Marca temporale, interviene Copyzero

Il presidente del Movimento Costozero scrive a Punto Informatico. Lo scopo: chiarire i vantaggi e i limiti del servizio di marcatura online

Roma - Riceviamo e volentieri pubblichiamo una lettera di Nicola Grossi, presidente del Movimento Costozero, in relazione all'articolo sui servizi di marcatura temporale dei documenti digitali apparso lo scorso venerdì sulle pagine di Punto Informatico.

In relazione all'articolo apparso su PI in data 14/03/2008, dal titolo "Marca temporale, aumenta la concorrenza", teniamo a precisare, anche e soprattutto nell'interesse degli utenti, due aspetti molto importanti (specialmente il secondo):

1. "Copyzero" non è "Copyzero on-line": "Copyzero" (http://it.wikipedia.org/wiki/Copyzero) è una procedura individuale ed autonoma con cui l'utente firma e marca le proprie opere (per saperne di più, può vedersi il video realizzato da Christian Biasco e Francesca Terri: http://it.youtube.com/watch?v=XsWyb1uFJg0); "Copyzero on-line" è, invece, un servizio che offriamo, al fine di promuovere "Copyzero", a chi non convenga, in rapporto alle proprie necessità, acquistare smard card, relativo lettore e marche temporali.
2. I 15 giorni di cui si parla nell'articolo non corrispondono al tempo che a noi occorre per marcare il file (la marcatura avviene mediamente in 4-5 giorni). I 15 giorni devono invece intercorrere tra l'invio di un file e l'altro.
Abbiamo la necessità di fare intercorrere questo tempo perché, nel soddisfare le richieste, intendiamo ottenere dalla marcatura temporale lo stesso valore probatorio che si ottiene con "Copyzero", valore probatorio che è ben diverso da quello che si ottiene, più brevemente, con servizi commerciali come quello di cui si parla nell'articolo in oggetto: infatti, nel caso di "Copyzero on-line", la marca temporale viene apposta direttamente sul file (ed occorre quindi molto più tempo per l'operazione di marcatura, ossia per l'uploading del file presso l'Ente Certificatore).

Gli utenti devono essere informati del fatto che, *da un punto di vista giuridico, marcare un documento informatico X in cui è riportato l'hash del documento informatico Y, non attesta l'esistenza ad una data certa del documento informatico Y, ma quella del documento informatico X*!
Dunque, in un eventuale giudizio, sarà la *discrezionalità del giudice* e non una presunzione legale a stabilire se dal documento informatico X è possibile desumere l'esistenza ad una data certa del documento informatico Y.
E noi abbiamo seri dubbi sul fatto che un giudice possa pervenire ad una simile conclusione.

Infatti, se marcare un hash avesse davvero valore probatorio, chiunque potrebbe inserire in un documento informatico una lunghissima serie di hash casuali e dire che corrispondono ad opere di sua creazione: dopodiché, marcato il documento suddetto, potrebbe mettersi in cerca di un'opera altrui, creata successivamente, alla quale corrisponda uno degli hash riportati nel documento suddetto, e sostenere, con tanto di prova alla mano, che il vero autore è lui!

Per Movimento Costozero,
il Presidente
Nicola A. Grossi
35 Commenti alla Notizia Marca temporale, interviene Copyzero
Ordina
  • Dopo avere gettato uno sguardo ad alcuni commenti apparsi su questi forum, mi sento in dovere di fare chiarezza.

    Quando dico, riferendomi all'attribuzione della paternità dell'opera, che il valore probatorio che si ottiene con Copyzero è diverso da quello che si ottiene con servizi commerciali come quello di cui si parla nell'articolo, mi riferisco al fatto (per altro evidente) che, nel caso di Copyzero, oltre all'apposizione della marca temporale (che ha quell'efficacia erga omnes che tutti ricordiamo, ma che, di per sé, non identifica alcun autore), vi è anche l'apposizione della firma elettronica qualificata.

