Il taccuino di Armando Leotta Rotating Header Image

firma digitale

NIST definisce nuove versioni dello SHA-512

Il NIST ha definito due nuove versioni dello SHA-512: lo SHA-512/224 e lo SHA-512/256.

Essi consistono nello SHA-512 troncato rispettivamente al bit 224 e 256 con un nuovo IV (initialization vector).

La motivazione risiede nella constatazione che lo SHA-512 è più veloce dello SHA-256 nelle CPU a 64 bit da cui l’opportunità di sfruttare efficientemente tali potenzialità.

Tale approccio era stato seguito anche nello sviluppo di SKEIN, la proposta Schneier alla call del NIST per il nuovo algoritmo SHA-3

_____
Clusit

Computerworld Italia e CSO: disponibile online il mio contributo integrale su firma digitale

Schema di funzionamento della firma digitale

Schema di funzionamento della firma digitale

Ne avevo parlato qui ma finalmente il contributo è disponibile online nella  sezione rassegna stampa 2010 dell’Associazione Italiana per l’Informatica ed il Calcolo Automatico (AICA).

Per chi avesse il cartaceo, lo trovate nel numero di Marzo 2010 nell’inserto trimestrale Chief Security Officer (CSO) di Computerworld Italia a pag. 36.

Altrimenti direttamente dal sito AICA:

10/03/2010 – Computerworld – Ma quanto è sicura la firma digitale? Articolo estratto da Mondo Digitale 

Buona lettura.

Stato dell’arte e scenari evolutivi della firma digitale in Italia – aggiornamenti e recepimenti normativi –

SIcurezza della firma digitale

Sicurezza della firma digitale (Computerworld Italia, marzo 2010, CSO)

Computerworld Italia nel numero di Marzo 2010 nell’inserto trimestrale Chief Security Officer (CSO) pubblica un mio contributo sullo stato dell’arte della sicurezza del processo della firma digitale.

L’articolo completo, pubblicato alcuni mesi fa dalla rivista dell’AICA Mondo Digitale, è disponibile sul loro sito.

Quanto pubblicato non è solo un estratto dell’articolo AICA ma rappresenta un taglio di profilo più alto con particolare attenzione agli auspicati recepimenti normativi italiani e alle regole tecniche Cnipa (ora DigitPA).

Questa è la prima pagina:

SIcurezza della firma digitale

Prima pagina

Buona lettura.

SMS certificato, firmato digitalmente ed a valore legale

SMS certificato

SMS Certificato (via Lleida)

La spagnola Lleida, operatore specializzato negli SMS, propone un uso certificato del messaggio SMS.
In pratica funziona come una sorta di messaggio di posta elettronica certificata.
Grazie al coinvolgimento di un ente certificatore esterno ha piena validità legale secondo diversi ordinamenti tra cui quello europeo.
La richiesta ha generato l’offerta: i Tribunali richiedevano di fruire di un metodo di verifica per gli invii e le ricezione dei messaggi SMS ed il business ha risposto.
Questa, in estrema sintesi lo scenario spagnolo in cui è nato questo servizio che si è già diffuso in diversi Paesi.
Il servizio è fornito in due modalità: SMS certificato e Contratto SMS.

SMS Certificato
Si tratta di un sms da parte di lleida.net contenente un allegato certificato firmato digitalmente e con marca temporale che attesta la spedizione di un determinato testo verso un particolare numero.
Il certificato utilizzato è rilasciato da un ente certificatore autorizzato.
Un sms quindi comparabile ad un fax, ad una raccomandata e, potenzialmente, ad un messaggio di posta certificata.

Come funziona?
L’utente spedisce un SMS certificato tramite internet e l’applicazione Virtual SMS handset 

Virtual SMS

Virtual SMS Handset (via Lleida)

della Lleida. Il messaggio viene instradato attraverso internet ed i carrier di telefonia tradizionali.
A consegna effettuata al dispositivo destinatario, LLeida riceve una notifica.
Lleida a questo punto genera una ricevuta di consegna (delivery receipt) e la spedisce all’ente certificatore esterno che genera una marca temporale (timestamp) associando una data ed un orario al documento PDF che, firmato digitalmente viene spedito all’utente via mail (Lleida mantiene il certificato in archivio per almeno 5 anni).
Vedi esempio scaricabile dal sito lleda.net.

Contratto SMS

Contratto SMS (via Lleida)

Contratto SMS
Opera in uno sceario di transazione.
Il servizio prevede che viene spedito il messaggio (una proposta commerciale, un contratto, etc) e quando l’utente destinatario risponde al messaggio viene generato un delivery report che certifica digitalmente entrambi i messaggi.
Differisce dal primo in quanto il documento legalmente riconosciuto viene generato e firmato digitalmente a seguito della risposta dell’utente.

