo con una rete
            senza una protezione digitale possibile?
            Se ne vedranno delle belle.Che ce ne facciamo di una rete telefonica senza protezione?E della posta? Se ti prendono di mira chi garantisce che tutta la tua posta non venga aperta prima di arrivare a casa tua?E' solo un problema di scala. Alla fine chi detiene il potere (per una volta scientifico invece che di pura forza bruta) sarà in posizione di forza sugli altri. Nessuna novità.Il segreto è non farsi turlupinare dalla presunta "INFALLIBILITA'" dei metodi. Diffidare. In una parola esercitare la mai troppo necessaria (e sempre meno usata) CAPACITA' DI PENSIERO CRITICO.Spero di non sembrare polemico, non è mia intenzione. Voglio solo far notare che il mondo non sarà più semplice e neppure più complicato per l'esistenza della firma digitale. Sarà solo un nuovo strumento da usare con cervello.Cordiali Saluti.
        • Anonimo scrive:
          Re: Una lancia a favore della FD
          - Scritto da: Fede
          Ueh HAL, mi sa che qua dentro siamo gli
          unici a crederci. O a intuire il caos che ci
          sarà fra pochi anni quando il primo spezzone
          di circuito quantistico fotterà in un lampo
          ogni sistema di firma e crittazione.

          Almeno potremo dire di averlo detto no?Nessuno sta dicendo che la firma elettronica sara' la panacea di tutti i mali. Semplicemente permettera' che una e-mail possa essere realmente trattata come un fax.Ma cosa rende un fax autentico? una firma, fatta con una normale penna dal "presunto" mittente.Cosa ci vuole per imitare una firma cartacea? Non molto, un originale e un po' di esercizio...Quindi non vedo come i vostri quanti "stravolgeranno" le cose. :P
          • Anonimo scrive:
            Re: Una lancia a favore della FD
            - Scritto da: Dixie


            - Scritto da: Fede

            Ueh HAL, mi sa che qua dentro siamo gli

            unici a crederci. O a intuire il caos che
            ci

            sarà fra pochi anni quando il primo
            spezzone

            di circuito quantistico fotterà in un
            lampo

            ogni sistema di firma e crittazione.



            Almeno potremo dire di averlo detto no?

            Nessuno sta dicendo che la firma elettronica
            sara' la panacea di tutti i mali.
            Semplicemente permettera' che una e-mail
            possa essere realmente trattata come un fax.
            Ma cosa rende un fax autentico? una firma,
            fatta con una normale penna dal "presunto"
            mittente.
            Cosa ci vuole per imitare una firma
            cartacea? Non molto, un originale e un po'
            di esercizio...
            Quindi non vedo come i vostri quanti
            "stravolgeranno" le cose. :PPer quel che riguarda la firma cambia solo che potrai falsificarla. Il problema è tutto quel che riguarda la trasmissione di dati. Se non puoi cifrarli come fai a trasmettere dati sensibili?
          • Anonimo scrive:
            Re: Una lancia a favore della FD
            - Scritto da: Fede

            Per quel che riguarda la firma cambia solo
            che potrai falsificarla. Il problema è tutto
            quel che riguarda la trasmissione di dati.
            Se non puoi cifrarli come fai a trasmettere
            dati sensibili?...mi sembrava si parlasse di firme digitali.Per i dati sensibili si troveranno altri modi a tempo debito.Magari tramite i tuoi stessi quanti.
  • Anonimo scrive:
    Re: IL BAR

