Dic 06 2006
Firma digitale email, Thawte.com
In un’epoca di infestazione di spam, virus, worm e di tutto e di più si rende sempre più necessario evolvere i propri sistemi di posta.
Oltre ai filtri antispam, alle greylist di postfix (che suggerisco caldamente per limitare lo spam) e agli antivirus direttamente installati sui mail server, esiste un servizio che gratuitamente permette a chiunque di firmare la propria mail digitalmente e quindi rendendo sicuro il mittente a chi riceve la mail stessa.
Vi segnalo pertanto uno stupendo servizio via web che gratuitamente e in pochi passi permette di crearsi il proprio certificato digitale:
http://www.thawte.com/secure-email/personal-email-certificates/index.html
Una volta completata la procedura potrete importare la chiave assegnata e blindata da password all’interno del vostro mail client e decidere ogni qual volta lo vorrete di firmare digitalmente la mail.
Tra l’altro se non dico male (avvocati ci siete?) questo rende la mail un documento ufficiale valido tanto quanto un documento firmato a penna.
Ad ogni apertura del client se si deciderà di spedire una mail firmata digitalmente potrete farlo semplicemente inserendo la vostra password. Attenzione! Mettete una password forte per ovvi motivi di sicurezza.
Chi riceverà la mail la visualizzerà come firmata digitalmente e sarà CERTO della provenienza corretta della stessa.
Naturalmente il cliente o semplice destinatario non dovrà nà© inserire nà© dovrà essere messo a conoscenza della vostra password.
Il suo client (almeno Thunderbird lo fa) importerà in automatico la vostra chiave pubblica e vi identificherà con certezza.
Credo anche che una mail digitalmente firmata eviti anche possibili falsi positivi nei sistemi di antispam, ma di cià non ne sono esattamente certo, almeno non in tutti i contesti e scenari possibili.
Buona firma digitale a tutti!
Maxgrante
info[AT]massimo-caselli[DOT]com
Non sono un avvocato, ma mi sto interessando alla firma digitale per motivi di lavoro e purtroppo non credo che questo sistema sia legalmente equiparabile alla firma tradizionale.
Se non sbaglio, per firmare digitalmente un documento c’è _sempre_ bisogno dell’accoppiata smartcard + pin, rilasciati da enti certificati, secondo metodologie standard.
Maggiori informazioni qui:
http://www.cnipa.gov.it/site/it-IT/Attivit%c3%a0/Firma_digitale/
puoi creare una coppia di chiavi anche usando direttamente thunderbirg con l’estenzione enigmail e gpg chiaramente instalato sul pc
sia windows che linux che mac os x.
non mi sembra una grande novita’… lo si fa dai pc di casa gia’ da anni ormai
Rispondo ad ambedue.
@UnoGrigio:
Grazie per l’informazione, purtroppo i governanti non si rendono conto che e’ piu’ semplice falsificare una firma che una firma digitale.
@Necosi:
Hai ragione che esiste da parecchio, pero’ innanzitutto necessiti thunderbird (che purtroppo lo usano ancora ben pochi) e devi anche installarti estensioni etc…
Qua trovi tutto pronto che per gli “utonti” e’ una cosa notevole.
@NeCoSi
La coppia di chiavi che Thawte ti permette di creare è “filosoficamente” diversa dalla coppia di chiavi che generi con gpg sul tuo pc: Thawte è una Certification Authority (CA) riconosciuta da tutti i browser e MUA, e questo dà fiducia sull’autenticità della chiave (a.k.a. è impossibile verificare tutte le chiavi gpg che hanno firmato un’altra chiave gpg).
Inoltre quando ricevi una mail firmata con certificato rilasciato da Thawte contenete il nome della persona che firma la mail puoi stare certo che almeno due persone hanno verificato personalmente l’identità di colui che firma la mail (i famosi 50 punti necessari per avere il proprio nome nel certificato).
Se la sicurezza di tutto il meccanismo si basa sul fatto che due persone ‘volontarie’ hanno verificato l’esattezza dei tuoi dati anagrafici, ho seri dubbi che la firma digitale con un certificato della Thawte sia tanto più sicura di una firma autografa. In ogni caso, trovo l’osservazione sui politici priva di senso: se la firma autografa è ‘debole’ non vedo il bisogno di trovare una controparte elettronica parimenti debole, ci vorrà un sistema che invece sia ‘forte’ e difficile da forzare.
Non conosco le procedure seguite dalle CA italiane nel rilasciare i certificati e non so in che modo si accertino dell’identità del richiedente, tuttavia so cosa è successo in passato con Verisign, che nel 2001 ha fornito a sconosciuti due certificati intestati a Microsoft Corporation (http://www.cert.org/advisories/CA-2001-04.html). Tu mi dirai “Cosa c’entra Tawthe?” Thawte è stata acquisita da Verisign nel 99-2000 (http://www.thawte.com/corporate/index.html).
Morale: una sistema di certificati di questo genere puà andare bene per un gruppo di lavoro, anche esteso, ma prima di dar loro valore legale ce ne passa, e molto.