IoT, password insicure per tutti

Re: GPG impera(dovrebbe almeno)
mandalo affanXXXX fai prima, dev' essere quel XXXXXXXX del jaguaro.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Immagino che il tuo nick sia antitetico della tua
capacità di leggere l'italiano. Provo ad
aiutarti, per il disegnino 'naltra volta
eh!




Qui è pieno di Caproni pronti a sostenere che



firmare una mail sia complicato.
Mia risposta sintetica: non è complicato, il
motivo per cui GNUPG&c non s'è diffuso è un
altro.

Quanto alla mail a meno che tu non scriva XXXXXte
al posto del testo semplice non hai da
preoccuparti di questo "attacco" e in generale
non hai da preoccuparti poiché la mail non ha
alcun valore
legale.Non è così caro il mio x te! Ci sono sentenze che dicono il contrario.


del resto a me che tu "ti fidi" (abbia trust)

della mia firma non me ne fotte una ceppa quello

che conta in questo specifico caso è che tu non

possa modificare quello che ho scritto nella
mail

senza che nessuno se ne accorga per poi
spacciarla

per "spedita da me".
Oh, ma certo, tu si che hai capito a che serve la
chain of trust. E dimmi la tua chiave autofirmata
con fiducia definitiva, magari manco pubblicata
su un keyserver come viene verificata da chi
riceve il
messaggio?E chisse ne frega? Vedi che non hai capito una ceppa te lo ripeto la firma serve a me non a te e ti impedisce di modificare il messaggio. Fine della festa! E no no puoi sostituire una ceppa perché quando si arriva in giudizio io sono l'unico capace di produrre esattamente quella firma esattamente su quel testo!Ci arrivi o no?In questo caso specifico il trust non c'entra un tubo è pura e semplice MATEMATICA!

Re: GPG impera(dovrebbe almeno)
- Scritto da: xteXXXXXXXX leggiti la direttiva europea sulla firma digitale e le relative leggi italiane.Basta questo per smentirti.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
La firma digitale della normativa è *validata* da
un ente terzo abilitato che ti ha chiesto i
documenti... Non è una coppia di chiavi GNUPG e
qui la chain of trust è (pericolosamente)
sostituita appunto dall'ente terzo
certificante.No XXXXX leggi bene la direttiva se è come hai detto sopra non va neppure in giudizio è valida a prescindere se invece non lo è la PUOI portare in giudizio qualunque firma PUÒ ESSERE PORTATA IN GIUDIZIO E ANZI LA NORMA VIETA ESPLICITAMENTE CHE UNA FIRMA CHE NON CORRISPONDA AI REQUISITI DI CUI SOPRA (ovvero quelli di una firma emessa con un certifica to QUALIFICATO) non possa essere portata in giudizio Articolo 5 comma 2!!http://www.interlex.it/testi/99_93ce.htmVerdi tra il "sentito dire" e la legge c'è una certa differenza!vai al link e buona lettura!

Re: GPG impera(dovrebbe almeno)

Alla richiesta del giudice di provare a riprodurre
firma e disegno contro la chiave Marchionne
fallisce e io no perchè solo io ho "Mykey"!La chiave è un banale file di testo, senza una chain of trust come fai ad affermare qualche chiave è di chi? Marchionne modifica il progetto e lo firma con una chiave generata coi tuoi dati (nome, cognome, mail ecc che conosce poiché pubblici) affermando che la chiave è tua.Tu affermi che non è vero perché quella chiave non ce l'hai.Lui ribatte che non ce l'hai perché hai fatto un'altra chiave ed un progetto corretto firmato con essa *dopo* che ti sei reso conto dell'errore.Senza chain of trust nessuno può affermare che una chiave sia "autentica". E anche con chain of trust resta da provare l'eventuale compromissione o meno chiave privata.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
E chi dice che la tua versione del progetto sia
quella che tu avresti mandato per la vistatura e
produzione invece di un'altra? Vedi di
seguito.Semplice il fatto che è l'unico progetto che ho firmato io!L'altro mica lo ho firmato io e sono in grado (a differenza di Marchionne) di riprodurre la firma e il progetto a mio piacimento!
Quale timestamp? Se parli della marca temporale
parte del sistema PECIdiota il digital time stamp è uno standard internazionale riconosciuto dalla direttiva europea e dalle leggi italiane fornito da un servizio di TSA.Quello della PEC da te citato vale solo per la posta e solo in italia!Il digital time stamp (come da RFC) vale invece in TUTTA EUROPA e in USA ovunque italia compresa e vale pure se la TSA è (per dire) tedesca o francese o belga e via elencando!E trovi il servizio pure "aggratis".Basta che la TSA sia terza.P.S. vanno bene per il momento persino gli inglesi dato che non sono di fatto ancora "brexitati" giuridicamente parlando.. quando saranno "brexitati" de iure e de facto si vedrà dipende dagli accordi. 8)Non lo dico io lo dice la direttiva e il relativo recepimento italico. :DQuindi sgomma biancaneve hai fatto un altro buco nell'acqua! 8)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte

