Il lato oscuro della firma digitale

di Andrea Monti. IncompatibilitÓ, discriminazioni e spese crescenti. Ecco a voi la firma digitale all'italiana. Anzi, all'americana

Roma - Sui vari aspetti della firma digitale (giuridici, economici, "filosofici", tecnici) Ŕ stato detto tutto e il contrario di tutto, molto spesso confondendo - spesso "interessatamente" - opinioni, fatti e palesi carenze tecniche (come sostenere che il documento firmato digitalmente Ŕ "cifrato"). Pi¨ o meno "casualmente" per˛ nessuno si Ŕ soffermato su alcuni aspetti pratici che la dicono lunga sul tipo di "cambiamenti" che provocherÓ l'introduzione su larga scala di questo meccanismo, candidato a rimpiazzare l'uso di carta e penna.

Mi limiter˛, in proposito, ad enunciare una serie di fatti lasciando, per quanto possibile, a voi le conclusioni.

- Attualmente ci sono oltre 10 certificatori che offrono la firma digitale
- I certificatori non garantiscono la piena interoperabilitÓ degli strumenti di firma
- ╚ necessario acquistare un software e valutare se accedere anche al servizio di aggiornamenti (per il momento gratuito, in futuro non si sa)
- Risultano giÓ problemi di incompatibilitÓ fra i lettori di smart card e i software per la gestione della firma
- Le applicazioni sono disponibili solo in ambiente Windows
- I certificatori non hanno sviluppato nessuna applicazione open source e, a quanto pare, non hanno alcuna intenzione di farlo
- Esiste almeno un progetto open source - Raynux - che per˛ non riesce a decollare per mancanza di supporto e di informazioni
- Per il resto, la comunitÓ open source italiana Ŕ cieca e sorda
- I sistemi open source - non potendo offrire supporto alla firma digitale - sono di fatto tagliati fuori dalle gare pubbliche
- l'art. 31, comma 2, della legge 24/11/2000 n. 340 ha abolito la firma autografa per il deposito degli atti societari presso il Registro delle Imprese a partire dal 9 dicembre 2001. La norma, in altri termini, obbliga ad intrattenere rapporti con le camere di commercio solo ed esclusivamente tramite firma digitale
- Chi vuole usare la firma digitale dovrÓ necessariamente avere almeno un computer con sistema operativo in ambiente Windows
- Se le pubbliche amministrazioni non compiranno scelte diverse, costringeranno i cittadini a dotarsi di sistemi costosi e insicuri per avere ci˛ che spetterebbe loro di diritto e senza costi aggiuntivi (visto che il pagamento delle tasse dovrebbe coprire i costi di questi servizi)
- In particolare, l'apposizione della "marca temporale" che attribuisce data certa al documento informatico, Ŕ un servizio a pagamento (quando oggi il timbro postale, ad esempio, assolve alla stessa funzione senza costi aggiuntivi)
- Le somme pagate a vario titolo per utilizzare la firma digitale nei rapporti con la pubblica amministrazione finiranno con buona probabilitÓ in mani private (e in buona parte americane) invece, magra consolazione, di rimanere quantomeno alle pubbliche amministrazioni stesse
- Tutto questo accade sotto gli occhi di tutti, e nessuno grida "il Re Ŕ nudo"
Andrea Monti
www.andreamonti.net
TAG: italia
77 Commenti alla Notizia Il lato oscuro della firma digitale
Ordina
  • che prima facciano universale l'accesso in rete
    (tradotto la rete come servizio essenziale quindi garantito a TUTTI non le fesserie sulla flat rate).

    Poi, casomai, ne riparliamo.

    Vogliono l'e-governament? sta benissimo.

    Comincino i fautori del nuovo corso a fare l'infrastruttura giusta e non le solite cialtronate propagandistiche.
    non+autenticato
  • -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    Premesso che condivido pienamente le critiche e le preoccupazioni
    espresse dall'autore dell'articolo, volevo precisare che,
    fortunatamente, un software open-source per la crittografia a chiave
    pubblica o asimmetrica esiste gia` da tempo.

    Si tratta peraltro di un programma ormai molto popolare e
    consolidato, che garantisce anche la totale interoperabilita` con i
    piu` diffusi software per la crittografia a chiave pubblica, anche
    commerciali, essendo pienamente conforme allo standard "OpenPGP".
    Il programma in questione si chiama "GPG" (Gnu Privacy Guard), ed e`
    liberamente scaricabile da qui:
    http://www.gnupg.org/

    Il software e` stato inizialmente sviluppato in Germania, con il
    pieno sostegno (anche economico) del governo tedesco (dal quale il
    nostro governo avrebbe molto da imparare).

    Pur essendo stato sviluppato inizialmente in Germania, come tutti i
    software in licenza GPL di una certa rilevanza, GPG ha ormai un
    carattere transnazionale, tanto che ne esistono versioni localizzate
    per tutte le lingue piu` diffuse (compreso l'italiano).
    Sono altresi` disponibili implementazioni per varie piattaforme
    (comprese Unix, Linux, Windows e Mac).

    Per quanto attiene invece al progetto italiano menzionato
    nell'articolo (Raynux), non posso nascondere che, visitandone il
    sito, ho provato un vivo senso di... Orrore!

    Nella pagina localizzata su questo link:
    http://www.rad.unipd.it/progetti/firma/tecnica/tec...

    potrete leggere infatti una delle piu` grandi baggianate mai espresse
    circa l'uso della crittografia a chiave pubblica, ovvero che la
    "chiave privata" e` quella che si adopera per criptare il messaggio,
    e che la "chiave pubblica" e` quella che si adopera per decrittarlo
    (mentre avviene esattamente l'opposto!)

    Spero vivamente che si tratti soltanto di una svista (anche se e`
    scritto grande e grosso su un diagramma, che deve aver richiesto pure
    un certo tempo per essere approntato), ma e` certo che con queste
    premesse cascano davvero le braccia...

    Forse sarebbe piu` opportuno indirizzare gli sforzi dei programmatori
    italiani verso la partecipazione a progetti open-source gia`
    consolidati, quali GPG, piuttosto che disperderli in iniziative
    traballanti e dall'incerto futuro.

    Concludo firmando questo articolo (con la mia chiave privata)
    mediante GPG, a scopo dimostrativo.
    Per chi volesse verificare l'interoperabilita` di qualsiasi altro
    programma OpenGPG-compliant, dovrebbe essere possibile (word-wrapping
    permettendo) verificare la mia firma mediante la mia chiave pubblica,
    scaricabile dal keyserver:
    wwwkeys.us.pgp.net
    facendo una ricerca con la mia email:
    ema_zep@tin.it

    Saluti,
    Emanuele Zeppieri.


    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (MingW32) - WinPT 0.5.1
    Comment: For info see http://www.gnupg.org

    iD8DBQE8NvRv17jtlY+O0jkRArXJAKD3G2TtvdEYZefja3HyGCoQPjeaeQCguoXx
    iUPNm8JV0CdN+PNiFieFRSE=
    =0f5L
    -----END PGP SIGNATURE-----
    non+autenticato
  • Ho appena verificato che la mia firma è perfettamente verificabile mediante un semplice copia e incolla, grazie al fatto che il sistema di pubblicazione di PI non ha introdotto word-wrap arbitrari nel mio precedente messaggio.