    Nel caso di Copyzero, documento informatico (opera dell'ingegno) ed autore-sottoscrittore vengono, DI FATTO (la firma non costituisce prova a favore), associati sulla base di una una presunzione legale: "l'utilizzo del dispositivo di firma si presume riconducibile al titolare" (secondo comma art. cit.).
    Nel caso di Primo Autore, invece, il giudice associa documento e non-sottoscrittore in base ad un libero apprezzamento: noterà che nello zip c'è un pdf con riportato il nome dell'autore.
    E' inimmaginabile pensare che un giudice, nell'esercizio del suo potere discrezionale, valuti alla stessa stregua una firma elettronica qualificata e l'indicazione di un nome su un pdf.
    Se così fosse, sarebbe estremamente facile, attraverso servizi (praticamente anonimi) come Primo Autore, attribuire ad altri la paternità di ingiurie, calunnie, diffamazioni e quant'altro.
    E' per questo che, nel caso di Copyzero on-line, accettiamo di buon grado che gli utenti ci inviino file su cui hanno già apposto la loro firma (anche semplice firma elettronica).
    Non solo: mettiamo anche a disposizione un software (Javasign): http://www.costozero.org/wai/javasign.html
    che dà la possibilità di generare firme elettroniche anche a chi ha poca dimestichezza con PGP.


    Per quanto riguarda l'ultima parte del mio intervento, ho cercato di mettere in guardia i "copyzeristi" dall'interpretare male quello che ha detto La Ferla.
    Non ho inteso dire che non vi sia "equivalenza" tra impronta informatica ed evidenza informatica (anzi, consiglio caldamente di leggere quello che da anni pubblicamente scrivo sulle mailing list che frequento:
    http://lists.ibiblio.org/pipermail/cc-it/2004-Sept...
    posso davvero dire di essere stato uno dei primi ad auspicare la nascita di servizi automatizzati e veloci per la marcatura temporale).

    Memore dei tanti equivoci che ogni giorno siamo chiamati a dirimere con "i non addetti ai lavori", ho detto, invece, che da un punto di vista giuridico, marcare un documento informatico X in cui è riportata (ossia trascritta) la funzione di hash del documento informatico Y, non attesta l'esistenza ad una data certa del documento informatico Y, ma quella del documento informatico X. E' molto importante che gli utenti non credano che, ad esempio, scrivere dei digest sha-1 su un file di testo e validare temporalmente quest'ultimo significhi validare temporalmente i file corrispondenti a quei digest sha-1.
    Ho poi fatto, in relazione a questo, una reductio ad absurdum di natura giuridica, non scientifica, e come tale deve essere intesa.

    Spero di avere chiarito. Se non ho chiarito, mi spiace, ma purtroppo non ho altro tempo a disposizione e non voglio commettere nuovamente l'errore di sintetizzare troppo il mio pensiero in riferimento a una materia così vasta e complessa.

    Chi ha ancora dubbi e/o vuole rivolgermi domande, può farlo privatamente, grazie.

    L'unico consiglio che, per deformazione professionale, mi sento di dare a Primo Autore, non prima di essermi complimentato con La Ferla ed avergli augurato ogni successo (anche perché la fortuna delle "versioni on-line" di Copyzero si lega strettamente alla fortuna di chi ne diffonde l'idea e il metodo), è quello di avere messo nell'"area legale" del sito riferimenti ad alcune norme - come l'art. 22, comma 1, lettera g, d.p.r. n. 445/2000 e il D.Lgs. 23 gennaio 2002, n. 10 - che, essendo state abrogate, non esistono più.

    Buon lavoro.

    n.g.
    non+autenticato
  • Scusate se arrivo in ritardo sull'argomento ma proprio in questo periodo volevo capire bene la situazione perchè interessato all'argomento.
    Mi sono informato sui servizi offerti da PosteItaliane ed InfoCert (manuali d'uso forniti sui rispettivi siti) e mi sembra di aver capito che entrambe effettuino la marcatura temporale dell'HASH del documento e non del documento stesso.
    Inoltre anche sul sito di costozero nella sezione riguardante la licenza copyzero x mi sembra di aver capito che si associ la licenza al file utilizzando il codice HASH di quest'ultimo.
    Percui non dovrebbe essere poi una boiata...

    Inoltre bisognerebbe pensare all'utilizzo di tali prove in una situazione reale, poniamo che 2 persone abbiano creato lo stesso file e che forniscano 2 date di creazione diverse. La persona che dichiara una data di creazione più recente dovrà dimostrare, se vuole avere ragione, l'invalidità della prova della controparte.
    Questa d'altronde attesta che in una data antecedente era stato creato un file con un dato HASH. Per rendere nulla questa prova bisognerebbe dimostrare la possibilità di poter marcare temporalmente un hash di un file diverso da quello di cui ci si contende la paternità e di ricreare in seguito quest'ultimo in modo che abbia lo stesso identico HASH.
    non+autenticato
  • Mi sono letto tutto il thread e non c'è nessuno che abbia capito!
    E' ovvio che due file con lo stesso valore di hash è praticamente impossibile che esistano! Tra l'altro l'sha1 è fatto in modo tale da evitare collisoni!
    Ma se il server della CA rilascia la marca in base a un'impronta, io posso farmi rilasciare una miriade di tsr che corrispondono a file che NON HO!

