Il 23/10/20 15:30, Giovanni Biscuolo ha scritto:
Ciao Roberto,
Roberto Resoli <roberto@resolutions.it> writes:
[...]
Sono esausto. E io faccio il sistemista da anni, per lavoro.
... sfondi portoni spalancati ... :((
Sì lo so, siamo in tanti in questa situazione: «Ciao, mi chiamo Giovanni e faccio uso di software libero da 15 anni; ho provato molte terapie ma non riesco a smettere...» :-D
eh, contro la libertà le terapie sono tante, e per lo più cercano di reprimere i sintomi ... ma una volta infetti c'è poco da fare.
[...]
Ah, tra l'altro attualmente è possibile chiedere la e-residenza in Estonia, ricevendo la relativa carta d'identità:
Interessante: ne avevo sentito parlare ma non ho mai approfondito, da tenere in considerazione.
Naturalmente dovresti poi convincere chi riceve il tuo documento che la firma fatta con la carta estone è valida (lo è).
Ah andiamo bene...
[...]
Hai capito bene, ma la normativa astrae dal tipo di canale. Ad esempio ci sono soluzioni che remotizzano l'accesso al dispositivo.
Sì sì, mi è tutto chiarissimo dal punto di vista tecnico e mi è anche chiarissima l'abberrazione di aver permesso che l'accesso al dispositivo fosse remotizzato (smaterizliazato).
Io mi riferivo più ad un'accesso indiretto ad un dispositivo che è comunque sotto il tuo controllo, come in PCSC Relay[a], che ha un interesse più che altro accademico, oppure per parlare di cose attuali, al recente uso della Carta d'Identità Elettronica come token di autenticazione gestito via NFC dal proprio telefono[b]
La cosa che mi fa letteralmente rotolare dal ridere è che io che possiedo fisicamente la smartcard _non_ sono in grado di leggere il certificato per la firma qualificata mentre nel caso di firma remota quel certificato lo possono leggere tutti quelli che hanno accesso alla macchina dove è "ospitato": _magari_ mi sbaglio e la faccio troppo facile ma... diciamo che non sono lontano dall'azzeccarci.
Attenzione, il certificato è pubblico per definizione, tu probabilmente pensi alla corrispondente chiave privata, che dovrebbe essere non estraibile dal dispositivo (anche da quello remoto). Si genera lì e rimane lì. Sempre secondo i sacri testi, ovviamente. Cosa succeda in realtà, già con dei dispositivi non inizializzati autonomamente (figuriamoci quelli remoti), non è dato sapere.
[...]
Probabilmente sì, anche se credo che nel mondo attuale, invece di permetter l'accesso paritario all'hardware, semplicemente si elimini l'hardware (vedi firma remota), aumentando enormemente il lock-in.
Se fosse disponibile solo la firma remota io di certo NON la userei e sconsiglierei vivamente, in modo professionale e documentato, altri ad usarla.
[...]
Nella normativa tecnica italiana si prescriveva che le chiavi per firma riportassero nel certificato corrispondente l'attributo KeyUsage marcato critico con il solo flag "nonRepudiation". Non so se sia ancora così.
OK, non ne so abbastanza di X.509... uff
Basta che apri un qualsiasi certificato ssl, anche dal browser, e trovi tutto.
Sì grazie, intendevo dire che non ho studiato abbastanza i flag a disposizione e la loro semantica.
Ma certo, si sta veramente entrando molto nel dettaglio, e volevo solo dare un esempio percorribile da tutti.
Per quanto mi riguarda, installare un driver proprietario o l'intero DIKE proprietario non fa differenza
Ho detto una sciocchezza sull'onda del nervoso che mi è venuto nell'aver constatato che mi ero illuso di poter fare a meno di driver proprietari: usare "solo" un piccolo driver proprietario o un'intera applicazione ovviamente fa differenza.
Si, la differenza vera la farebbe il potersi generare le chiavi autonomamente (su un dispositivo certificato, certo) e invocare i servizi del certificatore solo per la firma della chiave pubblica, come si fa da sempre per i server web. Ma viviamo qui e ora ...
Di fatto ti basta solo la libreria PKCS11, per il resto puoi usare sw libero. Questo è il massimo che si possa fare, con il token che hai in mano, al momento.
Quello che si può fare è già molto, soprattutto considerando che (da quello che capisco) questo risultato è stato ottenuto senza la benché minima collaborazione da parte della "mano pubblica".
Non direi, visto che, almeno per j4sign, è frutto del lavoro di un dipendente pubblico e il rilascio è stata una decisione politica.
Nei limiti delle mie risorse vedrò come riesco a collaborare affinché firmare digitalmente sia sempre più facile e alla portata di tutti (nonostante le serie perplessità sull'intero sistema X.509).
Perplessità sacrosante.
Grazie ancora! Giovanni
A te, rob
[1] è già abbastanza facile anche usando una smartcard, se poi la _smaterializziamo_ e la rendiamo accessibile tramite internet allora... ciao!
[a] http://frankmorgner.github.io/vsmartcard/pcsc-relay/README.html [b] https://www.cartaidentita.interno.gov.it/identificazione-digitale/cie-id/