Le implicazioni sono molteplici ed interessanti e abbracciano le esigenze di settori sia pubblici che privati.

L’applicazione lleida è scaricabile dal loro sito internet ed il servizio è fruibile tramite credito prepagato.
Il servizio sembra essere fruibile anche in Italia.
Non so se è già utilizzato in Italia o se mai lo sarà ma mi sembra un’iniziativa molto interessante con un sensibile abbattimento dei costi. In un periodo in cui si parla di posta elettronica certificata Posta Elettronica Certificata (PEC) per i professionisti e di CitofonoPA CEC-PAC forse è utile valutare anche altri servizi, non escludere altri tool o potenziali soluzioni al fine di creare un’offerta completa e credibile sul mercato e al cittadino.

La PEC e l’attuale contesto

 

I tempi stringono e si continua a parlare di posta elettronica certificata (PEC).
Se da una parte si vuole fornire “gratuitamente” una PEC a tutti i cittadini per consentire un dialogo con la PA per “portare la pubblica amministrazione a casa dei cittadini” dall’altra sono impattati pesantemente anche i professionisti.

Ci sono ordini che usano da anni la posta certificata (vedi ordine dei notai) altri che non hanno ben chiaro quali siano i termini di legge da rispettare (come ad esempio nel campo sanitario).
Le imprese di nuova costituzione dovrebbero essere dotate di posta certificata ma le Camere di Commercio non sempre erano/sono pronte quindi non è difficile immaginare un’adesione parziale.
Il 29 novembre scatterà l’obbligo per tutti i professionisti iscritti agli albi di comunicare ai propri ordini di appartenenza o collegi un indirizzo pec avente valore legale (leggasi erogato da società/ente iscritto nell’elenco dei gestori PEC accreditati da CNIPA).

A due settimane dalla scadenza dei termini di legge (vedi la 185/08 art. 16, comma 7) la parola d’ordine sembra essere confusione, fretta e preoccupazione.

Il fatto che la PEC sia una soluzione tutta italiana non consente confronti e studi di analoghi precedenti.
Il legislatore da parte sua sembra aver lasciato la porta aperta ad un’eventuale sorta di apertura verso nuovi standard (vedi 185/08 e il non precisato “analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrità del contenuto delle stesse garantendo l’interoperabilità con analoghi sistemi internazionali“).

Se questo scenario non dovesse essere abbastanza complesso si aggiungono alcuni aspetti che meritano approfondimenti separati:

  1. il congelamento dei fondi per la banda larga che mal si concilia con questo tentativo di spinta propulsiva verso l’innovazione e con il proclama del Premier “Entro il 2012 la PA sarà digitalizzata“;
  2. l’entrata in vigore domenica scorsa del decreto legislativo 150 in cui viene pesantemente riscritto il testo unico per il pubblico impiego (165/2001) inserendo lo strumento pec a tutti i livelli di comunicazione e azione amministrativa in tema di accesso agli atti, trasparenza, procedimenti disciplinari, comunicazione sia per impiegati che per dirigenti
  3. la persona fisica che riterrà utile usare le potenzialità della PEC verosimilmente ne dovrà avere almeno due: una per le comunicazioni da e verso la PA (“gratuita”) ed una per i restanti attori (a pagamento):  non mancano le perplessità;
  4. la persona fisica, al momento, deve dichiarare la propria disponibilità ad usare la PEC: una volta attivata la casella “gratuita” (CEC-PAC, Simil-PEC o wannabe-PEC che dir si voglia) viene creato una sorta di domicilio virtuale con effetti giuridici decisamente reali. Cautela quindi perchè una PEC attivata e non presidiata regolarmente rischia di diventare una potenziale fonte di problemi in quanto gli atti ad essa indirizzati potrebbero produrre effetti giuridici a prescindere dalla loro effettiva lettura;
  5. la scarsa consapevolezza del mezzo e il suo potenziale valore svilito quando solo una delle controparti utilizza un sistema di posta certificata;
  6. l’integrazione auspicabile con un kit di firma digitale per ricevere la cosiddetta “ricevuta completa” da parte dei gestori del servizio PEC;
  7. varie ed eventuali, a iosa…

Difficile in questo contesto e con queste premesse non ipotizzare l’italianissima proroga o deroga o una semplice circolare esplicativa che specificherà che i termini di legge indicati sono da intendersi ordinatori e non perentori.

Forse, in questo scenario, diventa quasi auspicabile insieme a tanta chiarezza in più.