linux user group brescia

> Difatti ottieni un non-falso, in quanto non hai contraffatto l'originale,
>> ma solo una copia senza alcun valore legale, essendo l'originale solo
>> digitale, che giuridicamente è una bella differenza.
>>
>
> Certo, ma a questo punto a che serve il QRCode? :|
>
>
Ah, chiedilo a chi ha iniziato :-D
Probabilmente per una sorta di "faccio alla svelta a recuperare l'originale
dalla stampa che tu hai in mano"


> Conosco tutti i crismi della legge (ci ho fatto la tesi di laurea =_= ho
> ancora il vomito...) e non c'è niente che impedisca la delega del servizio
> di firma; ovviamente, se qualcuno firma cagate con la tua carta ci rimetti
> tu, a loro non frega.. Un "la prossima volta stai attento" (leggi: querela
> di falso e rognoni legali).
>

Ah beh, vedrai allora tra qualche anno che sognerai di doverla ridare :-D



> Comunque, anche passando a un token generato fra te e l'utente, resta il
> problema del "e se mi sfondano il server?"
> Se invece tu hai un client al quale viene richiesto il PIN della carta,
> nessuno può usarla per firmare (e se ti sfondano il server hanno altissime
> probabilità di bloccare la carta prima di riuscire a usarla, a parte il caso
> di un MITM sul webserver, ma questa è un'altra storia), ma perdi il discorso
> della tracciatura (a meno di implementare una doppia autenticazione, prima
> identifichi chi vuole firmare e poi gli chiedi il PIN..
>
> Comunque, siamo un po' OT xD
>

A parte che un server *linux* non dovrebbe essere facilmente bucabile (e
così non siamo piu' tanto OT :-D ), il problema è di dover rilasciare in
remoto ad un utente un documento digitale.
Una procedura *sicura* potrebbe essere una via di mezzo: il documento
originale viene formato da:
- PDF generato online
- PDF firmato dalla smartcard dell'utente remoto tramite apposita Java
applet che gira sotto linux
- se il PDF è quindi già firmato da smartcard verificata on-the-fly e non
ancora revocata allora il server procede all'autenticazione.

Oppure legare il servizio, se i documenti non sono tanti, a verifica
periodica giornaliera di una scimmia, e di fornire il servizio solo in det.
orari di lavoro, se proprio non ci si fida a lasciare un sito web online 24h
su 24h perché un hacker potrebbe sfondarvelo..


> Comunque, un discorso di questo tipo si può fare solo dopo aver stabilito
> se è conveniente avere un QR su un documento; dal mio punto di vista è
> abbastanza inutile; volendo farlo, però, si può usare come alternativa al
> protocollamento dei documenti; in questo caso, allora ci sto :D
>
>
Beh penso "sicuramente" per una gestione del protocollo. Altrimenti un CRC
di una fotocopia la trovo dura :-D

Altrimenti torniamo alla ceralacca (che mi hanno chiesto IERI in posta per
inviare una raccomandata assicurata.. non ho interpretato la faccia del
dipendente alla mia domanda "ma l'anello alla mia morte poi lo spacco in
quattro anche io?")
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20110404/b7af8675/attachment.html>