Luca Annunziata

Marca temporale, aumenta la concorrenza

Oltre ai servizi forniti dai soliti noti ne nascono di nuovi che costano molto di meno (oppure molto di pių) - UPDATE

Update in calce - Roma - Fioriscono nuovi servizi per la marcatura temporale. Lentamente ma inesorabilmente la dematerializzazione e la digitalizzazione si fanno strada tra le abitudini dei cittadini, e per rispondere alle rinnovate esigenze di garantire la paternità delle proprie opere creative vedono la luce nuovi meccanismi di certificazione.

Piccola guida pratica alla marca temporale - PrimoAutoreČ il caso di PrimoAutore, servizio nato da pochi giorni, che consente di ottenere un certificato - sotto forma di un file con desinenza TSR - che dimostra l'esistenza di un documento in una certa data e in un determinato momento con la garanzia da un organizzazione terza. Uno strumento valido anche ai fini giuridici: nel caso di causa per plagio, la marca temporale può costituire una prova della paternità dell'opera. Tutele che, come sottolinea a Punto Informatico l'ing. Giovanni Manca, responsabile Ufficio Standard e tecnologie d'identificazione del CNIPA, la legge già attribuisce ad altri strumenti: "L'informatica non altera il diritto".

La marca temporale comunque può, a tutti gli effetti, costituire un documento valido in tribunale: ha una validità di 5 anni (rinnovabili prima della scadenza) e dimostra, senza ombra di dubbio, l'esistenza di un specifico documento in un lasso temporale specifico. Per ottenerla, è necessario rivolgersi ad un certificatore qualificato (accreditato presso il CNIPA), che provvederà a raccogliere telematicamente l'impronta del documento tramite una funzione HASH, a porre assieme documento e marcatura e a restituire un documento digitale, la marca appunto, da conservare assieme all'opera.
Come da tradizione per i servizi Internet, applicare una marca temporale è possibile in qualsiasi momento. "Per datare un documento non occorre che esca dal proprio computer" spiega Luca La Ferla, amministratore delegato di Digitaltrust (l'azienda che ha sviluppato PrimoAutore): "Un programma apposito calcola l'hash, lo invia al certificatore che ricevuta la richiesta provvede a rilasciare la marca".

ArchivioIn altre parole, pagando una certa somma per ogni opera digitale (che può essere formata anche da diversi file, purché riconducibili alla stesso nucleo creativo) è possibile ottenere un documento che ne attesti la paternità ad una certa data. Sebbene PrimoAutore sia uno dei primi servizi di questo genere pensato per il pubblico dei privati non è certo l'unico. Ad esempio, altri due grossi nomi come InfoCert (azienda nata da una costola di InfoCamere) e Poste Italiane offrono, a prezzi concorrenziali, servizi analoghi, così come fa quasi gratuitamente Copyzero.

La differenza tra i servizi, oltre al prezzo, la fa anche la modalità di utilizzo. Se nel caso di Copyzero occorrono almeno 15 giorni per ottenere la marcatura, gli altri sistemi offrono una risposta quasi in tempo reale. Nel caso di Poste Italiane occorre recarsi in un ufficio abilitato dove acquistare per poco meno di 90 euro un kit, che comprende una smart card, un lettore, il software e 50 marche temporali.

MarcaturaInfoCert, invece, consente di acquistare dal proprio sito 100 marche a 36 euro, che andranno poi apposte attraverso il software DiKe (gratuito). Nel caso di PrimoAutore, infine, il sistema diventa indipendente dalla piattaforma utilizzata: con 9,99 euro più IVA per ogni singola opera, è possibile registrare via browser fino a tre diversi documenti, specificando l'anagrafica di tutti i soggetti coinvolti e ottenendo un file da conservare assieme all'archivio contenente le proprie creazioni.