Semplice il fatto che è l'unico progetto che
ho firmato
io!

L'altro mica lo ho firmato io e sono in
grado (a
differenza

di Marchionne) di riprodurre la firma e il
progetto a mio
piacimento!
E daje. Ti ho dato il LINK caro xte "..." biancaneve ecc. ecc.Mi spiace la legge è legge e le chiacchere sono chiacchere!

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Si, le chiacchiere di chi si arrampica sugli
specchi o non sa comprendere/usare l'italiano.


Lancerei un sondaggio: quanti han capito che per
te "firma" == firma digitale by
Inforcert.Quello che tu hai capito conta zero la legge invece è quella che ti ho linkato con tanto di articoli.è inutile che insisti non è una opinione e dei tuoi ipotetici sondaggi se ne fottono tutti.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
"la legge" è un'affermazione interessante, tu hai
linkato un articolo, io ho citato le norme
italiche e quelle Europee mostrandoti 1) tu non hai citato altro che le tue balzane convinzioni io ti ho linkato una legge pubblicata in gazzetta ufficiale!2) il MIO mua nonchè quello dei non dementi non modifica una ceppa infatti il cosidetto "attacco" descritto non funziona (come non funziona su nessun MUA decente).3) persino i web mail più diffusi evitano di mostrare contenuti in LINE senza conferma o almeno offrono opzioni di configurazioni per evitarlo di default.4) Qualunque individuo sano di mente sa perfettamente quali rischi ci sono nei contenuti "in-line" di una mail usando certi "OS" se tu appartieni alla categoria dei "furbi" che ignora questo fatto non oso immaginare il verminaio che c'è sul tuo computer... certo che a quanto pare il verminaio ha attaccato anche la tastiera e quello che ci è seduto davanti (a quanto pare).5) il controllo di integrità offerto da una firma (a prescindere dalla specifica tecnologia) non ha alcuna relazione (ZERO) con nessun tipo di TRUST trattasi di banale MATEMATICA non conta un tubo ne di chi sia la firma ne il perchè sia stato firmato fattene una ragione!Il trust è tutta una altra cosa e non serve affatto in questo caso (zero relazioni). Prendine atto rassegnati o in caso contrario almeno piantala di scassare gli zebedei che ne abbiamo avuto più che a sufficenza delle tue XXXXXte.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte

1)
Tu hai affermato concetti parziali e soggetti a
varie interpretazioni per poterti arrampicare
sugli specchi io ti ho citato: GNUPG, standard de
facto per l'IT del mondo, ho ribattuto alle tue
affermazioni citando la direttiva 910/2014
(eIDAS) allora EIDAS tanto per cominciare è un <b
REGOLAMENTO </b
(non una direttiva) e è <b
EUROPEO </b
non <i
<b
solo Italico </b
</i
come tu hai e avevi scritto tanto per cominciare.Eidas inoltre si occupa di identificazione e solo marginalmente di definire standard di interoperabilità comunitari per le firme elettroniche.Non essendo direttiva (CHE HA FORZA DI LEGGE e STA IN GAZZETTA UFFICIALE) ovviamente non può contraddire ne modificare la direttiva (cosa che infatti non fa).Ambedue hanno ovviamente carattere vincolante peccato che EIDAS si occupa appunto di una sola tipologia di firma (e lo scrive pure chiaramente) ovvero della <b
firma elettronica qualificata </b
che è solo <b
una </b
tra le firme citate nella direttiva!Magari se ti soffermavi a leggere questo piccolo dettagliuzzo evitavi l'ennesima figura del piffero!