    Rimane pertanto valido l'invito a chiunque volesse provare la potenza di GPG Occhiolino

    Ciao,
    Emanuele Zeppieri.
    non+autenticato
  • Le capacita' di GnuPG adesso (e di PGP prima) sono indubbie.
    Il problema e' che non fa parte dei formati "riconosciuti" per la FD da parte delle istituzioni. Certo, sarebbe stato tutto piu' facile se il formato iniziale fosse stato l'OpenPGP, molte delle critiche esperesse non avrebbero avuto modo di esistere.
    Ma la situazione attuale e' quella che viene presentata nell'articoloTriste    
    non+autenticato
  • Grazie per l'utilissima precisazione.
    Non trovo per?, contrariamente a quanto affermi la versione Mac?!
    non+autenticato


  • - Scritto da: Ivanoe
    > Grazie per l'utilissima precisazione.
    > Non trovo per?, contrariamente a quanto
    > affermi la versione Mac?!

    http://macgpg.sourceforge.net/
    non+autenticato
  • [munehiro@quela munehiro]$ gpg --verify pippo.gpg
    gpg: Firma fatta sab 05 gen 2002 13:41:19 CET usando la chiave DSA con ID 8F8ED239
    gpg: richiedo la chiave 8F8ED239 a wwwkeys.eu.pgp.net ...
    gpg: chiave 8F8ED239: chiave pubblica importata
    gpg: Numero totale esaminato: 1
    gpg:             importate: 1
    gpg: Firma valida da "Emanuele Zeppieri <ema_zep@tin.it>"
    Impossibile trovare un percorso di fiducia valido fino alla chiave. Vediamo
    se possiamo assegnare qualche valore di fiducia del proprietario mancante.

    Non è stato trovato alcun percorso che porti a una delle nostre chiavi.
    gpg: ATTENZIONE: questa chiave non è certificata con una firma fidata!
    gpg:         Non ci sono indicazioni che la firma appartenga al proprietario.
    gpg: Impronta digitale: F92C 6472 546B CA11 D9C5 2CCB D7B8 ED95 8F8E D239
    [munehiro@quela munehiro]$

    e poi dicono che non e' user friendly.
    cmq quando passi una chiave, passa il keyid, non l'email. Il keyid sono gli ultimi due valori della fingerprint, nel tuo caso 0x8f8ed239

    non+autenticato
  • - Scritto da: munehiro
    > [munehiro@quela munehiro]$ gpg --verify
    > pippo.gpg
    > gpg: Firma fatta sab 05 gen 2002 13:41:19
    > CET usando la chiave DSA con ID 8F8ED239
    > gpg: richiedo la chiave 8F8ED239 a
    > wwwkeys.eu.pgp.net ...
    > gpg: chiave 8F8ED239: chiave pubblica
    > importata
    > gpg: Numero totale esaminato: 1
    > gpg:             importate: 1
    > gpg: Firma valida da "Emanuele Zeppieri
    > <ema_zep@tin.it>"
    >    
    > e poi dicono che non e' user friendly.

    Infatti.
    Se poi si considera che esistono pure dei front-end visuali per GPG (anche sotto Windows), diventa ancora più semplice.
    E grazie per la demo Occhiolino

    > cmq quando passi una chiave, passa il keyid,
    > non l'email. Il keyid sono gli ultimi due
    > valori della fingerprint, nel tuo caso
    > 0x8f8ed239

    Qui non sono d'accordo: secondo me è preferibile passare l'email, perché si ricorda (e si trascrive) molto più facilmente del keyid, considerato poi che i keyserver permettono tranquillamente di fare le ricerche anche in base all'email.
    Inoltre l'email garantisce l'univocità al pari del keyid, fin tanto che uno non si mette ad uploadare nuove chiavi con la stessa email (se nome e cognome fossero univoci, passerei addirittura quelli).

    P.S.
    Se poi volessi pure firmare le mie chiavi... Occhiolino

    Ciao,
    Emanuele.
    non+autenticato


  • - Scritto da: Emanuele Zeppieri
    > - Scritto da: munehiro
    > > [munehiro@quela munehiro]$ gpg --verify
    > > pippo.gpg
    > > gpg: Firma fatta sab 05 gen 2002 13:41:19
    > > CET usando la chiave DSA con ID 8F8ED239
    > > gpg: richiedo la chiave 8F8ED239 a
    > > wwwkeys.eu.pgp.net ...
    > > gpg: chiave 8F8ED239: chiave pubblica
    > > importata
    > > gpg: Numero totale esaminato: 1
    > > gpg:             importate: 1
    > > gpg: Firma valida da "Emanuele Zeppieri
    > > <ema_zep@tin.it>"
    > >    
    > > e poi dicono che non e' user friendly.
    >
    > Infatti.
    > Se poi si considera che esistono pure dei
    > front-end visuali per GPG (anche sotto
    > Windows), diventa ancora più semplice.

    does a fish really need a bicycle ?
    sinceramente con i pulsantini mi romperei. Forse sarebbe piu' facile all'inizio, ma piu' lento in confronto. L'importante e' avere la possibilita' di scegliere quale interfaccia usare. E' un'altra delle ragioni per cui detesto windows: o visuale o ti attacchi... voglio poter avere la liberta' di scegliere.

    > E grazie per la demo Occhiolino
    >
    > > cmq quando passi una chiave, passa il
    > keyid,
    > > non l'email. Il keyid sono gli ultimi due
    > > valori della fingerprint, nel tuo caso
    > > 0x8f8ed239
    >
    > Qui non sono d'accordo: secondo me è
    > preferibile passare l'email, perché si
    > ricorda (e si trascrive) molto più
    > facilmente del keyid, considerato poi che i
    > keyserver permettono tranquillamente di fare
    > le ricerche anche in base all'email.

    certo pero' qualsiasi persona potrebbe fare una chiave specificando la tua email, scrivere maialate, firmarla con la chiave appena creata e inserirla nel db. In questo modo, ci sarebbero due chiavi, con la stessa email. Peccato che quando effettui il lookup con gpg, lui cerca per keyid, e quindi dice che la firma e' valida. Questo porterebbe a pensare che le maialate le hai scritte tu.
    Con il keyid questo problema non ce l'hai, perche' anche se un tizio creasse una chiave diversa, c'e' una probabilita' bassissima che abbia lo stesso keyid tuo, e praticamente nulla che abbia la stessa fingerprint.

    > Inoltre l'email garantisce l'univocità al
    > pari del keyid, fin tanto che uno non si
    > mette ad uploadare nuove chiavi con la
    > stessa email (se nome e cognome fossero
    > univoci, passerei addirittura quelli).

    come vedi non e' vero in assoluto

    >
    > P.S.
    > Se poi volessi pure firmare le mie chiavi...
    > Occhiolino

    senza vederti in faccia con carta d'identita' in una mano e fingerprint nell'altra non firmo proprio nienteSorride

    non+autenticato
  • - Scritto da: munehiro
    > L'importante e'
    > avere la possibilita' di scegliere quale
    > interfaccia usare. E' un'altra delle ragioni
    > per cui detesto windows: o visuale o ti
    > attacchi... voglio poter avere la liberta'
    > di scegliere.