Luca Annunziata

Update: Sull'argomento è intervenuto anche Nicola Grossi, presidente del Movimento Costozero, allo scopo di fornire alcune precisazioni su vantaggi e i limiti del servizio di marcatura temporale online offerto dalla sua organizzazione.
47 Commenti alla Notizia Marca temporale, aumenta la concorrenza
Ordina
  • buongiorno, per curiosita che cosa intende per CAD il Sig barberini? spero non il software di disegno tecnico, che c'azzecca?.
    stiamo parlando di codici hash, generalmente md5 o sha 1 o meglio ancora sha2 (512) qui addirittura installando col tasto destro del mouse escono contemporaneamente decine di codifiche che risulta matematicamente impossibile un errore di collisione su tutti per lo stesso file, neanche in 50 vite ognuna da 100 anni http://www.jonelo.de/java/jacksum/
    Ho letto una certa confusione mescolando polenta con pastasciutta: chi dice che:" (Possono averci inserito quello che vogliono, ma l'opera lì dentro non >c'è, c'è solo un hash che non dimostra NIENTE. Ma dov'è scritto che >un hash ha lo stesso valore di un file?? In quale legge??? Oppure >vogliamo dire che tutti quelli come me che si sono comprati la smart >card e che stanno anche 1 ora per marcare un file sono degli emeriti >imbecilli?)
    =====================
    Senza offesa ma si!
    https://it.wikipedia.org/wiki/Hash
    nella vita avrete tutti sicuramente sentito parlare di prove inconfutabili come le impronte digitali o il DNA immagino, in questo caso esiste lo stesso per qualsiasi file digitale(audio, immagini, documenti word o pdf etc) la garanzia sta appunto nel fatto che non serve metterci niente all interno di un file perche modificherebbe la sua impronta digitale ed infatti è proprio questo il motivo della sua sicurezza a prova di falsificazioni, modificanto anche una sola lettera di una parola per esempio da un testo col blocco note "ciao" in "ciaO" solo per qquesta differenza risulta in fase di verifica una modifica del codice per esempio 6369616F sta per ciao e 6369614F per ciaO . vedete che è cambiato il risultao finale con le ultime due cifre da 6f a 4f . un esempio semplice solo per rendere piu limpido il concetto. potete sbizzarrirvi con questo gioco in cambio testo - in esadecimale http://www.convertstring.com/it/EncodeDecode/HexEn...
    le codifiche md5 e sha sono molto piu lunghe e difficili ognuna da risultare con errori, la sha1 almeno e la sha-2 512 ancora di piu, si puo dire matematicamente sicure in qualsiasi tribunale del mondo.
    non+autenticato
  • Salve, invece ritengo valide queste iniziative che portano a rodurre il costo.
    Per lavoro compro spesso servizi da Aruba .it o Infocert.it , ultimamente su marchetemporali.com ma solo e sempre per motivi di costo. Se posso avere lo stesso prodotto gratis o quasi a me va benissimo. Non ho quindi capito se posso usare questo sito per marcare i documenti e se é valida la marcatura
    non+autenticato
  • Dopo avere gettato uno sguardo ad alcuni commenti apparsi su questi forum, mi sento in dovere di fare chiarezza.

    Quando dico, riferendomi all'attribuzione della paternità dell'opera, che il valore probatorio che si ottiene con Copyzero è diverso da quello che si ottiene con servizi commerciali come quello di cui si parla nell'articolo, mi riferisco al fatto (per altro evidente) che, nel caso di Copyzero, oltre all'apposizione della marca temporale (che ha quell'efficacia erga omnes che tutti ricordiamo, ma che, di per sé, non identifica alcun autore), vi è anche l'apposizione della firma elettronica qualificata.