    non per vantare i craker pero hanno aperto
    tutto
    dal telepiu al sdmi al wma senza parlare poi
    dei vari crack che sono in giro
    (pensate che la backdoor non ci sia?)Che BackDoor vuoi che ci sia in un algoritmo matematico?Sempre ammesso che usino un algoritmo a chiavapubblica non c'è nessuna backdoor nel algoritmo!X i software che lo implementano, il discorsoè diverso, ma questo vale x tutti software,nonc'è anche x gli esseri umani! :(
    • Anonimo scrive:
      Re: IL BAR
      in realta non esiste dimostrazione che la backdoor non esista, un po come non esiste dimostrazione che non esista l'np-completezza...le grandi menti del mondo pensano che sia altamente improbabile, diciamo cosi, che esista un sistema per bucare a forza bruta i sistemi crittografici moderni... e piu ci penso piu ci credoah, se qualcuno trova un sistema per bucare la crittografia non perdera tempo a cercare di fottervi i vostri documenti digitali, diventerebbe semplicemente una delle persone piu famose del mondo...per quanto riguarda i qbit, per ora e poco meno di fantatecnologia
      • Anonimo scrive:
        Re: IL BAR
        - Scritto da: io
        in realta non esiste dimostrazione che la
        backdoor non esista, un po come non esiste
        dimostrazione che non esista
        l'np-completezza...
        le grandi menti del mondo pensano che sia
        altamente improbabile, diciamo cosi, che
        esista un sistema per bucare a forza bruta i
        sistemi crittografici moderni... e piu ci
        penso piu ci credoPer la precisione la maggior parte dei sistemi crittografici puo' essere "bucato" con la forza bruta, a patto di avere a disposizione un tempo sufficientemente lungo. Con i computer odierni e i sistemi usati e' sufficiente qualche migliaio di anni :)Quello che non sembra esistere e' un sistema per "bucarli" senza bisogno di provare tutte le possibili chiavi, entro tempi utili.
        per quanto riguarda i qbit, per ora e poco
        meno di fantatecnologiaqualche computer quantistico e' stato realizzato, peccato che credo fosse a qualcosa come 4 qbit...d'altra parte sembrerebbe essere solo questione di tempo prima di averne di funzionanti, e comunque credo che siano gia' pronti dei metodi crittografici basati sui principi dei computer quantistici...
        • Anonimo scrive:
          Re: IL BAR
          Si ma i Cracker di solito non sono grandimatematici che risolvono un problemucciodel genere solo x rubarmi un pò di soldi!Approposito dei computer quantistici, b'èpenso che il loro costo sia superiore aquello disponibile hai craker! :)PS un 1024bit lo crakki in un pò dimilioni di anni! :)
  • Anonimo scrive:
    Re: IL BAR
    - Scritto da:
    (l'unica firma sicura e quella fatta a mano
    davanti a testimoni)Cosi' continueremo ad ingrassare la casta dei notai.Come sempre, la verita' e' che il progresso delle societa' non corre di pari passo a quello tecnologico, di conseguenza viviamo in tempi di caos legislativo.alohaK.
  • Anonimo scrive:
    Al lupo al lupo
    Una PKI non si ha per il semplice fatto di possedere uno strumento che permettadi firmare e codificare qualcosa.Esistono degli standard. Basta seguirlise si vuole interoperare con altre strutturesimili.Quanto al fatto che saranno i privatia gestire le PKI Italiane mi sembra un falsoproblema. Era una linea precisa dei governi dell'Ulivo quella di delegare ad agenzie ed società private la gestione delle certificazioni.Basterebbe delegare questo compito all'Agenziadelle Entrate.
    • Anonimo scrive:
      Re: Al lupo al lupo
      mi sa' che non hai capito nulla di quanto espresso nell'articolo, ti rimando ad una piu' attenta lettura.
  • Anonimo scrive:
    Firma digitale, fregatura analogica...
    Non ho parole (si fa per dire...)Anzi, ho invece una domanda: ha un nome ed un cognome l'ANALogico (o il pool di analisti) che ha ideato 'sta monnezza in questi termini? Chi dovrei ringraziare per la pensata?
    • Anonimo scrive:
      Re: Firma digitale, fregatura analogica...
      - Scritto da: Tiziano, Ud.
      Non ho parole (si fa per dire...)
      Anzi, ho invece una domanda: ha un nome ed
      un cognome l'ANALogico (o il pool di
      analisti) che ha ideato 'sta monnezza in
      questi termini?
      Chi dovrei ringraziare per la pensata?
      Il problema è chi dobbiamo ringraziare per la non pensata, L'amministrazione dispone delle risorse necessarie per fornire 'gratuitamente' un sistema di firma digitale pubblico. Attualmente le iniziative sono in mano ai privati che una ne pensano e cento ne fanno (vedi camere commercio per l' autentica dei documenti)Secondo me l'amministrazione già dispone di chi portrebbe approntare un sistema di firma, il soggetto è SOGEI che tra l'altro tipicamente lavora in java e quindi multipiattaforma, l'operazione 'chiave pubblica e privata' avrebbe delle caratteristiche di costo e di accessibilità non indifferenti, già attualmente per la trasmissione delle dichiarazioni dei redditi dei singoli cittadini, è possibile ottenere dal sito del ministero delle finanze un pin per autenticare la dichiarazione da inviare via internet. In caso di scelta delle più 'sicure' smart-card, la distribuzione potrebbe avvenire tranquillamente dagli uffici delle entrate con la caratteristica di uniformità nazionale, ma questo forse si stà gia facendo con le carte d'identità elettroniche(spero!).ciao
  • Anonimo scrive:
    Re: IL BAR
    - Scritto da:
    IMHO
    a mio parere e sicura come un barattolo di
    cioccolata in mezzo a 2O bambini affamati e
    armati di cucchiaio
    3 soluzioni
    O il vaso si rompe
    O se lo mangiano
    pensate che il vaso rimanda intero ?????

    non per vantare i craker pero hanno aperto
    tutto
    dal telepiu al sdmi al wma senza parlare poi
    dei vari crack che sono in giro
    (pensate che la backdoor non ci sia?)