2)
Il tuo MUA o *non renderizza* l'html e quindi nel
caso di questo attacco ti lascerebbe un messaggio
pressoché illeggibile o renderizza la pagina
succhiando i contenuti remoto ("attacco" con
sucXXXXX) o ritorna un rendering parziale come
qualsiasi altro MUA poiché non vi sono altre
opzioni.Il mio MUA se trova un <b
multipart </b
con regolari <b
boundary </b
(che immagino tu non sappia neppure cosa sono l'indicazione "multipart/alternative"in questa esatta forma ad esempio: <i
" MIME-Version: 1.0Content-Type: multipart/alternative; boundary="----=_NextPart_DC7E1BB5_1105_4DB3_BAE3_2A6208EB099D"------=_NextPart_DC7E1BB5_1105_4DB3_BAE3_2A6208EB099DContent-type: text/plain; charset=iso-8859-1Content-Transfer-Encoding: quoted-printableSample Text Content------=_NextPart_DC7E1BB5_1105_4DB3_BAE3_2A6208EB099DContent-type: text/html; charset=iso-8859-1Content-Transfer-Encoding: quoted-printable <html
<head
</head
<body
<div style=3D"FONT-SIZE: 10pt; FONT-FAMILY: Arial"
Sample HTML =Content </div
</body
</html
------=_NextPart_DC7E1BB5_1105_4DB3_BAE3_2A6208EB099D-- </i
Se non è così mi spiace ma non è <b
STANDARD </b
..il mio mua dicevamo... Fa il suo normalissimo rendering (come tutti) e non modica ne mostra alcun contenuto "in line" se c'è una immagine contenuta nel messaggio (ovvero locale al messaggio stesso) la mostra i riferimenti a risorse esterne se ci sono sono correttamente riportate in forma di URL/URI (se vuoi e se sei scemo cliccki... oddio io potrei anche clikkare ...ma se hai windoze è meglio che non lo fai) Comportamenti diversi ripeto non sono STANDARD forse ti sei scordato che la email (SMTP e tutti gli altri ammennicoli associati) sono un sistema <b
STORE AND FORWARD </b
non in/on-line!Che poi a te ti abbiano convinto che la e-mail sia un sistema "on-line" è solo indice di quanto non ci capisci nulla!

Re: GPG impera(dovrebbe almeno)
- Scritto da: xteFacciamo un riassunto delle tue balzane idee e affermazioniVediamo un po' secondo te che non sai neppure come è fatto un multipart e non hai idea di cosa siano i boundary nel messaggio di e-mail l'e-mail serve:a) per mandare messaggi "in-line". b) La parte "in-line" è esterna e quindi anche se firmata non è controllata da una firma...Peccato però che i riferimenti a risorse esterne (ovverosia URI/URL) sono invece contenuti specifici della mail medesima e se cambiati modifichino giocoforza l'hash risultante.c) Le normative sulla firma e il digital time stamp sarebbero solo Italiane ma ci sono una direttiva europea, un regolamento europeo e delle specifiche di formato di un organismo di standardizzazione europeo (ETSI www.etsi.org) e in più i suddetti standard corrispondono pure a quelli IETF (altro noto organismo di standardizzazione "Italiano"? (rotfl)(rotfl) ) in forma di RFC 3161 https://www.ietf.org/rfc/rfc3161.txt.d) infine (è la migliore di tutte) per verificare che l'hash di una mail firmata da Mister "Pinco Pallo" corrisponda all'hash della mail stessa occorre il TRUST ovvero sapere con certezza chi è "Pinco Pallo"! Francamente stupidaggini tutte assieme e tutte puntualmente smentite dai fatti non le avevo mai sentite.