    Nel caso di Copyzero, documento informatico (opera dell'ingegno) ed autore-sottoscrittore vengono, DI FATTO (la firma non costituisce prova a favore), associati sulla base di una una presunzione legale: "l'utilizzo del dispositivo di firma si presume riconducibile al titolare" (secondo comma art. cit.).
    Nel caso di Primo Autore, invece, il giudice associa documento e non-sottoscrittore in base ad un libero apprezzamento: noterà che nello zip c'è un pdf con riportato il nome dell'autore.
    E' inimmaginabile pensare che un giudice, nell'esercizio del suo potere discrezionale, valuti alla stessa stregua una firma elettronica qualificata e l'indicazione di un nome su un pdf.
    Se così fosse, sarebbe estremamente facile, attraverso servizi (praticamente anonimi) come Primo Autore, attribuire ad altri la paternità di ingiurie, calunnie, diffamazioni e quant'altro.
    E' per questo che, nel caso di Copyzero on-line, accettiamo di buon grado che gli utenti ci inviino file su cui hanno già apposto la loro firma (anche semplice firma elettronica).
    Non solo: mettiamo anche a disposizione un software (Javasign): http://www.costozero.org/wai/javasign.html
    che dà la possibilità di generare firme elettroniche anche a chi ha poca dimestichezza con PGP.


    Per quanto riguarda l'ultima parte del mio intervento, ho cercato di mettere in guardia i "copyzeristi" dall'interpretare male quello che ha detto La Ferla.
    Non ho inteso dire che non vi sia "equivalenza" tra impronta informatica ed evidenza informatica (anzi, consiglio caldamente di leggere quello che da anni pubblicamente scrivo sulle mailing list che frequento:
    http://lists.ibiblio.org/pipermail/cc-it/2004-Sept...
    posso davvero dire di essere stato uno dei primi ad auspicare la nascita di servizi automatizzati e veloci per la marcatura temporale).

    Memore dei tanti equivoci che ogni giorno siamo chiamati a dirimere con "i non addetti ai lavori", ho detto, invece, che da un punto di vista giuridico, marcare un documento informatico X in cui è riportata (ossia trascritta) la funzione di hash del documento informatico Y, non attesta l'esistenza ad una data certa del documento informatico Y, ma quella del documento informatico X. E' molto importante che gli utenti non credano che, ad esempio, scrivere dei digest sha-1 su un file di testo e validare temporalmente quest'ultimo significhi validare temporalmente i file corrispondenti a quei digest sha-1.
    Ho poi fatto, in relazione a questo, una reductio ad absurdum di natura giuridica, non scientifica, e come tale deve essere intesa.

    Spero di avere chiarito. Se non ho chiarito, mi spiace, ma purtroppo non ho altro tempo a disposizione e non voglio commettere nuovamente l'errore di sintetizzare troppo il mio pensiero in riferimento a una materia così vasta e complessa.

    Chi ha ancora dubbi e/o vuole rivolgermi domande, può farlo privatamente, grazie.

    L'unico consiglio che, per deformazione professionale, mi sento di dare a Primo Autore, non prima di essermi complimentato con La Ferla ed avergli augurato ogni successo (anche perché la fortuna delle "versioni on-line" di Copyzero si lega strettamente alla fortuna di chi ne diffonde l'idea e il metodo), è quello di avere messo nell'"area legale" del sito riferimenti ad alcune norme - come l'art. 22, comma 1, lettera g, d.p.r. n. 445/2000 e il D.Lgs. 23 gennaio 2002, n. 10 - che, essendo state abrogate, non esistono più.

    Buon lavoro.

    n.g.
    non+autenticato
  • Salve, vorrei intervenire perchè leggendo il decreto del ministero delle finanze del 23 gennaio 2004 sulla conservazione elettronica dei documenti, è specificato chiaramente che è ammessa "l'apposizione della marca temporale, in luogo del riferimento temporale, sull'insieme dei predetti documenti ovvero su un'evidenza informatica contenente l'impronta o le impronte
    dei documenti".
    Quindi mi sembra sia ammesso creare un file (ad es pdf) contenente N impronte di N documenti e sucessivamente effettuare una marca temporale di esso garantendo la marca temporale di tutti gli N documenti relativi alle N impronte.
    non+autenticato
  • Allora, io praticamente ho in mano il mio zip con dentro l'opera (che rimane sempre sul mio pc), da una parte, e la marca tsr dall'altra (che scarico da primo autore).