    Poi, se ho il culo (e non c'è dubbio che ci voglia culo, ma non è impossibile: ci sono database sconfinati di funzioni hash, basta fare un giro su emule!) di trovare quel documento (UNICO AL MONDO) che corrisponde a una delle tsr che ho, posso dire che quel documento è mio!

    Praticamente posso andare davanti al giudice con la marca che mi sono creato prima e il file che ho trovato poi!

    Non mi servono due file UGUALI: MI BASTA trovare il file corrispondente all'impronta che ho marcato.

    Avete capito??? Qui un poco di hackeritudine manco l'ombra eh? Si vende solo il tonno più buono?
    non+autenticato
  • - Scritto da: Marco Freddi
    > ci sono
    > database sconfinati di funzioni hash, basta fare
    > un giro su emule!)

    Minchia! Non mi basta una vita per scaricarmi tutto quello che gira su emule, però mi basta poco per vedere tutte le funzioni di hash e marcarmele.

    Poi tutta quella roba, se non è stata depositata prima da altri, diventa mia vero? Come no!

    Ma scendete dal tram per favore!
    non+autenticato
  • Vorrei solo far notare che la normativa italiana sulla conservazione ottica sostitutiva vi contraddice appieno: gli hash dei file ("impronte", come le chiama la suddetta normativa) *SONO* indicatori validi dell'esistenza degli stessi, tant'è che nel processo di conservazione sono permesse (e non solo ad un livello, ma è esplicitamente previsto l'uso di due o più livelli, in quanto i lotti della conservazione settimanale vengono a loro volta conservati annualmente).

    L'idea che si possa creare un documento "con dentro tantissimi hash" e che alcuni di questi siano "casualmente" l'hash di un documento interessante creato da altri è RISIBILE, in quanto l'unico hash attualmente accettato dalla normativa è SHA-1, di 160 bit di dimensione e di buona sicurezza (le ultime ricerche hanno abbassato la sua sicurezza da 80 a 69 bit, ma sono comunque tanti).

    Per avere un "elenco di hash SHA-1" che abbia una buona probabilità di "beccare per caso" l'hash di un documento non ancora prodotto bisognerebbe avere un elenco di una lunghezza spropositata (2^80 elementi se si vuole azzeccare un hash di un qualsiasi documento, 2^160 se si vuole azzeccare l'hash di un documento specifico).
    non+autenticato
  • Quoto al 100% quanto detto da Lapo,
    ricordando che, oltre alla LEGGE che definisce chiaramente la modalità di applicazione della marcatura temporale, all'interno della stessa firma digitale si va a cifrare asimmetricamente l'hash del documento considerando l'impronta come equivalente dell'originale.

    Credo che gli utenti farebbero bene ad informarsi leggendo i testi delle relative leggi che mi sembrano più chiarificatrici e meno disinformative di alcuni commenti letti.

    saluti
    non+autenticato
  • Quello che si ottiene applicando una funzione di hash ad un documento informatico è un'impronta (digest) univoca del medesimo. Ossia una buona funzione di hash si caratterizza per essere "non invertibile" e "priva di collissioni".

    In buona sostanza ci sono più possibilità di vincere per dieci volte di seguito al superenalotto che avere due documenti informatici diversi con lo stessa "impronta".
    non+autenticato
  • Gli hash non sono univoci perché le combinazioni sono finite.
    Ma quand'anche fossero univoci, il problema che si evidenzia nell'articolo è ben altro.

    Marcare un pdf che descrive un file non ha lo stesso valore probatorio del marcare il file stesso.
    Questo lo dice la legge.

    Capisci dove sta il problema?



    - Scritto da: Symba
    > Quello che si ottiene applicando una funzione di
    > hash ad un documento informatico è un'impronta
    > (digest) univoca del medesimo. Ossia una buona
    > funzione di hash si caratterizza per essere "non
    > invertibile" e "priva di collissioni".
    >
    >
    > In buona sostanza ci sono più possibilità di
    > vincere per dieci volte di seguito al
    > superenalotto che avere due documenti informatici
    > diversi con lo stessa
    > "impronta".
    non+autenticato
  • Giusto per curiosità (non si finisce mai di imparare), qual'è l'articolo esatto in cui si dice questa cosa?

