Marca temporale, aumenta la concorrenza

Salve, invece ritengo valide queste iniziative che portano a rodurre il costo.
Per lavoro compro spesso servizi da Aruba .it o Infocert.it , ultimamente su marchetemporali.com ma solo e sempre per motivi di costo. Se posso avere lo stesso prodotto gratis o quasi a me va benissimo. Non ho quindi capito se posso usare questo sito per marcare i documenti e se é valida la marcatura

Dopo avere gettato uno sguardo ad alcuni commenti apparsi su questi forum, mi sento in dovere di fare chiarezza.

Quando dico, riferendomi all'attribuzione della paternità dell'opera, che il valore probatorio che si ottiene con Copyzero è diverso da quello che si ottiene con servizi commerciali come quello di cui si parla nell'articolo, mi riferisco al fatto (per altro evidente) che, nel caso di Copyzero, oltre all'apposizione della marca temporale (che ha quell'efficacia erga omnes che tutti ricordiamo, ma che, di per sé, non identifica alcun autore), vi è anche l'apposizione della firma elettronica qualificata.

Nel caso di Copyzero, documento informatico (opera dell'ingegno) ed autore-sottoscrittore vengono, DI FATTO (la firma non costituisce prova a favore), associati sulla base di una una presunzione legale: "l'utilizzo del dispositivo di firma si presume riconducibile al titolare" (secondo comma art. cit.).
Nel caso di Primo Autore, invece, il giudice associa documento e non-sottoscrittore in base ad un libero apprezzamento: noterà che nello zip c'è un pdf con riportato il nome dell'autore.
E' inimmaginabile pensare che un giudice, nell'esercizio del suo potere discrezionale, valuti alla stessa stregua una firma elettronica qualificata e l'indicazione di un nome su un pdf.
Se così fosse, sarebbe estremamente facile, attraverso servizi (praticamente anonimi) come Primo Autore, attribuire ad altri la paternità di ingiurie, calunnie, diffamazioni e quant'altro.
E' per questo che, nel caso di Copyzero on-line, accettiamo di buon grado che gli utenti ci inviino file su cui hanno già apposto la loro firma (anche semplice firma elettronica).
Non solo: mettiamo anche a disposizione un software (Javasign): http://www.costozero.org/wai/javasign.html
che dà la possibilità di generare firme elettroniche anche a chi ha poca dimestichezza con PGP.


Per quanto riguarda l'ultima parte del mio intervento, ho cercato di mettere in guardia i "copyzeristi" dall'interpretare male quello che ha detto La Ferla.
Non ho inteso dire che non vi sia "equivalenza" tra impronta informatica ed evidenza informatica (anzi, consiglio caldamente di leggere quello che da anni pubblicamente scrivo sulle mailing list che frequento:
http://lists.ibiblio.org/pipermail/cc-it/2004-Sept...
posso davvero dire di essere stato uno dei primi ad auspicare la nascita di servizi automatizzati e veloci per la marcatura temporale).

Memore dei tanti equivoci che ogni giorno siamo chiamati a dirimere con "i non addetti ai lavori", ho detto, invece, che da un punto di vista giuridico, marcare un documento informatico X in cui è riportata (ossia trascritta) la funzione di hash del documento informatico Y, non attesta l'esistenza ad una data certa del documento informatico Y, ma quella del documento informatico X. E' molto importante che gli utenti non credano che, ad esempio, scrivere dei digest sha-1 su un file di testo e validare temporalmente quest'ultimo significhi validare temporalmente i file corrispondenti a quei digest sha-1.
Ho poi fatto, in relazione a questo, una reductio ad absurdum di natura giuridica, non scientifica, e come tale deve essere intesa.

Spero di avere chiarito. Se non ho chiarito, mi spiace, ma purtroppo non ho altro tempo a disposizione e non voglio commettere nuovamente l'errore di sintetizzare troppo il mio pensiero in riferimento a una materia così vasta e complessa.

Chi ha ancora dubbi e/o vuole rivolgermi domande, può farlo privatamente, grazie.

