Elettrotecnica e non solo (admin)
Un gatto tra gli elettroni (IsidoroKZ)
Esperienza e simulazioni (g.schgor)
Moleskine di un idraulico (RenzoDF)
Il Blog di ElectroYou (webmaster)
Idee microcontrollate (TardoFreak)
PICcoli grandi PICMicro (Paolino)
Il blog elettrico di carloc (carloc)
DirtEYblooog (dirtydeeds)
Di tutto... un po' (jordan20)
AK47 (lillo)
Esperienze elettroniche (marco438)
Telecomunicazioni musicali (clavicordo)
Automazione ed Elettronica (gustavo)
Direttive per la sicurezza (ErnestoCappelletti)
EYnfo dall'Alaska (mir)
Apriamo il quadro! (attilio)
H7-25 (asdf)
Passione Elettrica (massimob)
Elettroni a spasso (guidob)
Bloguerra (guerra)Questo il risultato della verifica con il verificatore on line di poste:
Se verifico il file firmato con la tessera di aruba invece tutto positivo:
Validità temporale file firmato digitalmente
Moderatori: 
Paolino, 
fairyvilje
18 messaggi
• Pagina 2 di 2 • 1, 2
0
voti
[11] Re: Validità temporale file firmato digitalmente
da 
Goofy » 14 giu 2025, 9:41
Questo il messaggio di arubasign prima di apporre la firma quando ho inserito nel lettore la tessera sanitaria
Questo il risultato della verifica con il verificatore on line di poste:
Se verifico il file firmato con la tessera di aruba invece tutto positivo:
Questo il risultato della verifica con il verificatore on line di poste:
Se verifico il file firmato con la tessera di aruba invece tutto positivo:
0
voti
[12] Re: Validità temporale file firmato digitalmente
da 
GioArca67 » 14 giu 2025, 9:53
Il testamento olografo da sempre ha posto il problema: data certa, firma certa.
Soluzione?
Terzo garante.
Normalmente formi un documento (e lo firmi), non perché sia fine a sé stesso e lo nascondi in un cassetto, ma per cederlo a terzi.
Elettricista ancora non ha I requisiti ma realizza Impianto ed emette DICO, la firma e la data posteriormente.
Tutto su carta.
La DiCo è valida?
Se non è consegnata a nessuno, chi può saperlo, se non vi sono altri documenti (fine lavori terzo ecc)
Se la consegna al cliente, egli può ben vedere ed opporsi.
Con la firma elettronica che cambia?
Nulla, è un accordo fra le parti.
Soluzione?
Terzo garante.
Normalmente formi un documento (e lo firmi), non perché sia fine a sé stesso e lo nascondi in un cassetto, ma per cederlo a terzi.
Elettricista ancora non ha I requisiti ma realizza Impianto ed emette DICO, la firma e la data posteriormente.
Tutto su carta.
La DiCo è valida?
Se non è consegnata a nessuno, chi può saperlo, se non vi sono altri documenti (fine lavori terzo ecc)
Se la consegna al cliente, egli può ben vedere ed opporsi.
Con la firma elettronica che cambia?
Nulla, è un accordo fra le parti.
1
voti
[13] Re: Validità temporale file firmato digitalmente
da 
boiler » 14 giu 2025, 9:55
Due premesse, nel caso il mio post fosse i conclusivo: sono in vacanza (scrivo dal telefono) e non uso né conosco il tipo di firma digitale di cui parlate, ma ne capisco qualcosa di code signing e relativi certificati, che probabilmente usano una tecnologia simile.
La validità di una firma digitale può essere verificata da chiunque (in primis dal destinatario del file) con gli appositi programmi, senza nemmeno bisogno di conoscermi. Questa è la grande differenza rispetto alla firma normale.
Per ottenere questo risultato serve che la firma sia stata eseguita con un certificato che a sua volta deriva da un altro certificato (di proprietà di chi offre il servizio a me, il firmatario) che a sua volta deriva da uno o più altri certificati che assieme costituiscono quella che viene chiamata la chain if trust, catena della fiducia. Il certificato più in alto è quello emesso da enti specializzati e affidabili. Costituisce la cosiddetta root of trust, l'origine della fiducia. A me basta sapere che questo certificato è vero ed affidabile e tutto quello che c'è sotto, fino alla mia firma, può essere ricondotto ad esso e quindi verificato.
Questi certificati consistono di una parte pubblica, usata per verificare la firma, e di una parte privata, usata per firmare o per produrre certificati derivati.
La parte pubblica, per definizione, non è da tenere segreta. La parte privata invece sì. Ma cosa succede se c'è un problema, un attacco, una falla o qualcosa del genere e viene compromessa? Si interrompe la catena della fiducia perché qualcuno può emettere certificati falsificati. Per evitare che questi vengano usati si può lavorare con CRL, certificate revocazione list: una lista pubblica che dice al software di verifica quali certificati non vanno più considerati validi.