    E comunque avere digest diversi (non hash... che è la funzione che si applica per ottenere l'impronta di un documento... "funzione di hash, una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) per le quali la funzione generi impronte uguali" d.p.c.m. 13 gennaio 2004) che portano allo stesso documento è possibile tanto quanto vincere di seguito al superenalotto.

    Se questo non fosse vero verrebbe meno tutta l'architettura su cui si basa la firma digitale.
    non+autenticato
  • - Scritto da: Symba
    > Se questo non fosse vero verrebbe meno tutta
    > l'architettura su cui si basa la firma
    > digitale.

    Quoto, a mio avviso quello che stà subendo PrimoAutore qui sul forum è un gran FUD.

    E' vero che un esperto potrebbe craccare l'applet e generare a casaggio dei gran hash, ma oltre alla impossibile (o quasi) possibilità di riuscire a creare uno zip con delle opere di un altro, dovrebbe consegnare lo zip pieno di dati "grezzi" che in una perizia si scoprirebbero subito...

    Quello che mi dà più fastidio di tutta questa faccenda è stato l'atteggiamento provocatorio di un ""sostenitore"" di copyzero che è venuto qui (tra parentesi accusandomi) a sparare a destra e a manca che è tutto un sistema per mettere in cattiva luce copyzero... ma ROTFL.

    A parte che i due servizi imho non sono concorrenti, dato che offrono 2 sistemi tecnicamente differenti (a cui si può attribuire più o meno affidabilità).

    Comunque un'altra cosa che non mi è stata chiarita neppure in presenza di Luca La Ferla (se non erro è l'amministratore di PrimoAutore) è se nel file tsr viene inclusa anche la dimensione dei file e se il tsr lo tengono anche loro.

    In caso contrario allora è leggermente più probabile (ma imho difficile) creare un file hash identico, a meno che il file zip non sia "molto" molto piccolo e con dei dati grezzi in aggiunta.
    non+autenticato
  • > In caso contrario allora è leggermente più
    > probabile (ma imho difficile) creare un file hash
    > identico, a meno che il file zip non sia "molto"
    > molto piccolo e con dei dati grezzi in
    > aggiunta.

    Ho scritto male: volevo dire che per me è difficile creare un file zip con lo stesso hash, a meno che non sia "molto" piccolo.
    non+autenticato
  • > A parte che i due servizi imho non sono
    > concorrenti, dato che offrono 2 sistemi
    > tecnicamente differenti (a cui si può attribuire
    > più o meno
    > affidabilità).

    Sono perfettamente d'accordo con lei.
    Si tratta di due sistemi differenti. Il FUD, a mio parere, si genera se anziché parlare anche e soprattutto della problematica giuridica, parliamo soltanto della problematica tecnica, che è pressoché inesistente.

    Vede, anche la firma elettronica è tecnicamente infallibile quanto la firma elettronica qualificata. Tuttavia alla firma elettronica è attribuito un valore probatorio diverso.

    Dal punto di vista giuridico, firmare e/o marcare un file o un documento in cui si descrive un file potrebbe anche essere tecnicamente la stessa cosa, ma non lo è giuridicamente.

    Se lei mette la marca sul pdf che descrive l'opera, giuridicamente lei sta solo dimostrando l'esistenza del pdf ad una data certa.

    A quel punto dovrà essere il giudice a stabilire se la prova prodotta può attestare anche l'esistenza dell'opera ad una data certa.

    Se invece lei produce il file/opera marcato, il giudice non può che constatare l'esistenza di quel file ad una data certa.

    La legge non ragiona sulla base del calcolo delle probabilità, ma per norme.

    Quindi, ben vengano soluzioni come quella di Primo Autore, purché non si spaccino come soluzioni diverse da quello che in realtà sono.

    Primo Autore sostiene che, giuridicamente, marcare il pdf equivale a marcare l'opera. Semplicemente non è vero.
    non+autenticato
  • - Scritto da: barberini

    >
    > A quel punto dovrà essere il giudice a stabilire
    > se la prova prodotta può attestare anche
    > l'esistenza dell'opera ad una data
    > certa.
    >

    OK, ora mi è chiaro il discorso...