L'unico consiglio che, per deformazione professionale, mi sento di dare a Primo Autore, non prima di essermi complimentato con La Ferla ed avergli augurato ogni successo (anche perché la fortuna delle "versioni on-line" di Copyzero si lega strettamente alla fortuna di chi ne diffonde l'idea e il metodo), è quello di avere messo nell'"area legale" del sito riferimenti ad alcune norme - come l'art. 22, comma 1, lettera g, d.p.r. n. 445/2000 e il D.Lgs. 23 gennaio 2002, n. 10 - che, essendo state abrogate, non esistono più.

Buon lavoro.

n.g.

Salve, vorrei intervenire perchè leggendo il decreto del ministero delle finanze del 23 gennaio 2004 sulla conservazione elettronica dei documenti, è specificato chiaramente che è ammessa "l'apposizione della marca temporale, in luogo del riferimento temporale, sull'insieme dei predetti documenti ovvero su un'evidenza informatica contenente l'impronta o le impronte
dei documenti".
Quindi mi sembra sia ammesso creare un file (ad es pdf) contenente N impronte di N documenti e sucessivamente effettuare una marca temporale di esso garantendo la marca temporale di tutti gli N documenti relativi alle N impronte.

Allora, io praticamente ho in mano il mio zip con dentro l'opera (che rimane sempre sul mio pc), da una parte, e la marca tsr dall'altra (che scarico da primo autore).

Poi come si mette la marca sullo zip? Come si ricompongono i pezzi?

Buon giorno,

se si registra sul sito vedra' che le funzioni principali sono 2:

a) Certifica la tua opera
b) Verifica la tua opera.

Quest'ultima funzionalita', non e' altro che un applet Java che richiede i 2 file. Il file Zip dell'opera e il file .TSR della marcatura. A qs punto calcola localmente la funzione dell'HASH dello zip e verifica la marcatura associata allo stesso.

E' da notare che qualsiasi software di firma digitale che supporta la marcatura temporale dovrebbe essere in grado di verificare i 2 file essendo la marcatura prodotta in base a degli standard internazionali.

Vedo che l'articolo ha scatenato una battaglia di religione tra il "vecchio" servizio e il nuovo.
È da un pò che seguo il movimento CostoZero (senza esserne però fruitore) e sapevo che esisteva CopyZero Online. Io mi chiedo se è vero che il sistema nuovo non è affidabile perchè la verifica viene fatta dal computer del client, allora anche il sistema di CopyZero Online non è affidabile per lo stesso motivo: un hacker o un parente del proprietario della casella di posta potrebbe aver inviato quel file e il Team di CopyZero potrebbe essere stato tratto indotto a timbrare credendo che la transazione sia stata fatta dal proprietario della casella... correggetemi se sbaglio, grazie.

Il sistema di Primo Autore non ha l'affidabilità di quello di CopyZero Online perché non appone la marca sull'opera.

La questione è tutta qui.

Per quanto riguarda la casella, vedo che per registrarsi a Primo Autore basta fornire l'e-mail. Mentre per registrarsi a CopyZero Online occorre fornire anche un documento di identità.

Tuttavia non è questo che, a mio parere, inficia la validità del sistema di Primo Autore, ma, come ho detto, il fatto che non appongano la marca sull'opera.


- Scritto da: ess
> Io mi chiedo se è vero
> che il sistema nuovo non è affidabile perchè la
> verifica viene fatta dal computer del client,
> allora anche il sistema di CopyZero Online non è
> affidabile per lo stesso motivo: un hacker o un
> parente del proprietario della casella di posta
> potrebbe aver inviato quel file e il Team di
> CopyZero potrebbe essere stato tratto indotto a
> timbrare credendo che la transazione sia stata
> fatta dal proprietario della casella...
> correggetemi se sbaglio,
> grazie.

Mi fa piacere che per lo meno abbiamo aperto una discussione accesa e, sotto certi, aspetti interessante.