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Vediamo di smontare questa tua ennesima scalata
dei
vetri:
a) messaggi multi part/MIME "Abbiamo scoperto che non sai come funziona una mail (multipart) e non hai capito l'articolo"Chi lo ha scritto?(rotfl)(rotfl)Il bello è che poi ti ho postato esattamente la forma sintattica (quella reale) che ha un multipart con html secondo standard dimostrandoti che stavi sparando cretinate.
b) ti smentisci da solo nello stesso post
parlando di "parti inline" e spari l'ennesima
cavolata "Peccato però che i riferimenti a
risorse esterne (ovverosia URI/URL) sono invece
contenuti specifici della mail medesima e se
cambiati modifichino giocoforza l'hash" non
capendo che non è l'URL ad esser cambiato ma il
contenuto del documento corrispondente
all'URL.Peccato che l'articolo non parla di questo ma di modifica DOPO IL DELIVERY!CApisci la parola DOPO?(rotfl)(rotfl)Capisci che se io sono il sender che ha pure a disposizione il sito non ha alcun senso che faccia una modifica DOPO?(rotfl) (rotfl)(rotfl)Con quale scopo? dato che la eventuale pagina "evil" te la posso mandare direttamente? modifico <b
DOPO </b
perchè mi voglio complicare la vita ? e a che scopo?Ti rendi conto di quanto sei ridicolo?
d) non sapendo cosa sia una chain of trust non
sei riuscito a comprendere quel che ho scritto e
hai partorito questa trovataDai spiegaci che cosa è questa chain of trust e magari (già che ci sei) spiegaci pure a cosa serve sapere chi è "PINCO PALLO" quando il tuo scopo è unicamente verificare che l'hash contenuto nella firma di "PINCO PALLO" sia lo stesso della mail che stai leggendo si chiama "controllo di integrità" il fatto che la mail sia mandata da PINCO PALLO oppure da CAIO SEMPRONIO di cui tra l'altro manco sai se siano parenti è del tutto irrilevante!(rotfl) (rotfl)(rotfl)(rotfl)

Re: GPG impera(dovrebbe almeno)

Non c'è un tubo da "modificare" se sono già
sotto il controllo dell'attaccanteAh, capisco. Allora cortesemente scrivi agli autori "dell'attacco" che si sbagliano, non si tratta di un attacco (e tra l'altro manco avresti tutti i torti). Io tanto vado a prender i popcorn.
E quindi non c'entra un tubo l'integrità con l'dentità!MITM, questo sconosciuto.

Re: GPG impera(dovrebbe almeno)

non c'è possibilità di man in the middle non
hai la chiave puoi stare "in the middle" fino
a che ti pare!Oh, certo perché una chiave GNUPG priva di controfirme per la chain of trust non la posso generare al volo... Interessante... È che GNUPG sul mio desk (o laptop eh) non è della tua opinione...
Le hai provate tutte!Amico guarda che non son mica uno specchio eh!Quello che vedi è il riflesso del tuo monitor. Non far confusione.

Re: GPG impera(dovrebbe almeno)
P.S.A proposito di standard La firma citata in EIDAS come FIRMA ELETTRONICA QUALIFICATA è in standard PKCS7Che è di gran lunga lo standard internazionale più utilizzato (pure dal tuo MUA oltre che da una infinità di applicazioni compresa adobe, open-ssl, Xml-dsig ecc. )Le forme e i formati codificati da ETSI (prima e dopo EIDAS) XAdES CAdES PaDES sono tutte varianti di formato PKCS7 e S/MIME (in pratica la stessa cosa).Questo ovviamente non significa che siano l'unica forma di firma digitale come giustamente fissato dalla direttiva europea.IL PGP/GPG non solo non è lo standard più diffuso (a differenza di quanto credi tu) ma è pure largamente posteriore agli standard PKCS e ai loro derivati.I certificati x.509 risalgono addirittura ai tempi dei mailer PEM (Privacy Enhanced Mail) il cui rfc risale al 1993La codifica PEM si usa ancora oggi come standard di fatto. ad esempio:-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----è un certificato x.509 se fai la prova (ad esempio con openssl o altro) ti accorgi pure di quello che c'è scritto dentro e di che tipo è la chiave!

Re: GPG impera(dovrebbe almeno)
(rotfl)- Scritto da: xte
Oh, interessante, mi apresti dire l'applicazione
"adobe" che cosa fa di preciso? Ah, già che ci
sei mi scrivi dove il cosiddetto regolamento
eIDAS cita, anche solo di striscio, una qualche
tecnologia
specifica?Evidentemente hai capito tutto di come funzionano le norme in Europa.Vedi ci sono: 1) le direttive (vedi direttiva ue/99 sulla firma digitale)2) i regolamenti (vedi EIDAS)3) Gli standard Tecnologici VEDI ETSI (http://www.etsi.org/) http://www.etsi.org/deliver/etsi_en/319100_319199/31912202/01.01.01_60/en_31912202v010101p.pdfCAdEShttp://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdfXAdEShttp://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdfPAdESTi è mica mai venuto il sospetto che si tratti di ruoli e cose diverse?(rotfl)(rotfl) che funzionano però (guarda caso) tutte assieme nelle normative? 8)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Ti è mai venuto in mente che ad arrampicarti sui
vetri così finisci per ingarbugliarti ancora di
più?Argomento fantasticamente convincente!(rotfl)(rotfl)Come quello del cambiare il sito per cambiare la mail....(rotfl)(rotfl)(rotfl)E N.B. non si sa bene cosa c'entrerebbe "ropemail" in un tal caso!(rotfl)(rotfl)Sei uno spasso totale.No davvero non hai altre cagate da aggiungere tipo quella della PA unica al mondo?

