Ciao Roberto, Roberto Resoli <roberto@resolutions.it> writes: [...]
Sono esausto. E io faccio il sistemista da anni, per lavoro.
... sfondi portoni spalancati ... :((
Sì lo so, siamo in tanti in questa situazione: «Ciao, mi chiamo Giovanni e faccio uso di software libero da 15 anni; ho provato molte terapie ma non riesco a smettere...» :-D [...]
Ah, tra l'altro attualmente è possibile chiedere la e-residenza in Estonia, ricevendo la relativa carta d'identità:
Interessante: ne avevo sentito parlare ma non ho mai approfondito, da tenere in considerazione.
Naturalmente dovresti poi convincere chi riceve il tuo documento che la firma fatta con la carta estone è valida (lo è).
Ah andiamo bene... [...]
Hai capito bene, ma la normativa astrae dal tipo di canale. Ad esempio ci sono soluzioni che remotizzano l'accesso al dispositivo.
Sì sì, mi è tutto chiarissimo dal punto di vista tecnico e mi è anche chiarissima l'abberrazione di aver permesso che l'accesso al dispositivo fosse remotizzato (smaterizliazato). La cosa che mi fa letteralmente rotolare dal ridere è che io che possiedo fisicamente la smartcard _non_ sono in grado di leggere il certificato per la firma qualificata mentre nel caso di firma remota quel certificato lo possono leggere tutti quelli che hanno accesso alla macchina dove è "ospitato": _magari_ mi sbaglio e la faccio troppo facile ma... diciamo che non sono lontano dall'azzeccarci. [...]
Probabilmente sì, anche se credo che nel mondo attuale, invece di permetter l'accesso paritario all'hardware, semplicemente si elimini l'hardware (vedi firma remota), aumentando enormemente il lock-in.
Se fosse disponibile solo la firma remota io di certo NON la userei e sconsiglierei vivamente, in modo professionale e documentato, altri ad usarla. [...]
Nella normativa tecnica italiana si prescriveva che le chiavi per firma riportassero nel certificato corrispondente l'attributo KeyUsage marcato critico con il solo flag "nonRepudiation". Non so se sia ancora così.
OK, non ne so abbastanza di X.509... uff
Basta che apri un qualsiasi certificato ssl, anche dal browser, e trovi tutto.
Sì grazie, intendevo dire che non ho studiato abbastanza i flag a disposizione e la loro semantica. [...]
Per quanto mi riguarda, installare un driver proprietario o l'intero DIKE proprietario non fa differenza
Ho detto una sciocchezza sull'onda del nervoso che mi è venuto nell'aver constatato che mi ero illuso di poter fare a meno di driver proprietari: usare "solo" un piccolo driver proprietario o un'intera applicazione ovviamente fa differenza. [...]
Di fatto ti basta solo la libreria PKCS11, per il resto puoi usare sw libero. Questo è il massimo che si possa fare, con il token che hai in mano, al momento.
Quello che si può fare è già molto, soprattutto considerando che (da quello che capisco) questo risultato è stato ottenuto senza la benché minima collaborazione da parte della "mano pubblica". Nei limiti delle mie risorse vedrò come riesco a collaborare affinché firmare digitalmente sia sempre più facile e alla portata di tutti (nonostante le serie perplessità sull'intero sistema X.509). Grazie ancora! Giovanni [1] è già abbastanza facile anche usando una smartcard, se poi la _smaterializziamo_ e la rendiamo accessibile tramite internet allora... ciao! -- Giovanni Biscuolo