Quello che noi applichiamo e' una procedura derivata dalla metodologia di Conservazione Sostitutiva in particolare abbiamo in
questa delibera del CNIPA la risposta a perche' abbiamo scelto questa soluzione:
--------------.--------------------------------------
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 13 gennaio 2004 Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. (GU n. 98 del 27-4-2004)


                                             Art. 51.
                               Richiesta di validazione temporale
1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'inoltro della richiesta di validazione temporale.
2. La richiesta deve contenere l'evidenza informatica alla quale le marche temporali debbono fare riferimento.
3. L'evidenza informatica può essere sostituita da una o più impronte, calcolate con funzioni di hash previste dal manuale operativo. Debbono essere comunque accettate le funzioni di hash
basate sugli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA-1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998.
--------------------------------------

Ecco nell'articolo 51 comma 3 c'e' la chiave della metodologia usata da PrimoAutore.it.

"L'evidenza informatica può essere sostituita da una o più impronte"

La marca non viene apposta sull'opera ma sull'hash dell'opera!
Questo per risparmiare del gran tempo!
Ma questo, secondo me, non prova un accidente! Perché ad uno stesso hash possono teoricamente corrispondere una serie infinita di altre stesse opere!!!
Allora tutti gli altri sono fessi??? Chi marca con la smart card carica il file non l'hash del file!
Attenzione perché Primo Autore potrebbe rivelarsi in tribunale una fregatura pazzesca!

- Scritto da: massimo
> La marca non viene apposta sull'opera ma
> sull'hash
> dell'opera!
> Questo per risparmiare del gran tempo!
> Ma questo, secondo me, non prova un accidente!
> Perché ad uno stesso hash possono teoricamente
> corrispondere una serie infinita di altre stesse
> opere!!!

Ma hai fatto almeno una prova?
Viene creato un file zip contenente un pdf e poi viene fornito un tsr che si conservano anche loro.
Non sò cosa c'è nel tsr ma vuoi che non abbiano inserito anche la dimensione del file?
Inoltre puoi indicare nel modulo i file contenuti. IMHO non è possibile fare un file "zip" e "della stessa dimensione" con gli stessi hash ma che producono una struttura zip e delle "opere" (musica più testi ecc...).
Gli unici doppioni che ci potranno essere al massimo saranno con dei file zip finti, confusionati e inapribili imho.


> Allora tutti gli altri sono fessi??? Chi marca
> con la smart card carica il file non l'hash del
> file!
> Attenzione perché Primo Autore potrebbe rivelare
> in tribunale una fregatura
> pazzesca!

Perchè è una cosa nuova. Anche copyzero non ha mai affrontato cause prima (che io sappia).

Certo che io (che tra parentesi ho anche provato a iscrivermi al vostro servizio ma non mi avete mai risposto) ho sondato InfoCert e le Poste ma ci avevo rinunciato per problemi di tempo e di burocrazia.
Con questi invece, in un giorno, ho fatto tutto.

Certo che fai tanto il paladino del movimento copyzero e poi arrivi a gettare FUD su una iniziativa (commerciale) simile...

Ma perchè anche voi non cominciate ad aprirvi una società e fare qualcosa di innovativo e magari più professionale?

La gente oggigiorno cerca affidabilità, e a me PrimoAutore me l'ha data, spiacente.

- Scritto da: mmmm
> - Scritto da: massimo
> > La marca non viene apposta sull'opera ma
> > sull'hash
> > dell'opera!
> > Questo per risparmiare del gran tempo!
> > Ma questo, secondo me, non prova un accidente!
> > Perché ad uno stesso hash possono teoricamente
> > corrispondere una serie infinita di altre stesse
> > opere!!!
>
> Ma hai fatto almeno una prova?
> Viene creato un file zip contenente un pdf e poi
> viene fornito un tsr che si conservano anche
> loro.
> Non sò cosa c'è nel tsr ma vuoi che non abbiano
> inserito anche la dimensione del
> file?

Possono averci inserito quello che vogliono, ma l'opera lì dentro non c'è, c'è solo un hash che non dimostra NIENTE. Ma dov'è scritto che un hash ha lo stesso valore di un file?? In quale legge??? Oppure vogliamo dire che tutti quelli come me che si sono comprati la smart card e che stanno anche 1 ora per marcare un file sono degli emeriti imbecilli?