    Oddio, volendo Windows un minimo di scelta la concede, visto che offre anch'esso una specie di CLI (la "DOS box").
    Ma certo non è neanche lontamente paragonabile alla potenza di una CLI unix-like, siamo d'accordo Occhiolino

    > certo pero' qualsiasi persona potrebbe fare
    > una chiave specificando la tua email,
    > scrivere maialate, firmarla con la chiave
    > appena creata e inserirla nel db. In questo
    > modo, ci sarebbero due chiavi, con la stessa
    > email. Peccato che quando effettui il lookup
    > con gpg, lui cerca per keyid, e quindi dice
    > che la firma e' valida. Questo porterebbe a
    > pensare che le maialate le hai scritte tu.
    > Con il keyid questo problema non ce l'hai,
    > perche' anche se un tizio creasse una chiave
    > diversa, c'e' una probabilita' bassissima
    > che abbia lo stesso keyid tuo, e
    > praticamente nulla che abbia la stessa
    > fingerprint.

    Beh, il problema di qualcuno che tenta di "impersonarti" non lo risolvi comunque, perché il tizio potrebbe tranquillamente comunicare la sua keyid (corrispondente alla nuova chiave che ha appena creato), e dire che sei tu l'impostore.
    Da cui la necessità del "web of trust", che è l'unica strategia per dirimere il problema dell'autenticazione (e da cui la mia (impudente) preghiera di firmare le mie chiavi Occhiolino

    D'altro canto se uno cerca su un keyserver la tua chiave pubblica tramite l'email, è vero che trova anche quella dell'ipotetico impostore, ma trova pure la tua (quella "vera"), per cui quantomeno dovrebbe insospettirsi; se poi vede che una delle 2 chiavi fa parte di un web of trust e l'altra no, il problema è risolto (sperabilmente a tuo favore Occhiolino

    > > P.S.
    > > Se poi volessi pure firmare le mie
    > chiavi...
    > > Occhiolino
    >
    > senza vederti in faccia con carta
    > d'identita' in una mano e fingerprint
    > nell'altra non firmo proprio nienteSorride

    Hai ragione, la tua mi sembra una prudenza più che giustificata.
    Allora semmai fammi sapere se qualche volta capiti a Roma, che vengo con faccia, carta d'identità e fingerprint (e un caffè pagato, di quelli buoni Occhiolino

    Ciao,
    Emanuele.
    non+autenticato
  • Ciao Emanuele,

    > Premesso che condivido pienamente le
    > critiche e le preoccupazioni
    > espresse dall'autore dell'articolo, volevo
    > precisare che,
    > fortunatamente, un software open-source per
    > la crittografia a chiave
    > pubblica o asimmetrica esiste gia` da tempo.

    Vero, ma che cosa c'entra con la firma digitale?

    > Concludo firmando questo articolo (con la
    > mia chiave privata)
    > mediante GPG, a scopo dimostrativo.

    La "firma digitale" di cui si parla nell'articolo
    e' cosa ben diversa...
    non+autenticato
  • - Scritto da: Pisolo
    > > Concludo firmando questo articolo (con la
    > > mia chiave privata)
    > > mediante GPG, a scopo dimostrativo.
    >
    > La "firma digitale" di cui si parla
    > nell'articolo
    > e' cosa ben diversa...
    Veramente e' la medesima cosa infatti la FD non e' altro che una firma crittata con la chiave privata RSA e autenticata decrittandola con la chiave publica del tizio che ha firmato, nulla di nuovo, anzi e' una tecnica nota (con l'RSA) fin dal 1976 ad opera di Rivest Shamir e Adleman.
    non+autenticato
  • C'è una strana eccitazione quendo si parla di alcuni argomenti e spesso si cade nella trappola. Bisogna dimostrare che siamo capaci di critiche autorevoli su argomenti difficili dimostrando la nosta sapienza.
    La Firma Digitale (FD) è un grosso vanto della legislatura Italiana, perchè ha avuto il coraggio di mettere mano ad un problema all'avanguardia, questo comporta inevitabili problemi:
    1) Evvero ci sono molte difficoltà di incteroperabilità fra le certificazioni, ma questo è un problema dovuto al fatto che generale è la forma del certificato che compone la PKI.
    2) Non è del tutto vero che i lettori di Smartcard sono incompatibili con il SW visto che chi produce il sw da anche i lettori.
    3) E' ovvio che chi produce i SW per la FD non lo fà per i 4 "pezzenti" (con me 5) che usano Linux o S.O. Open Source, ma questo è un problema diverso è più grave. Perchè la P.A. non usa S.O. open source?
    4) non tutto finisce nelle mani degli americani solo a Napoli ci sono aziende che fatturamo miliardi sulla FD e l'università federico II ha un settore di ricerca nel CdL di ingegneria riservato all FD.
    5) A chi si esalta sulla capacità dei crackers (che non sono grissini Sorride) di violare i sistemi cifrati vorrei ricordare che sfondano una porta aperta: La FD non assicura la sua inviolabilità, dice solo che è improbabile ed inoltre non viene fissata la lunghezza della codifica HASH o eventualmente della crittografia. Questo fà si che con il crescere della potenza dei sistemi di elaborazione cresca anche la "forza" della codifica.
    Vorrei ricordarvi che un qualsiasi documento può essere contraffatto sia esso elettronico o cartaceo. Tutto stà nel valore di ciò che vogliamo tenere segreto. Non spenderò 10 Miliardi in cassaforte per metterci un milione.

    Sù con la vita è un pò di ottimismo!
    Saluti Carlo!
    non+autenticato

  • - Scritto da: Carlo
    > 5) A chi si esalta sulla capacità dei
    > crackers (che non sono grissini Sorride) di
    > violare i sistemi cifrati vorrei ricordare
    > che sfondano una porta aperta: La FD non
    > assicura la sua inviolabilità, dice solo che
    > è improbabile ed inoltre non viene fissata

    Per la precisione: l' improbabilità equivale, a tutti gli effetti pratici (e sottolineo tutti), ad impossibilità. Questo almeno per una certa dimensione delle chiavi in su.
    Il problema è che questa improbabilità non è dimostrata matematicamente, è solo ipotizzata.
    In ogni caso se i sistemi crittografici attuali verranno craccati, non sarà da parte di un hacker,per quante palle abbia, ma da parte di un matematico che vincerà la field medal (l' equivalente del premio nobel per la matematica).
    Comunque bisogna aggiungere che i pericoli maggiori derivano dalla gestione pratica delle chiavi. Della serie: è inutile che metti una seeratura sofisticatissima alla tua porta, se poi nascondi la chiave sotto lo zerbino.
    non+autenticato


  • - Scritto da: Carlo
    > ...
    > 1) Evvero ci sono molte difficoltà di
    > incteroperabilità fra le certificazioni, ma
    > questo è un problema dovuto al fatto che
    > generale è la forma del certificato che
    > compone la PKI.
    No il problema e' dovuto al fatto che i certificatori non si sono messi d'accordo

    > 2) Non è del tutto vero che i lettori di
    > Smartcard sono incompatibili con il SW visto
    > che chi produce il sw da anche i lettori.
    Prova ad installare contemporaneamente piu' software e ad utilizzare piu' lettori e carte "mischiando" il tutto. Rimarrai sorpreso.

