2010/7/2 Paolo Sala <piv...@riminilug.it>: > Ciao a tutti, > l'azienda per cui lavoro vorrebbe dotarsi di firma digitale e non > necessariamente quella definita dal cnipa poiché non abbiamo bisogno > venga accettata dalla pubblica amministrazione ma dobbiamo soltanto > riuscire a fare si che venga accettata dai vari enti di certificazione > (SINAL per il laboratorio e SINCERT per qualità e ambiente). Pensavo > di mettere su un sistema che si basi su GPG. > > I documenti da firmare digitalmente sono certificati di analisi, i cui > dati delle analisi risiedono su db e di cui è già possibile creare > certificati (documenti pdf) in base a layout predeterminati. Ora il > pdf viene stampato e firmato manualmente. > Mi piacerebbe quindi che un utente loggato possa da interfaccia web > approvare l'accoppiata dati+layout (e qui non dovrebbe essere un > grosso problema) e fare si che se l'approvazione esista creare > automaticamente la firma per l'autore dell'approvazione per il pdf > generato. > > Avete qualche suggerimento, consiglio, dubbio da tenere in considerazione? > > Piviul > > PS > Ho provato su una debian stable ad installare seahorse e riesco a > firmare/cifrare i documenti ma non a verificarne la firma: ho > dimenticato di installare/configurare qualcosa? Ciao, non ho ben capito a quale scopo ti serve la firma digitale, ma se ti serve una firma digitale certificata, cioè che sia riconosciuta anche all'esterno della tua rete di fiducia, allora ti serve una firma digitale secondo le norme cnipa (es. la firma digitale certificata è l'unica valida alternativa alla firma autografa). Il tutto risiede nel fatto che se generi una rete di fiducia con gpg, tutto si basa sulla fiducia che tu dai alle persone, ma qualcuno ingannevolmente potrebbe spacciarsi per una persona che tu conosci ovvero tu potresti far passare per una persona di fiducia qualcuno che invece non lo è. Tutto si basa sul famoso detto: quis custodiet ipsos custodes? ovvero chi controlla i controllori stessi? Mi spiego: è vero che quando firmi digitalmente un documento appare il tuo nome scritto sul documento firmato, ma quello sei tu che lo scrivi quando generi una chiave con gpg. quindi anche io potrei costruirmi una chiave di firma con il tuo nome, cognome, email ecc.. A tal proposito sono nate le CA (Certification Authority), le quali più o meno discutibilmente, si assumono la responsabilità di certificare chi è colui che richiede il certificato di firma digitale. Quindi, più che sulla questione tecnica, ti suggerisco di approfondire tale discorso all'interno della tua azienda, con il tuo ufficio legale o con qualche legale competente in materia che segue la tua azienda e che conosca i vostri processi. Una volta stabilito i posti più impensabili dove potrebbero finire i vostri documenti, ovvero anche in tribunale o meno, hai un punto di partenza per ragionare sull'infrastruttura della quale ti dovrai dotare. Es. è mai successo che un paziente vi abbia fatto causa per dei docuemnti da voi prodotti secondo lui sbagliati? i vostri documenti sono mai finiti in mano ad un giudice? Una volta chiariti questi aspetti, saprai se dovrai inserire all'interno del tuo software una firma digitale qualificata oppure una costruita sulla tua rete di fiducia. Per rispondere alla tua domanda finale, credo tu debba dare fiducia al tuo certificato di firma digitale, ovvero tu devi dire a gpg che ti fidi di quel certificato di firma. Una volta fatto ciò dovresti poterla verificare. Con le CA invece tu demandi alla CA la verifica della firma, e saranno loro a dirti se ti puoi fidare di quel certificato, se è stato revocato, se è scaduto ecc. ecc. Ma la firma l'hai fatta detached o attached? Spero di essere stato chiaro in cosi poche righe per un argomento cosi complesso sul quale ho sbattuto il grugno pesantemente in passato ma fortunatamente adesso me ne sono liberato. Ciao Fabrzio
-- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim7-yzdsnnnbq_q5huxq0gsoarinh6vyjnqr...@mail.gmail.com