Buongiorno Antonio, grazie che entri un po' nel merito, spero che anche le nexiane non tecniche abbiano la pazienza di approfondire un minimo. Antonio Iacono <antiac@gmail.com> writes:
Nei limiti delle mie risorse vedrò come riesco a collaborare affinché firmare digitalmente sia sempre più facile e alla portata di tutti (nonostante le serie perplessità sull'intero sistema X.509).
Dell'intero sistema X.509 purtroppo se ne sa molto poco.
Scusa Antonio ma no, se ne parla poco fra i non addetti ai lavori ma si sa tutto: https://en.wikipedia.org/wiki/X.509#Security (purtroppo la pagina italiana non è altrettanto aggiornata e precisa). Ci sono quattro classi di problemi, alcuni dei quali *esclusivi* di X.509: 1. debolezze architetturali 2. problemi con le CA (questi sono _esclusivi_ di X.509) 3. problemi di implementazione (esclusivi di X.509) 4. debolezze della crittografia Lascio come compito ai lettori più attenti trovare notizie in merito alla compromissione di intere Certification Authorities da parte dei *Marziani*. Alcuni rompiscatole come me di recente hanno anche sollevato la questione in questa lista ("sulla falsificazione di identità digitale"), solo nel tentativo di evidenziare il problema.
Ad esempio, in questi giorni, nella lista si parla tanto di monopoli di aziende high-tech. Un altro monopolio è quello delle certification authority (CA), anzi, dei providers che forniscono i certificati, leggi un po' qua [1].
Come cittadino mi fa un po' impressione che nel digitale le attività di certificazione - storicamente attribuite alla pubblica amministrazione - siano sostanzialmente privatizzate. Per essere chiari: un modo tecnicamente migliore rispetto a X.509 di garantire la sicurezza delle comunicazioni *e* delle firme digitali ESISTE, ci hanno messo 20 anni per metterlo a punto e ora è un prototipo interessante sul quale ci si potrebbe costruire sopra un sistema pubblico di trust decente: https://reclaim.gnunet.org/
Un articolo fatto molto bene che può chiarirti le idee lo trovi qui [2].
Grazie del riferimento, conoscevo il sistema delle CA ma quell'articolo mi fornisce ulteriori puntatori a notizie e iniziative, tipo https://www.eff.org/observatory che non conoscevo. Anche questo può chiarirci le idee sullo stato dell'ONION: https://ma.ttias.be/the-broken-state-of-trust-in-root-certificates/ «The Broken State of Trust In Root Certificates» Quindi, quando parliamo di "firma elettronica qualificata", non prendetemi per matto quando dico che ci sono delle serie e fondate perplessità sull'intero sistema: se manca la fiducia nel sistema come può funzionare nel medio termine? Io per esempio sono tra quelli che firmano OpenPGP anche i messaggi inviati via PEC, così me ne accorgerei nel caso compromettessero il giro del fumo :-O Saluti, Giovanni.
[1] https://en.wikipedia.org/wiki/Certificate_authority#Providers [2] https://proprivacy.com/guides/root-certificates-explained
-- Giovanni Biscuolo