    Poi come si mette la marca sullo zip? Come si ricompongono i pezzi?
    non+autenticato
  • Buon giorno,

    se si registra sul sito vedra' che le funzioni principali sono 2:

    a) Certifica la tua opera
    b) Verifica la tua opera.

    Quest'ultima funzionalita', non e' altro che un applet Java che richiede i 2 file. Il file Zip dell'opera e il file .TSR della marcatura. A qs punto calcola localmente la funzione dell'HASH dello zip e verifica la marcatura associata allo stesso.

    E' da notare che qualsiasi software di firma digitale che supporta la marcatura temporale dovrebbe essere in grado di verificare i 2 file essendo la marcatura prodotta in base a degli standard internazionali.
    non+autenticato
  • Vedo che l'articolo ha scatenato una battaglia di religione tra il "vecchio" servizio e il nuovo.
    Č da un pò che seguo il movimento CostoZero (senza esserne però fruitore) e sapevo che esisteva CopyZero Online. Io mi chiedo se è vero che il sistema nuovo non è affidabile perchè la verifica viene fatta dal computer del client, allora anche il sistema di CopyZero Online non è affidabile per lo stesso motivo: un hacker o un parente del proprietario della casella di posta potrebbe aver inviato quel file e il Team di CopyZero potrebbe essere stato tratto indotto a timbrare credendo che la transazione sia stata fatta dal proprietario della casella... correggetemi se sbaglio, grazie.
    non+autenticato
  • Il sistema di Primo Autore non ha l'affidabilità di quello di CopyZero Online perché non appone la marca sull'opera.

    La questione è tutta qui.

    Per quanto riguarda la casella, vedo che per registrarsi a Primo Autore basta fornire l'e-mail. Mentre per registrarsi a CopyZero Online occorre fornire anche un documento di identità.

    Tuttavia non è questo che, a mio parere, inficia la validità del sistema di Primo Autore, ma, come ho detto, il fatto che non appongano la marca sull'opera.


    - Scritto da: ess
    > Io mi chiedo se è vero
    > che il sistema nuovo non è affidabile perchè la
    > verifica viene fatta dal computer del client,
    > allora anche il sistema di CopyZero Online non è
    > affidabile per lo stesso motivo: un hacker o un
    > parente del proprietario della casella di posta
    > potrebbe aver inviato quel file e il Team di
    > CopyZero potrebbe essere stato tratto indotto a
    > timbrare credendo che la transazione sia stata
    > fatta dal proprietario della casella...
    > correggetemi se sbaglio,
    > grazie.
    non+autenticato
  • Mi fa piacere che per lo meno abbiamo aperto una discussione accesa e, sotto certi, aspetti interessante.

    Quello che noi applichiamo e' una procedura derivata dalla metodologia di Conservazione Sostitutiva in particolare abbiamo in
    questa delibera del CNIPA la risposta a perche' abbiamo scelto questa soluzione:
    --------------.--------------------------------------
    DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 13 gennaio 2004 Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. (GU n. 98 del 27-4-2004)


                                                 Art. 51.
                                   Richiesta di validazione temporale
    1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'inoltro della richiesta di validazione temporale.
    2. La richiesta deve contenere l'evidenza informatica alla quale le marche temporali debbono fare riferimento.
    3. L'evidenza informatica può essere sostituita da una o più impronte, calcolate con funzioni di hash previste dal manuale operativo. Debbono essere comunque accettate le funzioni di hash
    basate sugli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA-1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998.
    --------------------------------------

    Ecco nell'articolo 51 comma 3 c'e' la chiave della metodologia usata da PrimoAutore.it.

    "L'evidenza informatica può essere sostituita da una o più impronte"
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)