    > 3) E' ovvio che chi produce i SW per la FD
    > non lo fà per i 4 "pezzenti" (con me 5) che
    > usano Linux o S.O. Open Source, ma questo è
    > un problema diverso è più grave. Perchè la
    > P.A. non usa S.O. open source?
    Non e' una questione di 6 pezzenti (ci sono anch'io), almeno non credo. Il punto e' che trasparenza e compatibilita' garantite dall'open source non avrebbero garantito la possibilita' di sfruttare rendite di posizione in determinati settori. In pratica, se per legge - come in effetti e' - le societa' di capitali devono per forza usare la firma digitale per alcune comunicazioni con le camere di commercio, e' abbastanza ovvio che si cerchera' di fare di tutto per conservare questa "riserva di caccia", invece di consentire a chiunque l'accesso. Detto in altri termini, l'incompatibilita' e' uno strumento a "basso costo" di controllo del mercato

    > 4) non tutto finisce nelle mani degli
    > americani solo a Napoli ci sono aziende che
    > fatturamo miliardi sulla FD e l'università
    > federico II ha un settore di ricerca nel CdL
    > di ingegneria riservato all FD.
    Il che non fa altro che potenziare il monopolio microsoft.
    > 5) A chi si esalta sulla capacità dei
    > crackers (che non sono grissini Sorride) di
    > violare i sistemi cifrati vorrei ricordare
    > che sfondano una porta aperta: ...

    A parte che fra il dire e il fare c'e' di mezzo una capacita' non alla portata di tutti, non mi preoccupo molto dei fantomatici "craccatori", quanto delle intrinseche insicurezze di certe piattaforme, dell'impossibilita' di verificare se quello che garantiscono i certificatori quanto a sicurezza sia vero o meno, se effettivamente esistano backdoor piu' o meno volutamente inserite nei software.

    > Sù con la vita è un pò di ottimismo!
    L'ottimista invento' l'aereo,
    Il realista, il paracadute:)

    Have fun:)
    Andrea Monti
    non+autenticato


  • - Scritto da: Andrea Monti
    >
    >


    > > 2) Non è del tutto vero che i lettori di
    > > Smartcard sono incompatibili con il SW
    > visto
    > > che chi produce il sw da anche i lettori.
    > Prova ad installare contemporaneamente piu'
    > software e ad utilizzare piu' lettori e
    > carte "mischiando" il tutto. Rimarrai
    > sorpreso.
    Questo non è uno scenario realistico e potrebbe oscurare il problema più grande.L'impossibilità di verificare un documento firmato perchè il mio SW non riconosce uno dei formati del certificato e dei suoi attributi!

    >
    > > 3) E' ovvio che chi produce i SW per la FD
    > > non lo fà per i 4 "pezzenti" (con me 5)
    > che
    > > usano Linux o S.O. Open Source, ma questo
    > è
    > > un problema diverso è più grave. Perchè la
    > > P.A. non usa S.O. open source?
    > Non e' una questione di 6 pezzenti (ci sono
    > anch'io), almeno non credo. Il punto e' che
    > trasparenza e compatibilita' garantite
    > dall'open source non avrebbero garantito la
    > possibilita'..
    Sono daccordo ma...
    >
    > > 4) non tutto finisce nelle mani degli
    > > americani solo a Napoli ci sono aziende
    > che
    > > fatturamo miliardi sulla FD e l'università
    > > federico II ha un settore di ricerca nel
    > CdL
    > > di ingegneria riservato all FD.
    > Il che non fa altro che potenziare il
    > monopolio microsoft.
    ...ci sono anche dei problemi tecnici che chi fa fatturato non intende accollarsi per sviluppare sw che potrebbe non fargli avere un sufficiente ritorno di capitale tant'è che anche win3.1 viene tagliato fuori (chissà i pianti di bill Sorride). Credo che sia irrealistico pensare che chi legifera imponga alle persone fisiche o giuridiche di produrre SW open source a meno che non esistano altre formule. Esistono?
    Se la PA si basasse interamente su SW open source apparte l'incredibile risparmio le società sarebbero costrette dal mercato e questa mi sembra una cosa più democratica e realistica. Ma come lei si rese conto qualche tempo fà i politici confondono Open Source con Open House Sorride e quindi :
    Perchè la PA non usa SW OS?
    Chiedilo al tuo Deputato Sorride


    > > 5) A chi si esalta sulla capacità dei
    > > crackers (che non sono grissini Sorride) di
    > > violare i sistemi cifrati vorrei ricordare
    > > che sfondano una porta aperta: ...
    >
    > A parte che fra il dire e il fare c'e' di
    > mezzo una capacita' non alla portata di
    > tutti, non mi preoccupo molto dei
    > fantomatici "craccatori....
    Vi ricordo che il sistemi crittografici si basano sulla semplicita della cifratura e la DIFFICOLTA' della decifratura non della IMPOSSIBILITA'.
    La FD è stata progettata per essere molto sicura a partire dalle cryptocard fino alle meticolose specifiche del manuale tecnico.
    Ovviamente non poteva dire che tutto questo è inutile se usate un sistema che non da nessuna garanzia sulla sicurezza ( in verità neanche sulla sua stabilità).
    La qualità della sicurezza di qualsiasi sistema non si misura sul numero di bit di codifica o di hascing ma dal livello culturale di chi deve operare in sicurezza!
    Personalmente io mi sono occupato di FD che doveva essere la mia tesi di laurea e l'ho trovato un progetto davvero grande peraltro l'italia è stata una delle prima a legiferare in tale materia, ho lasciato perdere quando mi hanno proposto di scrivere codice in VisualBasic sotto win.
    Per quanto riguarda l'open source c'è una buona notizia esiste il progetto per creare un CA open source si chiama OpenCA (La userò per creare certificati X.509 per IpSec).

    > > Sù con la vita è un pò di ottimismo!
    > L'ottimista invento' l'aereo,
    > Il realista, il paracadute:)
    L'umano lo fece imperfetto Sorride
    >
    > Have fun:)
        smoke c@nn@bis...
    > Andrea Monti
    non+autenticato


  • - Scritto da: carlo
    > ...............................................
    > ...ci sono anche dei problemi tecnici che
    > chi fa fatturato non intende accollarsi per
    > sviluppare sw che potrebbe non fargli avere
    > un sufficiente ritorno di capitale tant'è
    > che anche win3.1 viene tagliato fuori
    > (chissà i pianti di bill Sorride). Credo che sia
    > irrealistico pensare che chi legifera
    > imponga alle persone fisiche o giuridiche di
    > produrre SW open source a meno che non
    > esistano altre formule. Esistono?
    > Se la PA si basasse interamente su SW open
    > source apparte l'incredibile risparmio le
    > società sarebbero costrette dal mercato e
    > questa mi sembra una cosa più democratica e
    > realistica. Ma come lei si rese conto
    > qualche tempo fà i politici confondono Open
    > Source con Open House Sorride e quindi :
    > Perchè la PA non usa SW OS?
    > Chiedilo al tuo Deputato Sorride

    Non e' irrealistico dal momento che al momento viene chiesto all'utente (fatturante e non...) di dotarsi di sistemi "a pagamento" per poter utilizzare quello che e' un diritto.
    non+autenticato

  • - Scritto da: carlo
    >
    >
    > - Scritto da: Andrea Monti

    > > Prova ad installare contemporaneamente
    > piu'
    > > software e ad utilizzare piu' lettori e
    > > carte "mischiando" il tutto. Rimarrai
    > > sorpreso.
    > Questo non è uno scenario realistico e
    > potrebbe oscurare il problema più
    > grande.
    Invece purtroppo e' molto concreto. Vista l'incompatibilita' fra smartcard, lettori e sofware, se hai la firma rilasciata dal certificatore x e la usi con il software e il lettore del certificatore y ci sono ottime probabilita' che il tutto non funzioni. E' paradossale ma e' cosi':(

    L'impossibilità di verificare un
    > documento firmato perchè il mio SW non
    > riconosce uno dei formati del certificato e
    > dei suoi attributi!
    Vero (e sicuramente non banale), a condizione di essere riuscito a far funzionare il computer:))



    > > Il che non fa altro che potenziare il
    > > monopolio microsoft.
    > ...ci sono anche dei problemi tecnici che
    > chi fa fatturato non intende accollarsi per
    > sviluppare sw che potrebbe non fargli avere
    > un sufficiente ritorno di capitale tant'è
    > che anche win3.1 viene tagliato fuori
    > (chissà i pianti di bill Sorride).