    > Se lei mette la marca sul pdf che descrive
    > l'opera, giuridicamente lei sta solo dimostrando
    > l'esistenza del pdf ad una data
    > certa.

    Questa cosa del pdf però non riesco a capirla: nel sito di PrimoAutore, nella pagina "dettagli tecnici" c'è scritto che vengono marcati sia i miei file che il loro pdf... Difatti loro mi spediscono uno zip fatto da loro.

    Io l'ho provato e ho fatto così: mi sono registrato, ho inviato un file "zip" contenente la mia roba e loro mi hanno mandato un file zip dove dentro c'era [u]sia[/u] il mio file "zip" che il loro pdf; loro hanno poi marcato temporalmente (a quanto hanno scritto) l'intero zip che mi hanno consegnato.

    A occhio e croce mi sembra che la marca temporale alla fine sia stata posta... Perchè non andrebbe bene la procedura? (al di là del discorso e-mail)
    non+autenticato
  • - Scritto da: mmmm

    > Questa cosa del pdf però non riesco a capirla:
    > nel sito di PrimoAutore, nella pagina "dettagli
    > tecnici" c'è scritto che vengono marcati sia i
    > miei file che il loro pdf... Difatti loro mi
    > spediscono uno zip fatto da
    > loro.
    >
    > Io l'ho provato e ho fatto così: mi sono
    > registrato, ho inviato un file "zip" contenente
    > la mia roba e loro mi hanno mandato un file zip
    > dove dentro c'era [u]sia[/u] il mio file "zip"
    > che il loro pdf; loro hanno poi marcato
    > temporalmente (a quanto hanno scritto) l'intero
    > zip che mi hanno
    > consegnato.
    >
    > A occhio e croce mi sembra che la marca temporale
    > alla fine sia stata posta... Perchè non andrebbe
    > bene la procedura? (al di là del discorso
    > e-mail)


    La marca temporale è stata posta - e nessuno lo ha mai negato -, ma non è stata posta sul file, bensì sull'hash del file.

    Questo è spiegato chiaramente sia nell'articolo di PI:
    "Per datare un documento non occorre che esca dal proprio computer" spiega Luca La Ferla, amministratore delegato di Digitaltrust (l'azienda che ha sviluppato PrimoAutore): "Un programma apposito calcola l'hash, lo invia al certificatore che ricevuta la richiesta provvede a rilasciare la marca".


    Sia sul sito di Primo Autore:
    "Una volta selezionati i file dell'opera vera e propria il sistema primoautore genera un file .Zip contenente l'opera ed il documento descrittivo. Genera poi l'impronta digitale del file cosi' ottenuto, che verrà sottoposta al processo di marcatura temporale."

    Sottoposto alla procedura di marcatura temporale, dunque, non è il file zip ma la sua impronta digitale.
    Legga bene: "sottoposta" è certamente riferito all'impronta digitale del file e non al file stesso, altrimenti avrebbero scritto "sottoposto".

    Quindi lei ha tra le mani un tsr che non si riferisce al file ma al suo hash.

    Per marcare un file di grosse dimensioni possono occorrere anche molte ore.
    Se invece si marca soltanto l'hash, tutte le opere vengono marcate in pochi secondi indipendentemente dalla loro dimensione.

    Questo rende possibile la velocità del sistema di Primo Autore.
    Ma questa velocità deve pagare lo scotto di non apporre la marca sul file, bensì sul suo hash, con le conseguenze giuridiche di cui abbiamo parlato.
    non+autenticato
  • - Scritto da: barberini
    > Se invece si marca soltanto l'hash, tutte le
    > opere vengono marcate in pochi secondi
    > indipendentemente dalla loro
    > dimensione.
    >
    > Questo rende possibile la velocità del sistema di
    > Primo
    > Autore.
    > Ma questa velocità deve pagare lo scotto di non
    > apporre la marca sul file, bensì sul suo hash,
    > con le conseguenze giuridiche di cui abbiamo
    > parlato.

    A parte che secondo questo ragionamento allora neanche il pdf è stato marcato, comunque io a livello "pratico" non ci vedo una grossa differenza.

    Quando si invia ad es. alle poste un file per la marcatura questo viene spedito e poi lato server viene generato un hash.

    Neanche le poste tengono in deposito l'opera ma solo l'hash.
    Allora perchè non è valido lo stesso lavoro se viene fatto lato client io mi chiedo...

