On 06/12/2010 01:06 AM, chopinx04 wrote: > [....] > stavo leggendo il thread e quindi mi e' sorto il dubbio: ma allora > cosa dovrebbe fare Aruba o qualsiasi ISP che fornisce servizi PEC? >
Questa, infatti, è la domanda interessante :) Qualsiasi meccanismo di autenticazione, e quindi anche qualsiasi meccanismo di scambio di credenziali, richiede per l'inizializzazione (o la ricontrattazione) un canale "sicuro": quando questo canale non c'è, la sicurezza del meccanismo viene degradata a quella del canale utilizzato. Ad esempio, la sicurezza di un meccanismo di autenticazione basato su certificati dipende prima di tutto dal canale con cui ti arriva il certificato della CA, e da quello con cui ti identifichi alla RA per consegnare la tua chiave pubblica (e quindi, risalendo ancora, da quello con cui ti identifichi all'anagrafe per ottenere la carta d'identità). Nel caso della PEC, cos'è previsto dalle specifiche? E se vogliamo essere ancora più tignosi, qual'è la valutazione del rischio che ha considerato accettabili alcuni meccanismi e non altri? ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
