On 06/30/2014 04:38 PM, Fabrizio Nuzzo wrote: > permetta l'upload dei dati e certifichi principalmente l'autorevolezza > del mittente e l'integrità del dato.
L'autorevolezza nel senso che ha scritto libri e articoli scientifici? *g* Forse intendevi dire l'autenticita' o l'identita'... > dall'Avvocato incaricato di dare il nulla osta al processo in questione. Ecco, vediamo. Perche' un avvocato e' coinvolto? Cosa deve ottenere questo processo? > - Registrazione tramite form con possibilità di finalizzare la > registrazione tramite link inviato ad email certificata o no; Questo non autentica l'identita' dell'utente, ne' se la mail e' certificata, ne' se non lo e'. > - ogni connessione con la piattaforma è sicura (https) E questo non autentica granche'. > -Ogni account è associato univocamente ad una PEC o un email. Idem c.s. > 2) effettuo l'upload tramite semplice form (utilizzando https); E questo garantisce l'integrita' della trasmissione e non altro. > 3) una volta finito l'upload, la piattaforma calcola il digest > utilizzando una o più funzioni di HASH (MD-5 e SHA-2) > e salva nel suo database quest'informazione; E questo a cosa serve? a chi e' opponibile quest'informazione, calcolata da te? > 4) la piattaforma genera un _documento_ che attesta data e ora > dell'invio, nome del file, dimensione e i digest ottenuti dalle > funzioni di hash; Se questo documento e' FIRMATO DIGITALMENTE (in senso legale)... > 5) L'utente riceve il _documento_ di upload via email o PEC OK, quindi questi dati sono generati DA TE e opponibili A TE da un terzo. Mentre invece l'identita' dell'utente, da questo processo, non e' garantita. > - ha una prova NON valida ai fini legali che in tale data ha inviato > quel determinato file alla piattaforma. Negativo. Se il documento di ricevuta e' firmato digitalmente, e' opponibile a prescindere che sia stato inviato con PEC. Se non lo e', non e' utile a prescindere dal fatto che sia stato inviato con la PEC. > _Considerazioni dell'Avvocato_ L'avvocato ha torto e ragione contemporaneamente: il punto e' che il dato salvato lato piattaforma non serve a nulla. Questo processo da' garanzie e certificazione all'uploader, nessuna garanzia al ricevente. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica, Informazione e Bioingegneria Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