Re: GPG impera(dovrebbe almeno)
Se leggi l'articolo vedrai che l'MUA non modifica infatti nulla: visualizza semplicemente un messaggio succhiando informazioni da un server remoto. Questo (come già scritto sia nell'articolo sia da me in svariati post in questa discussione) non è né "firmabile" né sotto il controllo dell'MUA.Un esempio: il tuo file (la mail firmata, cifrata, marcata ecc) contiene http.... /lungo/e/noiosoURL ... Quando il tuo MUA visualizza il messaggio, per farlo correttamente deve scaricare l'URL di cui sopra. Ed è questo contenuto, estraneo al messaggio, che agli occhi dell'utente appare come il messaggio stesso.Ce semo capiti?
il "browser incorporato" ammesso che il tuo MUA ce lo
abbia (fatti tuoi di cui non frega una ceppa a nessuno)
fornisce pure lui una RAPPRESENTAZIONE ma non aggiunge
o toglie un tubo (non può).Certo che no, lo prende paro paro dall'URL che è fuori dal suo controllo.
per questo che scrivi XXXXXXXte galattiche come quella
che hai scritto dove "la chiave è un semplice file di testo"man gpg, è un po' lungo ma è una lettura istruttiva.Se sei della generazione Google troverai facilmente centinaia di howto introduttivi che includeranno anche le informazioni su import&export delle chiavi.

Re: GPG impera(dovrebbe almeno)
Comodo, tu non hai capito quel che l'articolo ha scritto poiché sostieni che la firma digitale, intesa come quella approvata dalla PA italica, e da quella soltanto (che te ritieni essere uno standard internazionale e ti ho dato riferimenti normativi comprovanti una realtà diversa), ma ovviamente l'hai tirato fuori solo dopo parecchi post.La mail non viene in alcun modo alterata, quindi la tua firma "legale" italica sarà sempre verificata poiché quel che cambia è il contenuto remoto linkato, non firmato né firmabile.Se vuoi chiudere, per me va bene, o col tuo silenzio o con la tua ammissione che stai scrivendo cavolate.

Re: GPG impera(dovrebbe almeno)

1)Non hai DIMOSTRATO proprio nulla. Ti ho spiegato come funziona una firma digitale (a livello disegnino da bambino piccolo) e quando tu hai tirato fuori il burocratese t'ho risposto descrivendo anche questo scenario.
2)Leggi sono una cosa, standard de jure sono un'altra ancora, standard de facto ancora una terza. Lo standard de facto del mondo internet si chiama GNUPG/PGP. Lo standard de jure dei pagamenti bancari è il PCI, lo standard de jure della firma elettronica in Italia è un altro ancora. È inutile che continui ad arrampicarti sugli specchi giocando con Wikipedia.Io in genere non do da mangiare ad un troll ma siccome ho tempo ti rispondo e continuerò a farlo.

Re: GPG impera(dovrebbe almeno)
Replicare lo stesso contenuto nel tentativo di aver l'ultima parola non aiuta.Ps da quando Squirrelmail è la webmail più diffusa?

Re: GPG impera(dovrebbe almeno)
Un tizio col tuo stesso nik ha scritto "persino i web mail più diffusi (Squirrelmail solo per citarne uno)"nelle mie statistiche personali sei moooooooolto lontano dai più diffusi.Ah, altra domanda bonus: cos'è una webmail? Un servizio, una piattaforma, un'applicazione web, altro?

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Comodo, tu non hai capito quel che l'articolo ha
scritto poiché sostieni che la firma digitale,
intesa come quella approvata dalla PA italica, e
da quella soltanto (che te ritieni essere uno
standard internazionale e ti ho dato riferimenti
normativi comprovanti una realtà diversa), ma
ovviamente l'hai tirato fuori solo dopo parecchi
post.

