linux user group brescia

2011/4/4 Marco Manenti <marco.manenti a gmail.com>

> Il giorno 04 aprile 2011 14:40, Claudio Moretti <flyingstar16 a gmail.com>ha scritto:
>
>
>>> Ma a prescindere dalla normativa, chi mi impedisce di apporre il QR di un
>> documento valido a un file cartaceo non valido?
>> Nel senso, prendo il tuo file, copio il QRCode, lo appongo su un mio
>> documento diverso dal tuo e lo spaccio per tuo; come fai, senza rileggerti
>> tutto il file (che, ricordo, potrebbe essere anche di 5-600 pagine) a sapere
>> che i due documenti sono diversi?
>>
>
> Difatti ottieni un non-falso, in quanto non hai contraffatto l'originale,
> ma solo una copia senza alcun valore legale, essendo l'originale solo
> digitale, che giuridicamente è una bella differenza.
>

Certo, ma a questo punto a che serve il QRCode? :|


>
>>
>>
>> e secondo te se io collego il lettore smartcard al server dove gira la
>>> webapplication posso firmare i documenti al volo? anche se credo sia una
>>> cosa bruttissima da fare perchè se mi sfondano il server poi mi usano la
>>> firma digitale per firmare quel cavolo che vogliono, quindi anche lì, sorge
>>> un ulteriore e non indifferente problema sulla sicurezza.
>>>
>> Puoi sempre collegare il lettore al client e usarlo per firmare documenti
>> residenti sul server (download -> firma -> upload) o attaccarlo al server e
>> richiedere il PIN al client. Ciò non toglie il problema che ho citato qui
>> sopra.
>>
>>
> E non ottieni il suo risultato, che deve essere svolto dal webserver.
> Insomma, se devi creare dei documenti digitali opponibili ai terzi la
> marcatura deve seguire tutti i crismi della legge.
> Altrimenti, usando un token digitale da te generato è opponibile solamente
> tra te e il tuo utente, ma ti risparmi i "problemi" di dover utilizzare una
> smart card "universalmente riconosciuta".
>

Conosco tutti i crismi della legge (ci ho fatto la tesi di laurea =_= ho
ancora il vomito...) e non c'è niente che impedisca la delega del servizio
di firma; ovviamente, se qualcuno firma cagate con la tua carta ci rimetti
tu, a loro non frega.. Un "la prossima volta stai attento" (leggi: querela
di falso e rognoni legali).
Comunque, anche passando a un token generato fra te e l'utente, resta il
problema del "e se mi sfondano il server?"
Se invece tu hai un client al quale viene richiesto il PIN della carta,
nessuno può usarla per firmare (e se ti sfondano il server hanno altissime
probabilità di bloccare la carta prima di riuscire a usarla, a parte il caso
di un MITM sul webserver, ma questa è un'altra storia), ma perdi il discorso
della tracciatura (a meno di implementare una doppia autenticazione, prima
identifichi chi vuole firmare e poi gli chiedi il PIN..

Comunque, siamo un po' OT xD


>
> Un'altra cosa sarebbe stampare un QR su una carta apposita (vedi marchi
>> SIAE) e apporlo manualmente (o farlo apporre a una macchina) su un
>> documento. Un po' come i documenti protocollati; se però si trovasse un modo
>> per toglierli (ad esempio "sciogliendo" il documento originale con il
>> vapore) si ripartirebbe da capo...
>>
>>
> come prima, non riesci a gestirlo sulla webapp.
> Un po' come la CCIAA gestisce i certificati camerali. Li genera in pdf, ma
> li devo stampare su carta filigranata loro (e che pago..) e devo apporre
> appositi bollini CCIAA (che pago sempre.. che bello offrire servizi)
>
> Non è detto: puoi anche avere la stampante collegata al server ma
accessibile (con opportune procedure di identificazione, ecc.); tu invii il
PDF al server, che si smazza il calcolo e la creazione del QR; poi vai alla
stampante e lo ritiri. Oppure, con una stampante collegata al client, il
server ti restituisce un file (SVG, PNG, PDF, BIN, quellochevuoi), che tu ti
arrangi a stampare con la tua stampante marca QWERTY modello ASDFG SuperCool
:P

Comunque, un discorso di questo tipo si può fare solo dopo aver stabilito se
è conveniente avere un QR su un documento; dal mio punto di vista è
abbastanza inutile; volendo farlo, però, si può usare come alternativa al
protocollamento dei documenti; in questo caso, allora ci sto :D

Claudio
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20110404/b9088f3c/attachment.html>