Questo metodo però ha delle debolezze e quindi, per mantenere alto il livello di sicurezza si limita la durata temporale dei certificati. Più in basso sono, più spesso vengono usati e più spesso vanno sostituiti (perché essendo usati sono a rischio, il root of trust viene usato molto raramente e quindi non è esposto).
Tipicamente il root of trust ha una durata di parecchi decenni, i certificati di code signing che uso sono limitati a 2 anni e i certificati SSL per internet a 1 anno. Il motivo è tecnico, non monetario, anche se all'autorità che li emette sicuramente non dispiace incassare qualcosa in più.
Riguardo al firmare, sicuramente dipende anche dal provider e dall'applicazione, ma in linea di principio posso firmare anche con un certificato scaduto o addirittura con un certificato che mi sono emesso io (e quindi per il quale il root of trust sono io stesso, inutile nel 99.999% dei casi).
Il timestamp ha due funzioni: dimostra che al momento della firma il certificato era valido ed offre una funzionalità aggiuntiva a quella che è la firma tradizionale. Se voglio poter dimostrare che ho prodotto un certo qualcosa (codice sorgente, idea, testo di una canzone) al un certo punto, prima che in concorrente vada con la stessa idea all'ufficio brevetti, posso firmare digitalmente quel documento.
Il timestamp infatti non arriva dal mio computer, ma da quello del server della certificate authority (Digicert, Globalsign eccetera hanno tutte un server NTP al quale il tool per firmare si collega), è firmato lui stesso e non falsificabile (si può fare altrimenti, ma anche qui ha poco senso).
Spero di non aver farneticato troppo.
Boiler
La validità di una firma digitale può essere verificata da chiunque (in primis dal destinatario del file) con gli appositi programmi, senza nemmeno bisogno di conoscermi. Questa è la grande differenza rispetto alla firma normale.
Per ottenere questo risultato serve che la firma sia stata eseguita con un certificato che a sua volta deriva da un altro certificato (di proprietà di chi offre il servizio a me, il firmatario) che a sua volta deriva da uno o più altri certificati che assieme costituiscono quella che viene chiamata la chain if trust, catena della fiducia. Il certificato più in alto è quello emesso da enti specializzati e affidabili. Costituisce la cosiddetta root of trust, l'origine della fiducia. A me basta sapere che questo certificato è vero ed affidabile e tutto quello che c'è sotto, fino alla mia firma, può essere ricondotto ad esso e quindi verificato.
Questi certificati consistono di una parte pubblica, usata per verificare la firma, e di una parte privata, usata per firmare o per produrre certificati derivati.
La parte pubblica, per definizione, non è da tenere segreta. La parte privata invece sì. Ma cosa succede se c'è un problema, un attacco, una falla o qualcosa del genere e viene compromessa? Si interrompe la catena della fiducia perché qualcuno può emettere certificati falsificati. Per evitare che questi vengano usati si può lavorare con CRL, certificate revocazione list: una lista pubblica che dice al software di verifica quali certificati non vanno più considerati validi.
Questo metodo però ha delle debolezze e quindi, per mantenere alto il livello di sicurezza si limita la durata temporale dei certificati. Più in basso sono, più spesso vengono usati e più spesso vanno sostituiti (perché essendo usati sono a rischio, il root of trust viene usato molto raramente e quindi non è esposto).
Tipicamente il root of trust ha una durata di parecchi decenni, i certificati di code signing che uso sono limitati a 2 anni e i certificati SSL per internet a 1 anno. Il motivo è tecnico, non monetario, anche se all'autorità che li emette sicuramente non dispiace incassare qualcosa in più.
Riguardo al firmare, sicuramente dipende anche dal provider e dall'applicazione, ma in linea di principio posso firmare anche con un certificato scaduto o addirittura con un certificato che mi sono emesso io (e quindi per il quale il root of trust sono io stesso, inutile nel 99.999% dei casi).
Il timestamp ha due funzioni: dimostra che al momento della firma il certificato era valido ed offre una funzionalità aggiuntiva a quella che è la firma tradizionale. Se voglio poter dimostrare che ho prodotto un certo qualcosa (codice sorgente, idea, testo di una canzone) al un certo punto, prima che in concorrente vada con la stessa idea all'ufficio brevetti, posso firmare digitalmente quel documento.
Il timestamp infatti non arriva dal mio computer, ma da quello del server della certificate authority (Digicert, Globalsign eccetera hanno tutte un server NTP al quale il tool per firmare si collega), è firmato lui stesso e non falsificabile (si può fare altrimenti, ma anche qui ha poco senso).
Spero di non aver farneticato troppo.
Boiler
0
voti
[14] Re: Validità temporale file firmato digitalmente
da GioArca67 » 14 giu 2025, 10:12
Il punto cruciale è: si può firmare con un certificato scaduto e nessuno lo sa, senza marca temporale.