La mail non viene in alcun modo alterata, quindi
la tua firma "legale" italica sarà sempre
verificata poiché quel che cambia è il contenuto
remoto linkato, non firmato né
firmabile.il tuo preteso "contenuto" infatti non è un contenuto perchè non è CONTENUTO nel file quindi si tratta di un NON CONTENUTO ovverosia qualcosa che con la mail non ha un tubo a che vedere ci arrivi oppure no?Ergo la questione è estremamente semplice se c'è un riferimento (come c'è) a una risorsa esterna non va ne mostrato ne "renderizzato" non c'è proprio nulla da renderizzare ma da mostrare in forma di risorsa (URI/URL) il link coi riferimenti.Fine della festa!

Re: GPG impera(dovrebbe almeno)
(rotfl)(rotfl)- Scritto da: xte
Oh, ma davvero. Dimmi hai mai visto un sito web
recente? Anche un banale C-u nella maggior parte
dei
browser...

Faresti alcune scoperte interessanti (oltre a
notare vari
orrori).Un sito web?(rotfl)(rotfl)(rotfl)Ecco bravo... cerca di capire HTTP non è (ripeto non) è SMTP e MIME non (ripeto non) è HTML ci arrivi o continui a non rendertene conto? 8)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Un tempo in Liguria si dive "Pe un bugiun" che
era la risposta data dagli "esperti" ai giovani
soldati affamati che domandavano se un ciuffo
d'erba era commestibile. Oggi esiste la zuppa
"prebugiun"... Sei un vero campione di
mix.Bravo è meglio che ti occupi di "prebugiun" in liguria perchè la "marca temporale" (aka digital time stamp protocol) è così solo italiana e solo della PA che ci hanno fatto (pensa come è potente la PA italiana) un RFCil 3161https://www.ietf.org/rfc/rfc3161.txtLa cosa strana è che i firmatari sono tutti americani/canadesi con la sola eccezione di Denis Pinkas (europeo lussemburghese e giacchè ci siamo pure un tantino pignolo e XXXXXXXXXXXXX se ci si discute di persona) Buon prebugiun! (p.s. secondo me alle 23:12 è già piuttosto tardi per il prebugiun) il ruttino lo fai a mezzanotte?

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Oh, altra perla:

"marca temporale" (aka digital time stamp
protocol)

Cioè non sai manco cos'è la marca temporale.
Hint: non è un
protocollo.XXXXXXXXX il protocollo è quello che serve a chiederla la marca temporale la cui forma (e contenuto) è descritta in RFCMa sai leggere o neppure quello?

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
E tu sai partire dal capo e arrivare alla coda?non c'è alcuna fantasia basta leggere è codificato il formato nell'RFC ha si è codificato in ASN.1 che tu non sai cosa sia ma questa è un altra storia (Hint ASN.1 è l'acronimo di abstract sintax notation.1) Esempio pratico :openssl asn1parse -in (filename) -infornmat (DER o PEM a seconda dell'encoding) -i (se lo vuoi indentato) nel caso (ad esempio di una TSA REQ (opzione -query) ti esce qualcosa di questo tipo: <i
0:d=0 hl=2 l= 68 cons: SEQUENCE 2:d=1 hl=2 l= 1 prim: INTEGER :01 5:d=1 hl=2 l= 49 cons: SEQUENCE 7:d=2 hl=2 l= 13 cons: SEQUENCE 9:d=3 hl=2 l= 9 prim: OBJECT ::sha256 20:d=3 hl=2 l= 0 prim: NULL 22:d=2 hl=2 l= 32 prim: OCTET STRING [HEX DUMP]:B8BE956E0F435ECB566BF709C6BF995A09439B4BA2AF786586DCCF4FE483D0DD 56:d=1 hl=2 l= 9 prim: INTEGER :8D073BF2874BC432 67:d=1 hl=2 l= 1 prim: BOOLEAN :255 </i
Che è l'esatto contenuto (e sintassi) della richiesta.Provare per credere!(rotfl)(rotfl)(rotfl)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Se vuoi provare a firmare un file via openssl
leggi qui blia. it/firmadigitale/, poi però
scoprirai che la verifica non avviene, lascio a
te lo scoprire
perché.XXXXXXXXX la verifica avviene eccome purchè tu usi le opzioni corrette e purchè tu usi il certificato corretto!Prova e vedi https://www.blia.it/firmadigitale/XXXXXXXX un altra volta!

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte
Cioè, fammi capire, mi RIGIRI il link che ti ho
postato
io!?
Cavolo, stai proprio scivolando sullo specchio!

Hint: se vuoi verificare una firma c'è unIdiota 1) tu non hai linkato una XXXX2) la verifica passa e pure alla grande3) quello delle poste è uguale a quello di infocert che è uguale a quello di openss che è uguale a quello del fraunhofer tedesco perché sono la stessa cosa CAdES! XXXXXXXX!

Re: GPG impera(dovrebbe almeno)
(rotfl)P.S.Ah mi dimenticavo che la famigerata P.A. Italiana (guarda te che razza di gombloddo) ha pure pagato (evidentemente) la community openssl per introdurre il comando ts "openssl ts -query" "openssl ts -reply" e "openssl ts -verify" dentro a openssl il tutto esattamente nel formato previsto per la "marca temporale" che però loro si ostinano a chiamare "digital time stamp"....Saranno stati Renzi la Boschi o la Madia? oppure si tratta di un complotto ordito dai grillini e da Di Maio quando avevano i calzoni corti e facevano le medie? si esclude la possibilità che c'entri Salvini perchè è troppo impegnato a capire come si fa a fare uscire la ruspa dal cortile sta ancora facendo manovra.....(rotfl)(rotfl)Adesso prova manine sulla tastiera e scrivi:"openssl ts" succede qualcosa? esce un messaggio misterioso? E se si perchè?(rotfl)(rotfl)(rotfl)

Re: GPG impera(dovrebbe almeno)
(rotfl)- Scritto da: xte
L'unica cosa che esce è l'help generico di
openssl ts, di misterioso c'è solo la tua mente,
io mi stò abbastanza divertendo a prenderti per i
fondelli (scusandomi con altri lettori) ma
tu?e è l'help di cosa cioè il comando serve a ottenere cosa?cioè : <i
ts -query [-rand file:file:...] [-config configfile] [-data file_to_hash] [-digest digest_bytes][-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160] [-policy object_id] [-no_nonce] [-cert] [-in request.tsq] [-out request.tsq] [-text] </i
cosa produce?Ce lo sai descrivere?(rotfl)(rotfl) <i
ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password] [-signer tsa_cert.pem] [-inkey private_key.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id] </i
Invece serve a produrre cosa e da parte di chi? chi risponde? cosa risponde? e a quale richiesta? che razzo è "request.tsq"? e "response.tsr"(rotfl)(rotfl)su dai facci almeno una ipotesi... (hint non sono renzi e la madia)(rotfl)(rotfl)(rotfl)

Re: GPG impera(dovrebbe almeno)
(rotfl)(rotfl)- Scritto da: xte
Sei sicuro di voler far questo gioco? Comunque
non c'è problema, è uno strumento per interrogare
una TSA (Time Stamping Authority) o richiedere la
"certificazione" che un certo hash (ovvero un
certo file) esiste in un certo punto nel
tempo.Davvero? e come mai ha lo stesso identico formato descritto nell RFC 3161?E come mai è lo stesso previsto da ETSI e lo stesso previsto nella cosiddetta "marca temporale?"Caso coincidenza?Ma non era una roba solo della PA italiana? (rotfl)(rotfl)Giusto per sapere eh...
OpenSSL implementa questa funzione aderendo alla
RFC 3161, altri come ad es. InforCert in Italia
implementano altre soluzioni, No la "soluzione" di "Infocert" (come quella di qualunque TSA) ha esattamente quel formato bit per bit!(rotfl) (rotfl)(rotfl)Quindi serve a stabile che un certo progetto o una certa mail o un certo documento (compresa la eventuale firma) esiste a partire almeno da una certa data (sfiga nera per marchionne! (rotfl) )E peccato che ha pure valore LEGALE (vedi ETSI) e è pure se vuoi ottenibile aggratis da parecchie TSA europee(rotfl)(rotfl)Un vero peccato! 8)

Re: GPG impera(dovrebbe almeno)
(rotfl)- Scritto da: xte

dalla PA italica e bon.E bon?(rotfl)(rotfl)guarda il caso è usata in tutto il mondo ma a parte questo dettagliuzzo che non c'entra una ceppa