    Il "vangelo" dell'open source predica che la lira si tira su con i servizi e non (solo) con il software in se'. Si tratta di accettare il fatto che esistano modelli economici alternativi a quello basato sul "dare soldi, dare licenza".


    Credo che sia
    > irrealistico pensare che chi legifera
    > imponga alle persone fisiche o giuridiche di
    > produrre SW open source a meno che non
    > esistano altre formule. Esistono?
    Si tratta semplicemente di imporre che i software utilizzati dalla pubblica amministrazione siano compatibili, trasparenti e verificabili. Poi se zio Bill ne tira fuori uno del genere, tanto meglio:)


    > La FD è stata progettata per essere molto
    > sicura a partire dalle cryptocard fino alle
    > meticolose specifiche del manuale tecnico.

    Un conto e' il progetto, un conto e' la sua realizzazione. E' proprio in questa fase che le migliori intenzioni finiscono male.

    > La qualità della sicurezza di qualsiasi
    > sistema non si misura sul numero di bit di
    > codifica o di hascing ma dal livello
    > culturale di chi deve operare in sicurezza!
    Dovrebbe essere un dato acquisito ma non lo e' affatto.

    > Personalmente io mi sono occupato di FD che
    > doveva essere la mia tesi di laurea e l'ho
    > trovato un progetto davvero grande peraltro
    > l'italia è stata una delle prima a
    > legiferare in tale materia,

    Essere primi non vuole dire automaticamente essere i migliori. Quei pochi fatti con i quali ci stiamo confrontando tutti gia' dimostrano che la normativa e' carente e, per certi versi, strumentalizzabile a scopi privati.


    > Per quanto riguarda l'open source c'è una
    > buona notizia esiste il progetto per creare
    > un CA open source si chiama OpenCA (La userò
    > per creare certificati X.509 per IpSec).
    Si, conosco il progetto e - anzi - mi dispiace di non averlo citato nell'articolo (cerchero' di rimediare). Peccato che nessuno in Open CA abbia i 12 miliardi di capitale sociale e le altre amenita' che servono per diventare certificatore:)

    > > Have fun:)
    >     smoke c@nn@bis...
    Drink wine
    Andrea Monti
    non+autenticato


  • - Scritto da: Andrea Monti
    >
    > - Scritto da: carlo
    > >




    > Il "vangelo" dell'open source predica che la
    > lira si tira su con i servizi e non (solo)
    > con il software in se'. Si tratta di
    > accettare il fatto che esistano modelli
    > economici alternativi a quello basato sul
    > "dare soldi, dare licenza".
    Quando parlai di questo ai produttori di SW e servizi per la FD mi fecero capire che a loro poco piaceva che il loro SW ottenuto con molti costi doveva essere rilasciato secondo la GPL e di conseguenza i servizi di cui parli potevano a quel punto essere "serviti" da chiunque.
    Questo è un periodo molto ricco per chi opera in questo settore e non credo siano intenzionati a perdera la gallina per non parlare delle uova d'oro! Come vedi non tutti credono al vangelo e rimangono legati al vecchio detto tuttoameenienteate!


    > Si tratta semplicemente di imporre che i
    > software utilizzati dalla pubblica
    > amministrazione siano compatibili,
    > trasparenti e verificabili.

    E quindi ->->->->->->->->->->->->->O.S.



    > Essere primi non vuole dire automaticamente
    > essere i migliori. Quei pochi fatti con i
    > quali ci stiamo confrontando tutti gia'
    > dimostrano che la normativa e' carente e,
    > per certi versi, strumentalizzabile a scopi
    > privati.
    Per chi è rassegnato a vivere in un paese che investe poco in ricerca ed è abituato ad inseguire gli altri, questo dà soddisfazione.
    Da quello che che sò la legge è molto flessibile e dal punto di vista ingegneristico non mette vincoli o limitazioni ma anzi esorta ad usare soluzioni che evolgano con il mutare delle condizioni tecniche.
    Forse questa generalizzazione permette che sistemi instabili e insicuri non vengano considarati a mò di untori!


    > > un CA open source si chiama OpenCA (La
    > userò
    > > per creare certificati X.509 per IpSec).
    > Si, conosco il progetto e - anzi - mi
    > dispiace di non averlo citato nell'articolo
    > (cerchero' di rimediare). Peccato che
    > nessuno in Open CA abbia i 12 miliardi di
    > capitale sociale e le altre amenita' che
    > servono per diventare certificatore:)
    Essere una certification Authority non è una fesseria ci vogliono delle garanzie è i 12 miliardi sono solo l'aspetto economico non sò se sei conosci tute le imposizioni tecniche che devono soddisfare chi si imbatte in questo progetto. Tant'è che a quanto pare siano pochi a poterselo permettere e tra questi c'è la posta.
    Credo che qesto sia necessario.
    >
    > > > Have fun:)
    > >   smoke c@nn@bis...
    > Drink wine
    and some girls...

    non+autenticato


  • - Scritto da: Carlo
    > Quando parlai di questo ai produttori di SW
    > e servizi per la FD mi fecero capire che a
    > loro poco piaceva che il loro SW ottenuto
    > con molti costi doveva essere rilasciato
    > secondo la GPL e di conseguenza i servizi di
    > cui parli potevano a quel punto essere
    > "serviti" da chiunque.
    Non deve necessariamente essere rilasciato con la GPL (anche se sarebbe meglio) basterebbe che si rendessero noti i sorgenti, non stiamo parlando di un videogioco o di un word-processor, ma di un software crittografico; e loro vorrebbero distribuirlo senza sorgenti? ma scherziamo? Solo un deficente userebbe un software crittografico di cui non siano noti i sorgenti, visto che non c'e' nessuna garanzia che il software non contenga backdoor o bug che lo rendono attaccabile, indipendentemente dalla pesantezza dell'algoritmo crittografico che usa.
    E lo stato darebbe in appalto un progetto cosi' importante a dei buffoni che neanche rilasciano i sorgenti?
    > Questo è un periodo molto ricco per chi
    > opera in questo settore e non credo siano
    > intenzionati a perdera la gallina per non
    > parlare delle uova d'oro! Come vedi non
    > tutti credono al vangelo e rimangono legati
    > al vecchio detto tuttoameenienteate!
    E' anche vero che lo stato dovrebbe tutelare il cittadino impedendo le amenita' di cui sopra.
    > Essere una certification Authority non è una
    > fesseria ci vogliono delle garanzie è i 12
    > miliardi sono solo l'aspetto economico non
    > sò se sei conosci tutte le imposizioni
    > tecniche che devono soddisfare chi si
    > imbatte in questo progetto. Tant'è che a
    > quanto pare siano pochi a poterselo
    > permettere e tra questi c'è la posta.
    > Credo che qesto sia necessario.
    Mi piacerebbe sapere chi e' il deficente che ha redatto la lista di requisiti per essere certification autority; e' assurdo chiedono 12 miliardi e poi permettono che un software crittografico che verrebbe usato da tutti sia rilasciato senza sorgenti e quindi senza garanzia alcuna; sono solo dei pagliacci.
    non+autenticato


  • - Scritto da: z2

    > Mi piacerebbe sapere chi e' il deficente che
    > ha redatto la lista di requisiti per essere
    > certification autority; e' assurdo chiedono
    > 12 miliardi e poi permettono che un software
    > crittografico che verrebbe usato da tutti
    > sia rilasciato senza sorgenti e quindi senza
    > garanzia alcuna; sono solo dei pagliacci.

