Re: firma digitale

[Fabrizio Mancini <mr.file@gmail.com>]

2010/7/2 Paolo Sala <piviul@riminilug.it>:
> Fabrizio Mancini scrisse in data 02/07/2010 14:01:
>> non ho ben capito a quale scopo ti serve la firma digitale, ma se ti
>> serve una firma digitale certificata, cioè che sia riconosciuta anche
>> all'esterno della tua rete di fiducia, allora ti serve una firma
>> digitale secondo le norme cnipa (es. la firma digitale certificata è
>> l'unica valida alternativa alla firma autografa).
> Bhé, per il governo italiano...
non conosco la legislazione di altri stati, ma anche negli altri paesi
non penso tu ti possa fare una carta di identità da solo... il
concetto è più o meno quello, che poi le leggi italiane siano fatte a
verga di segugio questo è un altro discorso...

> Si, infatti mi ero posto il problema e credo anch'io che qui sia il
> punto da approfondire... Ma in fondo ricevere da una CA una coppia di
> chiavi o un macchinetto (usb o smartcard...) non è la stessa cosa? Certo
> dipende dalla CA...
anche qui ti posso dire che le CA sono costrette a tenere le tue
chiavi memorizzate su di un hsm, che è un dispositivo certificato
eal4+, il cui unico produttore al mondo che rispecchia i requisiti
della normativa italiana è un americano, e cioè AEP che appartiene
alla cybertrust. Questi dispositivi sono conservati in dei veri e
propri bunker, che hanno sistemi di protezione abbastanza elevati
(riconoscimento biometrico). Certo se poi gli addetti al bunker ti
fanno entrare dall'uscita di emergenza come è successo a me, questo è
un altro discorso!!! :-)
Se tu ti rubi uno di questi dispositivi, e non hai i pin e le 2 smart
card che servono per farlo funzionare, te lo dai più o meno in faccia,
a parte il fatto che se tu tenti di forzare l'accesso a tale
dispositivo, questo brucia i certificati e le chiavi che ci sono
dentro... ed anche questo mi è successo con i certificati dei clienti
dentro...
La CA infine ti fa arrivare uno scatolotto a casa dal quale tu, pur
avendo il pin, difficilmente riuscirai a tirar fuori le chiavi di
firma per il tuo certificato di firma qualificata.

> In ogni caso a me sembra che con gpg se si abilita
> la richiesta di una passphrase per generare la firma (oltre ovviamente
> la necessaria chiave privata) si garantisca meglio dell'infrastruttura
> messa in piedi dal cnipa in cui basta possedere il macchinetto... certo
> rimane il punto debole della Certification Authority.
La richiesta di passphrase è una sicurezza aggiuntiva, ma se ti rubano
il portafoglio delle chiavi, semplicemente rubandoti il pc o i dati
dal tuo pc, ci possono fare quello che vogliono, e le chiavi private
tu le memorizzi su di un disco solitamente.
Anche con gpg alla fine puoi comperarti delle smart card da utilizzare
per scriverci dentro le tue chiavi private.

>> Ma la firma l'hai fatta detached o attached?
> Premesso che non ho fatto ancora nulla pensavo detached. Ho visto però
> che qualcuno ha fatto qualcosa inglobato nel documento stesso che sembra
> essere interessante: http://www.sinadura.net/... anche se è quasi tutto
> in spagnolo.
Attualmente non conosco lo stato di gpg rispetto agli standard PKCS
(sono gli standard per la firma digitale). Quello che dovrebbe
interessare a te è lo standard PKCS #7 che è lo standard per la firma
e la cifratura di messaggi crittografici.
Secondo lo standard pcks7 tu puoi firmare un documento in modalità
attached o detached, e cosi dovrebbe fare gpg.
se non erro per firmare un documento:
# gpg --sign documento
per firmare in maniera detached:
# gpg --detach-sign documento
ed entrambi ti danno un output binario.
per avere invece un output in formato testo o armored devi aggiungere
il flag --armor cioè file firmati nella forma testuale che puoi anche
inviare via email e puoi aprire con un semplice editor di testo.
Ciao Fabrizio