Ma è sempre stato così anche nel mondo analogico.
Quindi da sempre ci sono i protocolli negli uffici pubblici, le ricevute, ecc. Un acknowledge fra mittente e destinatario.
Con la firma digitale nulla cambierebbe.
Io faccio troppo riferimento forse al mio modo di agire, come già detto, scrivo la data nel documento che, una volta firmato è immutabile ed I sw di verifica chiedono la data alla quale verificare.
Visto che è ragionevolmente verosimile l'immutabilità del documento firmato, io non posso oppormi ed è subito chiaro se alla data indicata NEL documento il certificato di firma era valido o meno.
Perché (tecnicamente) mi si potrebbe non accettare un documento così formato (è pur vero che è stato un ente straniero)? Quali contraffazione o problemi potrebbero poi esserci?
Potrei disconoscerlo? Pretendere che fosse diverso?
Ma è sempre stato così anche nel mondo analogico.
Quindi da sempre ci sono i protocolli negli uffici pubblici, le ricevute, ecc. Un acknowledge fra mittente e destinatario.
Con la firma digitale nulla cambierebbe.
Io faccio troppo riferimento forse al mio modo di agire, come già detto, scrivo la data nel documento che, una volta firmato è immutabile ed I sw di verifica chiedono la data alla quale verificare.
Visto che è ragionevolmente verosimile l'immutabilità del documento firmato, io non posso oppormi ed è subito chiaro se alla data indicata NEL documento il certificato di firma era valido o meno.
Perché (tecnicamente) mi si potrebbe non accettare un documento così formato (è pur vero che è stato un ente straniero)? Quali contraffazione o problemi potrebbero poi esserci?
Potrei disconoscerlo? Pretendere che fosse diverso?
0
voti
[15] Re: Validità temporale file firmato digitalmente
da Goofy » 14 giu 2025, 10:24
GioArca67 ha scritto:Il punto cruciale è: si può firmare con un certificato scaduto e nessuno lo sa, senza marca temporale.
Da oggi io lo so
0
voti
[16] Re: Validità temporale file firmato digitalmente
da GioArca67 » 14 giu 2025, 10:38
Ho trovato questo che mi sembra calzante,
https://www.agendadigitale.eu/documenti/firma-digitale-il-problema-della-scadenza-del-certificato-le-regole/
specialmente la conclusione... non basterebbe prima dell'ok alla firma una domanda del genere :
"Vuoi apporre anche una data certa? SI/NO"
Se avesse mai un senso firmare un documento digitalmente senza data certa....
https://www.agendadigitale.eu/documenti/firma-digitale-il-problema-della-scadenza-del-certificato-le-regole/
specialmente la conclusione... non basterebbe prima dell'ok alla firma una domanda del genere :
"Vuoi apporre anche una data certa? SI/NO"
Se avesse mai un senso firmare un documento digitalmente senza data certa....
0
voti
[17] Re: Validità temporale file firmato digitalmente
da GioArca67 » 14 giu 2025, 10:52
E questo, che sembra corroborate la mia tesi del protocollo
https://amministrazionedigitale.unipi.it/index.php/it/firma-digitale/item/42-validita-di-una-firma-digitale.html
Rimane l'aspetto della fattibilità di firma con certificato scaduto.
In alcuni articoli viene esclusa, ma non sono convincenti; il meccanismo di firma è un "semplice" algoritmo di pubblico dominio e chiunque potrebbe implementare o. I sw dei providers di firma magari non lo consentono, ma non mi sembra escludile a priori la fattibilità senza un interscambio in tempo reale con il database del provider, che non mi pare sia obbligatorio (altrimenti avremmo anche marca temporale gratis)
https://amministrazionedigitale.unipi.it/index.php/it/firma-digitale/item/42-validita-di-una-firma-digitale.html
Rimane l'aspetto della fattibilità di firma con certificato scaduto.
In alcuni articoli viene esclusa, ma non sono convincenti; il meccanismo di firma è un "semplice" algoritmo di pubblico dominio e chiunque potrebbe implementare o. I sw dei providers di firma magari non lo consentono, ma non mi sembra escludile a priori la fattibilità senza un interscambio in tempo reale con il database del provider, che non mi pare sia obbligatorio (altrimenti avremmo anche marca temporale gratis)
0
voti
[18] Re: Validità temporale file firmato digitalmente
da GioArca67 » 17 giu 2025, 20:39
Nelle varie ricerche ho trovato questo sito dell'UE dove sembra sia possibile firmare con certificato scaduto...
https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/sign-a-document
vedi spunta "Allow expired certificate"
https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/sign-a-document
vedi spunta "Allow expired certificate"
18 messaggi
• Pagina 2 di 2 • 1, 2
Chi c’è in linea
Visitano il forum: Nessuno e 14 ospiti