    Non sarei così severo. una CA non è un SW di cifratura ma è qualcosa di molto complesso! Al suo interno usa metodi di cifratura ma sopratutto di autenticazione a chiave pubblica che sono efficaci e sopratutto noti come RSA.
    Per quanto riguarda i SW sugli host che devono fornire i servizi il problema resta. Se rendo noti i sorgenti ( in qualsiasi forma) mi indebolisco comunque, sopratutto se sono solo io a farlo!
    non+autenticato
  • - Scritto da: Carlo
    > Non sarei così severo. una CA non è un SW di
    > cifratura ma è qualcosa di molto complesso!
    > Al suo interno usa metodi di cifratura ma
    > sopratutto di autenticazione a chiave
    > pubblica che sono efficaci e sopratutto noti
    > come RSA.
    Conosco bene l'RSA (l'ho studiata quando ho dato algebra insieme alla funzione di eulero, congruenze ecc..) l'autenticazione e' sempre per via crittografica solo che invece di crittare con chiave publica e decrittare con chiave privata avviene l'inverso nel caso della FD(tralasciando i dettagli: se A vuole spedire un messaggio crittato a B critta il messaggio con la chiave publica di B il quale lo decrittera' con la sua chiave privata, volendo invece A firmare il messaggio crittato da spedire a B, crittera' la firma con la sua chiave privata (sua di A) e B decrittera' la firma con la chiave publica di A); e anche qui' vale il discorso che un software crittografico DEVE essere distribuito con i sorgenti altrimenti e' una buffonata di cui solo un matto si fiderebbe.
    > Per quanto riguarda i SW sugli host che
    > devono fornire i servizi il problema resta.
    > Se rendo noti i sorgenti ( in qualsiasi
    > forma) mi indebolisco comunque, sopratutto
    > se sono solo io a farlo!
    indebolisco in che senso? Nei confronti di altre ditte perche' e' possibile copiare il codice?
    Be' qui basterebbe che lo stato mettesse come requisito oltre i gia' citati 12 miliardi anche il dover rendere disponibile i sorgenti di tale software(e non solo per questo ma sopratutto per garantire la serieta' del servizio), cosi' facendo nessuno potrebbe rubare codice, perche' dovendo tutti rendere noti i sorgenti un eventuale copiatura si noterebbe subito.
    non+autenticato
  • - Scritto da: Carlo
    >
    > Non sarei così severo. una CA non è un SW di
    > cifratura ma è qualcosa di molto complesso!
    > Al suo interno usa metodi di cifratura ma
    > sopratutto di autenticazione a chiave
    > pubblica che sono efficaci e sopratutto noti
    > come RSA.
    > Per quanto riguarda i SW sugli host che
    > devono fornire i servizi il problema resta.
    > Se rendo noti i sorgenti ( in qualsiasi
    > forma) mi indebolisco comunque, sopratutto
    > se sono solo io a farlo!

    Credimi, ha ragione z2.
    In materia di sicurezza non è accettabile alcun software che non sia open-source, perché su di esso non sarebbe possibile fare i dovuti controlli di affidabilità.

    La disponibilità del codice sorgente è un (pre)requisito primario ed essenziale, che rafforza il produttore, invece di indebolirlo, perché offre garanzie di "controllabilità" e qualità del software non ottenibili altrimenti.

    Poi software open-source non vuol dire necessariamente software "gratuito", a parte il fatto che non rientra per niente nei compiti delle CA quello di produrre software.

    Anzi, a rigore, le CA non dovrebbero neanche *adoperare* il software di crittografia a chiave pubblica: il loro *unico* compito dovrebbe essere quello della custodia delle chiavi pubbliche, e della certificazione che queste appartengono a determinati soggetti giuridici, null'altro.
    Difatti i compiti che attribuisce loro la legge italiana sono un'autentica mostruosità, anzitutto sul piano della logica, o del semplice buonsenso.

    Ciao,
    Emanuele.
    non+autenticato
  • Un giorno il Presidente degli Stati Uniti d'America, vide per la prima volta passare davanti il viale della Casa Bianca un'automobile o meglio quello che poteva assomigliare in quel lontano 1909.

    Si rivolse al suo segretario ed esclamò: "guarda lì quell'ammasso di ferraglia rumorosa ..... non avrà di certo futuro".

    Attualmente noi viviamo circondati da auto ed abbiamo dimenticato carrozze e cavalli!.

    Sulla firma digitale, possiamo trovare numerosi difetti o più semplicemente esprimere un'opinione contraria ma mi chiedo: "al momento abbiamo un altro sistema quantomeno sicuro?"

    Oggi, legato al sistema della firma digitale è il processo telematico, ovvero la modernizzazione della comunicazione all'interno del mondo giudiziario.

    Pur condividendo ogni tipo di censura verso la FD, sotto il profilo commerciale ed evidenziando l'immeritato potere che acuisterebbero sempre più i programmi legati al sistema windows, non posso fare altro che sperare che il costo che verrà sopportato da ogni utente possa migliorare se non la macchina della giustizia, almeno la quotidianeità dei servizi di cancelleria che l'avvocato affronta.

    Auspico, infine che con il tempo (sepre breve nell'informatica) la FD migliori, diventi sempre più sicura e aspetto ancora più importante "gratuita e alla portata di tutti"

    Cordialmente.

    Avv. Massimo Melica
    Presidente Centro Studi Informatica Giuridica
    non+autenticato
  • Gentile Collega,

    - Scritto da: maxmel
    > Sulla firma digitale, possiamo trovare
    > numerosi difetti o più semplicemente
    > esprimere un'opinione contraria ma mi
    > chiedo: "al momento abbiamo un altro sistema
    > quantomeno sicuro?"
    Gli aspetti teorico-matematici della firma digitale garantiscono la sicurezza del sistema. L'implementazione in software e procedure è un altro paio di maniche (ed è li che sorgono i maggiori rischi per la sicurezza). L'attuale sistema della firma digitale "pesante" è sicuro sulla base di un "atto di fede" nei confronti dei certificatori e non sulla base di verifiche indipendenti.

    > Oggi, legato al sistema della firma digitale
    > è il processo telematico, ovvero la
    > modernizzazione della comunicazione
    > all'interno del mondo giudiziario.
    Una "riforma" ancora al di la' da venire e che nelle sue basi (vedi il servizio "Cyberavvocato" della Cassa Forense) non lascia presagire molto di buono:)
    > Pur condividendo ogni tipo di censura verso
    > la FD, sotto il profilo commerciale ...

