Sept. 17, 2020
11:44 a.m.
On 17/09/2020 12:53, Antonio Iacono wrote: >> Questo non dipende dal fatto che eIDAS stabilisce che le firme digitali >> valide sono tutte quelle implementate attraverso il Ades Baseline >> Profiles (quindi XAdES, PAdES e CAdES) sviluppato da ETSI? > E' una questione temporale, oggi è così, ma inizialmente (primo decennio > 2000) le firme consentite erano solo quelle di tipo CAdES (in teoria anche > XAdES anche se questo formato è stato ingiustamente messo da parte) > e solo da pochi anni PAdES. > >> Non capisco bene cosa significa "in modo completo": per favore puoi >> espandere? (anche solo un link va benissimo) > Un esempio vale più di mille parole, vai qui [1], scarica l'esempio: > "Multiple signatures on multiple pages." e aprilo sia con Acrobat Reader > che con LibreOffice e poi mi dici. > > Antonio > > [1] > https://www.tecxoft.com/samples.php Interessante. Ma concettualmente non sarebbe meglio che a validare la firma sia una applicazione diversa da quella che presenta il contenuto? Se conosco l'applicazione con cui viene aperto il documento posso costruirlo in modo tale che presenti un aspetto a video tale da ingannare chi lo legge e indurlo a pensare che il documento sia firmato anche se non lo è. Per esempio a riportare l'annotazione grafica fasulla "Signed by: Alice" Se a verificare la firma è invece un software ad hoc, questo spoof non è possibile. Ciao, Alberto