Domanda bonus: fammi con strumenti standard
(ovvero NON Dike&c) un file firmato compatibile
con gli standard personali di infocert.Infocert non utilizza alcuno standard "personale" e non lo potrebbe fare neppure se volesse data la legge! per fare una firma di formato identico a quella di tutti gli altri basta openssl! dike non serve a una beata fava!Il formato puoi vederlo naturalmente anche con openssl anche se tu la avessi fatta con dike si tratta di un volgarissimo PKCS7 Vedi openssl PKCS7XXXXXXXX!SE vui i dettagli sintattici ASN.1 (che non sai cosa sia ma vabbe!.... troppe sono le cose che non sai) puoi anche usare "openssl asn1parse" dandogli in pasto il file ottenuto (che loro chiamano guarda caso .p7m)(XXXXXXXX di nuovo)...P.S tanto per essere chiari nel caso specifico l'encoding è DER (distinguished encoding rules) quindi devi dare questa opzione di encoding al comando openssl!Ma anche qui figuriamoci se sai cosa sia un encoding DER!(rotfl)(rotfl)(rotfl)(XXXXXXXX nuovamente)
Ah, quindi hai cambiato versione, il progetto non
è più firmato ma marcato temporalmente. XXXXXXXXX il progetto (te lo ripeto) è firmato e con digital time stamp!N.B. la tecnologia (aka il formato) del Time stamp protocol è neutrale rispetto a quella che hai usato per firmare (che non c'entra una XXXX) e il TSP altro non è che una firma dell'hash più la data e l'ora (a sua volta) fatta in realtà col solito PKCS7! che abbiamo già capito non sai cosa sia!Anche qui è inutile che ti arrabatti Rileggi e buona fortuna!(XXXXXXXX un altra volta!)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte

Infocert non utilizza alcuno standard
"personale"

e non lo potrebbe fare neppure se volesse
data la legge!

Ah si? Mi linki la legge dove si evince che si
deve seguire l'rfc del
caso?te lo ho già linkato (solo che ignorante come sei non hai ne letto ne capito) sono i documenti ETSI e che la firm,a è CAdES telo dicono addirittura loro vedi qui:https://help.infocert.it/guide/guida-alla-firma-dei-documenti-con-dike-6/Vedi dopo "cosa fare indice" al punto 2!XXXXXXXX di nuovo! (rotfl)(rotfl)

Ah, interessante... Adesso la marca temporale si
trasforma in
firma...Non si " trasforma" un XXXXX lo è sempre stata! XXXXXXXX leggi l'RFC è scritto nero su bianco!
Ah, il TSP adesso è un formato? E dimmi, per caso
la firma che è un
protocollo?Scritta in ASN.1 è entrambe le cose XXXXXXXX in ASN.1 protocollo e contenuto sono la stessa cosa googla prima di fare altre figure da minus habensil comando openssl ts query produce (guarda caso un file) che viene salvato in locale idiota!Quello è ciò che mandi alla TSA dentro c'è scritto che parli ASN1 e che tipo di opzioni vuoi in risposta (ad es. il "nonce" che tipo di hash hai usato e cosa vuoi in risposta il valore dell'HASH ecc. ecc.) il trasporto (tutta un altra cosa) può essere effettuato via HTTP o addirittura via SMTP (rotfl)(rotfl)E ripeto è tutto scritto in RFC (che evidentemente non riesci a leggere)Ma ovviamente tu non ne sai una ceppa perchjè nonostante il link non hai ne letto ne capito nulla! 8)

Re: GPG impera(dovrebbe almeno)
- Scritto da: xte

te lo ho già linkato
No caro, non hai linkato una legge italiana o
europea che faccia esplicita menzione della
tecnologia sottostante
usata.
Cretino la legge italiana e la legge europea sono la stessa cosa per via del recepimento!


Ah, interessante... Adesso la marca
temporale
si


trasforma in firma...

Non si " trasforma" un XXXXX lo è sempre
stata!


XXXXXXXX leggi l'RFC è scritto nero su
bianco!
Si? Veramente? Perché non linki il punto esatto
dell'RFC (dai, non è difficile, posto che
ovviamente esista il documento da linkare, è
chiaro). Ah, poi segnala ad Infocert e DigitPA
che non capiscono un cavolo insieme a tutti i
vendor abilitati che marca temporale e firma sono
la stessa cosa. Io prendo altri
popcorn
XXXXXXXXX te lo ho già linkato rfc 3161 al punto 4 ti spiega i requisiti della sta significa Key. Scemo!Impara a leggere