    Non credo ci sia nulla di male nella "commercializzazione" della firma digitale. Il "business" non è automaticamente da guardare con sospetto. Quello che non trovo corretto è tagliare fuori da una opportunità così importante una larga fascia di operatori e penalizzare i diritti dei cittadini.

    > non posso fare altro che
    > sperare che il costo che verrà sopportato da
    > ogni utente possa migliorare se non la
    > macchina della giustizia, almeno la
    > quotidianeità dei servizi di cancelleria che
    > l'avvocato affronta.
    Ita est amen:) anche se non e' detto che l'impiego di sistemi open source sarebbe di per se' meno funzionale di quelli proprietari, anzi

    > Auspico, infine che con il tempo (sepre
    > breve nell'informatica) la FD migliori,
    > diventi sempre più sicura e aspetto ancora
    > più importante "gratuita e alla portata di
    > tutti"

    Speriamo...

    Cordialmente
    Andrea Monti
    non+autenticato
  • Ringrazio tutti coloro che hanno risposto al mio breve quanto umile intervento, quello che da un lato mi ha sempre affascinato nel mondo dell'informatica e la sua costante evoluzione.

    Comprendo ed apprezzo le preoccupazioni dei tenici, ai quali non è possibile vendere aria fritta affermando: "che la FD sia sicura al 100%", ma è pur vero che nella sua fragilità costituisce di certo una chiave di sviluppo per l'intera società dell'informazione.

    Personalmente, mi adopero affinche il concetto di FD, entri nella P.A., con la viva speranza che con il tempo si possa giungere sempre a maggiori processi di sicurezza, al fine di tutelare lo scambio delle informazioni.

    All'inizio del 2001, ottemperando alla L.675/96 ho adeguato il mio studi affinchè rispondesse a tutti i criteri di sicurezza per la gestione dei dati personali - comuni e sensibili - dei miei assistiti.

    Non vi nascondo che l'intera operazione è costata un bel pò, ed è costata ancor di più quando ho riflettuto guardando le nostre cancellerie giudiziarie civili, come gestiscono le centinaia di migliaia di fascicoli d'ufficio.
    Montagne di fascicoli alla portata di chiunque liberamente passeggi nei corridoi del Tribunale .... e la privacy ... dov'è?

    Sicuramente la FD, nella sua insicurezza tecnica, paragonata allo stato attuale non può far altro che alleviare o migliorare quella che allo stato è un'attività gestita in modo ormai faraginoso e poco sicuro.

    Cordialmente

    Avv. Massimo Melica

    non+autenticato


  • - Scritto da: maxmel
    > Comprendo ed apprezzo le preoccupazioni dei
    > tenici, ai quali non è possibile vendere
    > aria fritta affermando: "che la FD sia
    > sicura al 100%", ma è pur vero che nella sua
    > fragilità costituisce di certo una chiave di
    > sviluppo per l'intera società
    > dell'informazione.

    L'insicurezza non risiede nel sistema in quanto tale ma nella sua implementazione, trovo ridicolo che per realizzare un sistema di questo tipo si usi codice chiuso, questo rende estremamente insicuro il tutto ed obbliga i fruitori di tale servizio a 'fidarsi' di chi lo ha sviluppato (chi mi garantisce che nel codice non ci siano backdoor o piu' semplicemente che non ci siano bug che rendano insicuro il sistema?); inoltre trovo inammissibile che il tutto sia stato affidato a piu' ditte le quali sviluppano sistemi incompatibili tra loro (ma scherziamo?); come se non bastasse tali ditte sviluppano solo per piattaforma Microsoft, il che e' assurdo visto che non permette a molte persone di fruire del servizio stesso (perche' io che sono un utente Linux non posso usare la FD? E' ridicolo)
    > Personalmente, mi adopero affinche il
    > concetto di FD, entri nella P.A., con la
    > viva speranza che con il tempo si possa
    > giungere sempre a maggiori processi di
    > sicurezza, al fine di tutelare lo scambio
    > delle informazioni.

    Pensiamo a tutelare anche il diritto di accedere al suddetto servizio da parte di TUTTI.

    > All'inizio del 2001, ottemperando alla
    > L.675/96 ho adeguato il mio studi affinchè
    > rispondesse a tutti i criteri di sicurezza
    > per la gestione dei dati personali - comuni
    > e sensibili - dei miei assistiti.

    Trovo fortemente incoraggiante che abbiate deciso di migrare e abbandonare una piattaforma intrinsecamente insicura quale e' Microsoft (perche' lo avete fatto vero?)

    > Non vi nascondo che l'intera operazione è
    > costata un bel pò, ed è costata ancor di più
    > quando ho riflettuto guardando le nostre
    > cancellerie giudiziarie civili, come
    > gestiscono le centinaia di migliaia di
    > fascicoli d'ufficio.
    > Montagne di fascicoli alla portata di
    > chiunque liberamente passeggi nei corridoi
    > del Tribunale .... e la privacy ... dov'è?

    Non e' molto diverso dal trattare e archiviare i suddetti dati in sistemi informatici altamente insicuri.

    > Sicuramente la FD, nella sua insicurezza
    > tecnica, paragonata allo stato attuale non
    > può far altro che alleviare o migliorare
    > quella che allo stato è un'attività gestita
    > in modo ormai faraginoso e poco sicuro.
    >
    > Cordialmente
    >
    > Avv. Massimo Melica
    >
    Ripeto: l'insicurezza non e' nella FD ma nella sua implementazione.
    non+autenticato
  • Windows serve solo per giocare
    Non tratto sicurezza o privacy ma ho solo letto la licenza di win 2000 e ho capito solo una cosa
    Installa l'ultimo gioco, l'ultima scheda 3D
    un duon lettore dvd e divertiti

    mon eta win me che salvava tutte le password degli zip in un file di testo ?

    Il che la dice lunga sulla sicurezza
    poi il fatto che sicuro per sicuro che se un pc lasciato incustodito con la fd o hakkato (e' possibile) o condiviso le mutande con winmx uno perde la firma (il fatto e che non lo sa) si ritrova in un mare di Ca..a senza averne colpa
    (in certi uffici stavano col napster aperto mentre lavorano) em in azienda c'e l'adsl o il cavo
    prima della FD si deve anche insegnare la sicurezza, privacy e BASI di informatica
    il che vale per tutti gli OS linux compreso

    provate a cercare i file di sistema nei sistemi di condivisione poi ditemi


    non+autenticato
  • - Scritto da: maxmel
    > Un giorno il Presidente degli Stati Uniti
    > d'America, vide per la prima volta passare
    > davanti il viale della Casa Bianca
    > un'automobile o meglio quello che poteva
    > assomigliare in quel lontano 1909.
    >
    > Si rivolse al suo segretario ed esclamò:
    > "guarda lì quell'ammasso di ferraglia
    > rumorosa ..... non avrà di certo futuro".
    >
    > Attualmente noi viviamo circondati da auto
    > ed abbiamo dimenticato carrozze e cavalli!.

    appunto! è proprio quello che dico io!

    "Guarda un po' qua questo ammasso di ferraglia SILENZIOSA. Non avrà di certo futuro!"

    http://strc.herts.ac.uk/tp/info/qucomp/gifs/MOT.gi...

    e indovina un po' dove porta http://strc.herts.ac.uk/tp/info/qucomp ?

    Sorride))

    non+autenticato
  • Ueh HAL, mi sa che qua dentro siamo gli unici a crederci. O a intuire il caos che ci sarà fra pochi anni quando il primo spezzone di circuito quantistico fotterà in un lampo ogni sistema di firma e crittazione.