    Per quanto riguarda il tempo è vero che non ci ha messo ore, ma una decina di minuti sì (almeno la comunicazione).

    Se il sistema si spacciasse per PEC allora troverei fondati tutti questi allarmi, ma anche se non facesse per niente la marcatura a mio avviso se si è estranei alla ditta PrimoAutore (non si hanno legami di nessun tipo con i fondatori) e questa certifica che il file è integro perchè non credergli, dato che è lo stesso sistema usato dalle agenzie accreditate.

    Ripeto: se uno vuole andare sul sicuro si munirà di smart card, si iscriverà al CNIPA e camperà felice, ma il sistema di PrimoAutore non mi sembra così debole come si vuol far credere, tutto qui.
    non+autenticato
  • - Scritto da: mmmm

    > A parte che secondo questo ragionamento allora
    > neanche il pdf è stato marcato, comunque io a
    > livello "pratico" non ci vedo una grossa
    > differenza.

    Il pdf è stato marcato perché è nello zip.


    >
    > Quando si invia ad es. alle poste un file per la
    > marcatura questo viene spedito e poi lato server
    > viene generato un
    > hash.


    Certamente, ma lei invia il file alle poste e le poste calcolano l'hash. In questo caso, invece, all'ente certificatore viene inviata la richiesta di generare una marca temporale relativa ad un certo hash, che l'ente certificatore non ha mai calcolato.

    Non è la stessa cosa. Il documento informatico non è un hash!

    Ci sono delle procedure che devono essere rispettate anche nell'apposizione della marca.

    > Neanche le poste tengono in deposito l'opera ma
    > solo
    > l'hash.


    Certamente, ma dopo avere ricevuto il file ed avere calcolato l'hash.



    > Allora perchè non è valido lo stesso lavoro se
    > viene fatto lato client io mi
    > chiedo...


    Perché è l'ente certificatore che deve calcolare l'hash, non lei.
    Se lei prende un client per la firma elettronica (uno di quelli ufficialmente rilasciati dalle CA) e applica la marca a un file, secondo lei il client genera in locale l'hash ed invia la richiesta alla CA (cosa che sarebbe certamente più conveniente in termini di tempo) oppure invia il file alla CA, e la CA calcola l'hash lato server e poi emette la marca?

    Avviene la seconda cosa: come mai secondo lei?


    > Per quanto riguarda il tempo è vero che non ci ha
    > messo ore, ma una decina di minuti sì (almeno la
    > comunicazione).

    Il tempo per la comunicazione non c'entra.
    Il tempo viene azzerato calcolando l'hash in locale.



    > Se il sistema si spacciasse per PEC allora
    > troverei fondati tutti questi allarmi,


    PEC è un'altra cosa.

    ma anche
    > se non facesse per niente la marcatura a mio
    > avviso se si è estranei alla ditta PrimoAutore
    > (non si hanno legami di nessun tipo con i
    > fondatori) e questa certifica che il file è
    > integro perchè non credergli, dato che è lo
    > stesso sistema usato dalle agenzie
    > accreditate.

    Ovviamente è libero di credere a chi vuole.



    > Ripeto: se uno vuole andare sul sicuro si munirà
    > di smart card, si iscriverà al CNIPA e camperà
    > felice, ma il sistema di PrimoAutore non mi
    > sembra così debole come si vuol far credere,
    > tutto
    > qui.


    Non occorre iscriversi al CNIPA. Sorride
    Ma perché vede un complotto là dove si tratta di libero scambio di opinioni?
    Io non ho nulla contro quelli di Primo Autore, ma non credo che marcare un hash equivalga a marcare un file.
    Tutto qui.
    non+autenticato
  • L'hash è una funzione. Non è difficile da capire. la marca temporale non è apposta sull'hash ma sul valore di hash (o digest) ottenuto applicando la funzione al documento.

    Marcare il documento o la funzione è giuridicamente la stessa cosa, giacchè la relazione tra documento e valore di hash relativo è univoca.

    Il digest è una sorta di riassunto univoco del documento. Non è possibile (o sarebbe molto, molto, molto difficile tecnicamente) che ci sia uno stesso digest riferibile a due documenti diversi.

    Si stanno dicendo una marea di fesserie dal punto di vista tecnico e dal punto di vista giuridico.

    Se prima di dispensare verità a buon mercato ci si prendesse la briga di leggere e capire la normativa di settore si farebbe un bel passo avanti.
    non+autenticato