> > Allora tutti gli altri sono fessi??? Chi marca
> > con la smart card carica il file non l'hash del
> > file!
> > Attenzione perché Primo Autore potrebbe rivelare
> > in tribunale una fregatura
> > pazzesca!
>
> Perchè è una cosa nuova. Anche copyzero non ha
> mai affrontato cause prima (che io
> sappia).


Usare copyzero equivale a firmare il file ed è da tempo che i tribunali accettano contratti con la forma elettronica: MA I CONTRATTI, NON GLI HASH DEI CONTRATTI!!
Quindi il sistema è già bello che testato!



>
> Certo che io (che tra parentesi ho anche provato
> a iscrivermi al vostro servizio ma non mi avete
> mai risposto) ho sondato InfoCert e le Poste ma
> ci avevo rinunciato per problemi di tempo e di
> burocrazia.
> Con questi invece, in un giorno, ho fatto tutto.


Guarda, io non faccio parte di costozero, ma tu da come parli e dalla celerità e l'assiduità che hai nel rispondere hai tutta l'aria di essere uno di Primo Autore eh eh.



>
> Certo che fai tanto il paladino del movimento
> copyzero e poi arrivi a gettare FUD su una
> iniziativa (commerciale)
> simile...

IL FUD imho lo fa Primo Autore (e te che probabilmente ci lavori) e sfido chiunque a dimostrare il contrario.



>
> Ma perchè anche voi non cominciate ad aprirvi una
> società e fare qualcosa di innovativo e magari
> più
> professionale?
>
> La gente oggigiorno cerca affidabilità, e a me
> PrimoAutore me l'ha data,
> spiacente.

Bravo bravo, guadagnati la pagnotta eheh!

- Scritto da: massimo
>
> Guarda, io non faccio parte di costozero, ma tu
> da come parli e dalla celerità e l'assiduità che
> hai nel rispondere hai tutta l'aria di essere uno
> di Primo Autore eh
> eh.
>

Che vuol dire??? Oggi sono stato in casa e non avevo di meglio da fare, se ti interessano così tanto i fatti miei... mi sa' che sei arrivato alla frutta!

Ma andiamo... fatti una ricerca su PI e vedrai da quanto uso questo nick.
Te lo scrivo papale papale: non sono di PrimoAutore e non userei mai simili trucchetti!! Piuttosto, uno che spara 3 post a raffica, in grassetto con scritto "COPYZERO E' VIVO E VEGETO", "i giorni non sono 15 ma 5..." è uno totalmente estraneo, vero?

Guarda, sono totalmente estraneo se mi parli di costozero.
Se mi parli di copyzero non sono assolutamente estraneo perché lo uso da tempo e ringrazio costozero che me l'ha fatto scoprire.

Quand'anche fossi interessato, sarei interessato a parlare bene di una no profit che fa le cose serie invece di una società commerciale che avrà pure il sito patinato ma che quanto leggi dimostra di capirne poco e si fa davvero pochi scrupoli nei confronti degli utenti.




- Scritto da: mmmm
> - Scritto da: massimo
> >
> > Guarda, io non faccio parte di costozero, ma tu
> > da come parli e dalla celerità e l'assiduità che
> > hai nel rispondere hai tutta l'aria di essere
> uno
> > di Primo Autore eh
> > eh.
> >
>
> Che vuol dire??? Oggi sono stato in casa e non
> avevo di meglio da fare, se ti interessano così
> tanto i fatti miei... mi sa' che sei arrivato
> alla
> frutta!
>
> Ma andiamo... fatti una ricerca su PI e vedrai da
> quanto uso questo
> nick.
> Te lo scrivo papale papale: non sono di
> PrimoAutore e non userei mai simili trucchetti!!
> Piuttosto, uno che spara 3 post a raffica, in
> grassetto con scritto "COPYZERO E' VIVO E
> VEGETO", "i giorni non sono 15 ma 5..." è uno
> totalmente estraneo, vero?
>

>Possono averci inserito quello che vogliono, ma l'opera lì dentro non >c'è, c'è solo un hash che non dimostra NIENTE. Ma dov'è scritto che >un hash ha lo stesso valore di un file?? In quale legge??? Oppure >vogliamo dire che tutti quelli come me che si sono comprati la smart >card e che stanno anche 1 ora per marcare un file sono degli emeriti >imbecilli?