    Almeno potremo dire di averlo detto no?
    non+autenticato
  • - Scritto da: Fede
    > Ueh HAL, mi sa che qua dentro siamo gli
    > unici a crederci. O a intuire il caos che ci
    > sarà fra pochi anni quando il primo spezzone
    > di circuito quantistico fotterà in un lampo
    > ogni sistema di firma e crittazione.
    >
    > Almeno potremo dire di averlo detto no?

    infatti il problema che si porrà, segreto militare a parte, sarà che un tower ci sta sotto la scrivania, ma una trappola magneto-ottica che permetta di raffreddare circa cento milioni di atomi di rubidio alla temperatura di circa cento milionesimi di grado sopra lo zero assoluto forse no (ammesso che ne facciano la recensione su PC professionale)

    non+autenticato
  • He he! 30 anni fa 20 milioni di transistor non li producevano neppure tutte le industrie elettroniche messe assieme. Oggi ce li portiamo in tasca tutto il giorno.

    Ma oltretutto per scrittare un po' di chiavi RSA ad Echelon mica occorre un affare tascabile. Va bene anche un groviglio di laser grande come un campo da calcio. Basta giusto giusto che esegua quei due piccoli algoritmi quantistici di fattorizzazione.
    L'IBM ha già fattorizzato con l'algoritmo di Shor 4 bit. Secondo me in meno di un paio d'anni una macchina che fattorizza 56 bit la fanno. A quel punto una chiave DES si ottiene in 158 operazioni (meno di un nanosecondo).
    Per l'RSA la cura si chiama algoritmo di Grover (tempo polinomiale).
    Non so per l'AES, ma se è basato su i soliti trucchetti dei numeri primi resisterà poco.

    A quel punto che ce ne faremo con una rete senza una protezione digitale possibile?

    Se ne vedranno delle belle.
    non+autenticato
  • - Scritto da: Fede
    > L'IBM ha già fattorizzato con l'algoritmo di
    > Shor 4 bit. Secondo me in meno di un paio
    > d'anni una macchina che fattorizza 56 bit la
    > fanno. A quel punto una chiave DES si
    > ottiene in 158 operazioni (meno di un
    > nanosecondo).

    ok... facciamo un po' di conti ?
    ammettiamo che, come sostieni, si risolva un hash a 56 bit in un nanosecondo. Anzi... facciamo in un picosecondo. Un picosecondo sono 10^-12 secondi.

    ora... se in un picosecondo prova le 2^56 combinazioni che sono

    2^56
    72057594037927936

    e' logico aspettarsi che per decriptare le 2^128 di una chiave a 128 bit, con combinazioni pari a

    2^128
    340282366920938463463374607431768211456

    occorrano 2^128 / 2^56 = 2^72 picosecondi che sono

    4722366482869645213696 picosecondi

    ora facciamo un po' di conti ?

    4722366482869645213696 * 10^-12
    4722366482.86964521369600000000
    4722366482.86964521369600000000 / ( 60 * 60 * 24 * 365 )
    149.74525884289844031253

    ovvero 149 anni.

    > Se ne vedranno delle belle.

    sei ancora convinto delle tue affermazioni ?
    Possiamo andare sui femtosecondi, su cui abbiamo difficolta' a lavorare, e puoi abbassare la velocita' fino a rientrare in tempi umani. Ma credi veramente che un computer di oggi abbia difficolta' a lavorare con hash maggiori di 128 bit ? e se questi computer quantici sono cosi' potenti, se possono fattorizzare potranno implementare algoritmi che trovano numeri primi molto grandi con cui sara' possibile ampliare maggiormente la resistenza di un hash crittografico.

    non+autenticato
  • Ti suggerisco di informarti un po' prima di scrivere tanti -troppi- numeri.
    Gli algoritmi quantistici non hanno nulla a che vedere con quelli classici. Il tuo modo di ragionare rientra ancora tra i metodi classici.
    non+autenticato
  • Una PKI non si ha per il semplice fatto di possedere uno strumento che permetta
    di firmare e codificare qualcosa.
    Esistono degli standard. Basta seguirli
    se si vuole interoperare con altre strutture
    simili.
    Quanto al fatto che saranno i privati
    a gestire le PKI Italiane mi sembra un falso
    problema. Era una linea precisa dei governi dell'Ulivo quella di delegare ad agenzie ed società private la gestione delle certificazioni.
    Basterebbe delegare questo compito all'Agenzia
    delle Entrate.
    non+autenticato


  • - Scritto da: Mario Rossi
    > Una PKI non si ha per il semplice fatto di
    > possedere uno strumento che permetta
    > di firmare e codificare qualcosa.
    > Esistono degli standard. Basta seguirli
    > se si vuole interoperare con altre strutture
    > simili.

    Bene.
    Riporto dall'articolo:
    "- Attualmente ci sono oltre 10 certificatori che offrono la firma digitale
    - I certificatori non garantiscono la piena interoperabilità degli strumenti di firma"

    Da quello che hai detto non mi sembra che si voglia interoperare con altre strutture.

    > Quanto al fatto che saranno i privati
    > a gestire le PKI Italiane mi sembra un falso
    > problema. Era una linea precisa dei governi
    > dell'Ulivo quella di delegare ad agenzie ed
    > società private la gestione delle
    > certificazioni.
    > Basterebbe delegare questo compito
    > all'Agenzia
    > delle Entrate.

    Sul fatto che i privati gestiscano puo' essere un falso problema. Ma i privati devono avere direttive precise, standard e indicazioni su come fare. Siamo daccordo che devono guardare al loro profitto (in quanto privati) ma in questo caso si tratta di servizio pubblico... e la legge che li delega al compito non deve contenere scappatoie e deve fare in modo che *tutti* i cittadini abbiano le stesse possibilita', non solo quelli che hanno i soldi per:
    1. pagare un PC (La norma, in altri termini, obbliga ad intrattenere rapporti con le camere di commercio solo ed esclusivamente tramite firma digitale)
    2. pagare un Sistema Operativo (Chi vuole usare la firma digitale dovrà necessariamente avere almeno un computer con sistema operativo in ambiente Windows)
    3. pagare un programma (╚ necessario acquistare un software e valutare se accedere anche al servizio di aggiornamenti)

    Ok?
    non+autenticato


  • - Scritto da: Dixie
    > e la legge che li
    > delega al compito non deve contenere
    > scappatoie e deve fare in modo che *tutti* i
    > cittadini abbiano le stesse possibilita',
    > non solo quelli che hanno i soldi per:
    > 1. pagare un PC (La norma, in altri termini,
    E perchè mai? Mica è obbligatorio.
    Esistono le smartcard.

    > 2. pagare un Sistema Operativo (Chi vuole
    > usare la firma digitale dovrà
    > necessariamente avere almeno un computer con
    > sistema operativo in ambiente Windows)
    E perchè mai?
    > 3. pagare un programma (╚ necessario
    > acquistare un software e valutare se
    > accedere anche al servizio di aggiornamenti)
    E perchè mai?
    Al limite occorre pagare per avere la certificazione. E questo già si fa oggi con
    i certificati cartacei.

    Saluti.
    non+autenticato
  • mi sa' che non hai capito nulla di quanto espresso nell'articolo, ti rimando ad una piu' attenta lettura.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)