    Firma digitale NO GRZIE
    (l'unica firma sicura e quella fatta a mano
    davanti a testimoni)Non sono daccordo se per la firma si usa (non so' come abbiano implementato la cosa) ad esempio un algoritmo come l'RSA con chiavi abbastanza lunghe il sistema e' 'sicuro'; io non contesto l'idea ne contesto i metodi di realizzazione assolutamente ignobili, non ho parole :(
    • Anonimo scrive:
      ooh ma allora non la volete capire! (Re: IL BAR)
      - Scritto da: z2
      Non sono daccordo se per la firma si usa
      (non so' come abbiano implementato la cosa)
      ad esempio un algoritmo come l'RSA con
      chiavi abbastanza lunghe il sistema e'
      'sicuro'; io non contesto l'idea ne contesto
      i metodi di realizzazione assolutamente
      ignobili, non ho parole :(ooh ma allora non la volete capire!http://punto-informatico.it/poc.asp?fid=38506
      • Anonimo scrive:
        Re: ooh ma allora non la volete capire! (Re: IL BAR)
        - Scritto da: H4L9000
        ooh ma allora non la volete capire!

        http://punto-informatico.it/poc.asp?fid=38506
        che vuol dire scusa? che c'entra?
      • Anonimo scrive:
        Re: ooh ma allora non la volete capire! (Re: IL BAR)
        - Scritto da: H4L9000
        - Scritto da: z2

        Non sono daccordo se per la firma si usa

        (non so' come abbiano implementato la
        cosa)

        ad esempio un algoritmo come l'RSA con

        chiavi abbastanza lunghe il sistema e'

        'sicuro'; io non contesto l'idea ne
        contesto

        i metodi di realizzazione assolutamente

        ignobili, non ho parole :(

        ooh ma allora non la volete capire!

        http://punto-informatico.it/poc.asp?fid=38506
        hai appena detto: "abbiamo inventato la ruota... forza... tutti a colonizzare la luna"
        • Anonimo scrive:
          Re: ooh ma allora non la volete capire! (Re: IL BAR)
          - Scritto da: munehiro
          hai appena detto: "abbiamo inventato la
          ruota... forza... tutti a colonizzare la
          luna"no, io dissi (tanti commenti fa):ma chi ci dice che nei sotterranei della NSA non ce ne sia già uno bello e pronto e funzionante?ricordatevi del progetto Manhattan...e aggiungo ancora una volta il link del California Institute of Technologyhttp://www.cs.caltech.edu/~westside/quantum-intro.html
      • Anonimo scrive:
        Nooo, lui voleva dire questo
        http://www.programmazione.it/index.php?entity=enews&idNews=2332&comment=0&indentation=0&idArea=1Leggete a metà del terzo post.
      • Anonimo scrive:
        Crackare DES e RSA quantumly
        Ecco ho trovato dei link migliorihttp://www.doc.ic.ac.uk/~nd/surprise_97/journal/vol4/spb3/#4.2%20Grover's%20algorithmhttp://beige.ucs.indiana.edu/B679/node107.htmlSalutoni
    • Anonimo scrive:
      Re: IL BAR
      Mi dispiace, ma vista la lunga storia dei divieti all'esportazione dei sistemi crittografici da parte degli USA e la dura sequenza di attacchi che il PGP ha avuto in passata da parte dell'NSA, la recente apertura sembra dovuta solo al raggiungimento di una maggiore tranquillità, che può essere facilmente ricondotta ad un'evoluzione tecnologica sufficiente a rendere i suddetti algoritmi non più cosi' sicuri, esattamente come accadde in precedenza con il DES.Se cosi' non fosse, perche' limitare a 128 bit il livello di sicurezza attuale invece di utilizzare uno o più ordini di grandezza superiori, visto anche che le prestazioni dei PC attuali possono supportare crittografie real-time di livello assai elevato?Semplice. Perchè quello che utilizziamo è probabilmente facile da controllare.SalutiGianluca
Chiudi i commenti