Stefano Zanero ha scritto: in data 30/06/2014 16:51: > On 06/30/2014 04:38 PM, Fabrizio Nuzzo wrote: > >> permetta l'upload dei dati e certifichi principalmente l'autorevolezza >> del mittente e l'integrità del dato. > L'autorevolezza nel senso che ha scritto libri e articoli scientifici? *g* > > Forse intendevi dire l'autenticita' o l'identita'... termine corretto , l'autorevolezza per il legale ha il significato corretto.
>> dall'Avvocato incaricato di dare il nulla osta al processo in questione. > Ecco, vediamo. Perche' un avvocato e' coinvolto? Cosa deve ottenere > questo processo? problemi loro ! >> - Registrazione tramite form con possibilità di finalizzare la >> registrazione tramite link inviato ad email certificata o no; > Questo non autentica l'identita' dell'utente, ne' se la mail e' > certificata, ne' se non lo e'. l'uso dei un sistema di credenziali risolve il problema . >> - ogni connessione con la piattaforma è sicura (https) > E questo non autentica granche'. condivido ! >> -Ogni account è associato univocamente ad una PEC o un email. > Idem c.s. > >> 2) effettuo l'upload tramite semplice form (utilizzando https); > E questo garantisce l'integrita' della trasmissione e non altro. https non garantiva la riservatezza ? > >> 3) una volta finito l'upload, la piattaforma calcola il digest >> utilizzando una o più funzioni di HASH (MD-5 e SHA-2) >> e salva nel suo database quest'informazione; > E questo a cosa serve? a chi e' opponibile quest'informazione, calcolata > da te? non è rilevante chi calcola >> 4) la piattaforma genera un _documento_ che attesta data e ora >> dell'invio, nome del file, dimensione e i digest ottenuti dalle >> funzioni di hash; > Se questo documento e' FIRMATO DIGITALMENTE (in senso legale)... confusione tra scrittura privata e atto ? >> 5) L'utente riceve il _documento_ di upload via email o PEC > OK, quindi questi dati sono generati DA TE e opponibili A TE da un > terzo. Mentre invece l'identita' dell'utente, da questo processo, non e' > garantita. identità garantita, dalle credenziali di accesso, ovviamente con livelli di garanzia diversi. >> - ha una prova NON valida ai fini legali che in tale data ha inviato >> quel determinato file alla piattaforma. > Negativo. Se il documento di ricevuta e' firmato digitalmente, e' > opponibile a prescindere che sia stato inviato con PEC. Se non lo e', > non e' utile a prescindere dal fatto che sia stato inviato con la PEC. scrittura privata ........... ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