è più probabile vincere 2 volte di fila al superenalotto che trovare 2 file di senso compiuto che abbiano lo stesso hash.
se poi controllo anche la dimensione.....

- Scritto da: tizio_incog nito

> è più probabile vincere 2 volte di fila al
> superenalotto che trovare 2 file di senso
> compiuto che abbiano lo stesso
> hash.
> se poi controllo anche la dimensione.....


Credo che il problema non sia a livelo probabilistico ma a livello legale. La marca temporale per avere l'efficacia prevista dalla legge (ossia piena prova fino a querela di falso) deve stare sul file non su un pdf in cui si descrive il file. Io posso capire che per quelli che fanno certi servizi è molto più comodo fare così, perché il file pesa, ma che garanzie si hanno? Non dico che non serva a niente, non dico che un giudice non possa prendere per buona una prova del genere, ma certamente lo zip che ricevi da primo autore non fa piena prova fino a querela di falso della datazione dell'opera.
Un servizio che ti promette una cosa e in realtà te ne offre un'altra, non è molto serio secondo me.
Ma visto che già un loro responsabile scriveva in questi commenti, sarebbe interessante sentire la sua opinione.

s) impronta: la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;
t) funzione di hash: una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali;

Tratto dalla Delibera del CNIPA del 19 febbraio 2004 (se avete voglia di leggerla: http://www.digitaltrust.it/download/DEL11_2004.pdf)

per chi non sapesse chi e' il CNIPA (http://www.cnipa.gov.it/site/it-IT/) e' il Centro Nazionale per l'informatica per la Pubblica Amministrazione che, tra l'altro, stabilisce le regole tecniche di applicazione e validita' della firma digitale e delle marcature nell'ambito della PA da cui discendono le regole anche nei rapporti tra privati.

Per quanto riguarda, le parole relativamente alla validità dello zip invece dell'opera mi sembra un'argomentazione un po' debole. Lo Zip di PrimoAutore garantisce che tutti i documenti contenuti nello stesso e lo zip medesimo esistono ad una DATA CERTA. Non vedo proprio la differenza dato che e' possibile (vedi tutta la normativa in questa pagina http://www.digitaltrust.it/i-sign/I-Sign_archiviaz... ) validare l'hash dell'indice dei documenti (lotto) valido a confermare l'integrità dei documenti che l'indice rappresenta.

Comunque se vuoi usare i servizi tradizionali nessuno te lo impedisce, ma prima di affermare che una società non e' seria:
"Un servizio che ti promette una cosa e in realtà te ne offre un'altra, non è molto serio secondo me."
Controlla e scoprirai che quella società poco seria, si occupa di Firma Digitale da diversi anni e che ha le spalle molti progetti analoghi e quindi forse un minimo queste cose sono state valutate.

Ho espresso la mia opinione e gliela confermo.
A mio parere non è indice di serietà sostenere ciò che voi sostenete.
La disciplina del CAD la conosco bene, e non esiste una sola norma nel CAD che sostenga quello che voi sostenete.

La marca temporale deve essere apposta al documento informatico di cui si vuole attestare la datazione.
La marca che voi apponete, PER IL CAD, attesta la datazione del pdf che descrive l'opera, non la datazione dell'opera.

Sfido qualunque legale a dire il contrario.

- Scritto da: barberini
> La disciplina del CAD la conosco bene, e non
> esiste una sola norma nel CAD che sostenga quello
> che voi
> sostenete.

Concorrente? Copyzero?

> Concorrente? Copyzero?

No, consulente legale in una PA.