Re: firma digitale
2010/7/2 Paolo Sala <piviul@riminilug.it>:
> Ciao a tutti,
> l'azienda per cui lavoro vorrebbe dotarsi di firma digitale e non
> necessariamente quella definita dal cnipa poiché non abbiamo bisogno
> venga accettata dalla pubblica amministrazione ma dobbiamo soltanto
> riuscire a fare si che venga accettata dai vari enti di certificazione
> (SINAL per il laboratorio e SINCERT per qualità e ambiente). Pensavo
> di mettere su un sistema che si basi su GPG.
>
> I documenti da firmare digitalmente sono certificati di analisi, i cui
> dati delle analisi risiedono su db e di cui è già possibile creare
> certificati (documenti pdf) in base a layout predeterminati. Ora il
> pdf viene stampato e firmato manualmente.
> Mi piacerebbe quindi che un utente loggato possa da interfaccia web
> approvare l'accoppiata dati+layout (e qui non dovrebbe essere un
> grosso problema) e fare si che se l'approvazione esista creare
> automaticamente la firma per l'autore dell'approvazione per il pdf
> generato.
>
> Avete qualche suggerimento, consiglio, dubbio da tenere in considerazione?
>
> Piviul
>
> PS
> Ho provato su una debian stable ad installare seahorse e riesco a
> firmare/cifrare i documenti ma non a verificarne la firma: ho
> dimenticato di installare/configurare qualcosa?
Ciao,
non ho ben capito a quale scopo ti serve la firma digitale, ma se ti
serve una firma digitale certificata, cioè che sia riconosciuta anche
all'esterno della tua rete di fiducia, allora ti serve una firma
digitale secondo le norme cnipa (es. la firma digitale certificata è
l'unica valida alternativa alla firma autografa).
Il tutto risiede nel fatto che se generi una rete di fiducia con gpg,
tutto si basa sulla fiducia che tu dai alle persone, ma qualcuno
ingannevolmente potrebbe spacciarsi per una persona che tu conosci
ovvero tu potresti far passare per una persona di fiducia qualcuno che
invece non lo è. Tutto si basa sul famoso detto: quis custodiet ipsos
custodes? ovvero chi controlla i controllori stessi? Mi spiego: è vero
che quando firmi digitalmente un documento appare il tuo nome scritto
sul documento firmato, ma quello sei tu che lo scrivi quando generi
una chiave con gpg. quindi anche io potrei costruirmi una chiave di
firma con il tuo nome, cognome, email ecc..
A tal proposito sono nate le CA (Certification Authority), le quali
più o meno discutibilmente, si assumono la responsabilità di
certificare chi è colui che richiede il certificato di firma digitale.
Quindi, più che sulla questione tecnica, ti suggerisco di approfondire
tale discorso all'interno della tua azienda, con il tuo ufficio legale
o con qualche legale competente in materia che segue la tua azienda e
che conosca i vostri processi.
Una volta stabilito i posti più impensabili dove potrebbero finire i
vostri documenti, ovvero anche in tribunale o meno, hai un punto di
partenza per ragionare sull'infrastruttura della quale ti dovrai
dotare.
Es. è mai successo che un paziente vi abbia fatto causa per dei
docuemnti da voi prodotti secondo lui sbagliati? i vostri documenti
sono mai finiti in mano ad un giudice?
Una volta chiariti questi aspetti, saprai se dovrai inserire
all'interno del tuo software una firma digitale qualificata oppure una
costruita sulla tua rete di fiducia.
Per rispondere alla tua domanda finale, credo tu debba dare fiducia al
tuo certificato di firma digitale, ovvero tu devi dire a gpg che ti
fidi di quel certificato di firma. Una volta fatto ciò dovresti
poterla verificare.
Con le CA invece tu demandi alla CA la verifica della firma, e saranno
loro a dirti se ti puoi fidare di quel certificato, se è stato
revocato, se è scaduto ecc. ecc.
Ma la firma l'hai fatta detached o attached?
Spero di essere stato chiaro in cosi poche righe per un argomento cosi
complesso sul quale ho sbattuto il grugno pesantemente in passato ma
fortunatamente adesso me ne sono liberato.
Ciao Fabrzio
Reply to: