Posta elettronica in sicurezza con il certificat...

In questo forum vengono inseriti tutti i commenti inviati per ogni articolo pubblicato nelle pagine de IlSoftware.it

Moderatore: Staff forum IlSoftware.it

Admin
Senior Software
Senior Software
Messaggi: 6627
Iscritto il: 28 giu 2000 14:47

Posta elettronica in sicurezza con il certificat...

Messaggioda Admin » 21 dic 2010 10:25

La posta elettronica, di per sé, non è uno strumento sicuro per lo scambio di informazioni. Le e-mail, infatti, transitano attraverso un canale di comunicazione, qual è la rete Internet, di per sé assolutamente insicuro.MIME è l'acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un'e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. Per l'invio di messaggi sicuri il cui contenuto non possa essere letto se non dal reale destinatario, si fa ricorso al formato S/MIME. Sviluppato da RSA Data Security, S/MIME fornisce la possibilità di autenticare, verificare l'integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete. ( http://www.ilsoftware.it/articoli.asp?ID=6871 per consultare il testo completo.)

Alberto B
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Alberto B » 21 dic 2010 11:30

Nulla da dire riguardo alla tecnologia, che da quanto so (non molto a dire il vero) è più efficiente e sarebbe tecnicamente preferibile al sistema delle firme utilizzato dalla PEC italiana.
Tuttavia una mail inviata con un certificato di questo tipo legalmente è pari ad una qualunque altra email inviata utilizzando PGP, piuttosto che alla PEC.
Il motivo è semplice: la CA non verifica e non può garantire l'identità della persona che invia il messaggio, può solo certificare che il messaggio è partito da un qualcuno che ha accesso alla casella di posta elettronica.
C'è un motivo ben preciso se per attivare una PEC è richiesto un documento di identità, una firma, e anche un riconoscimento personale del titolare del certificato.

Quindi direi buona l'intenzione, ma inutile implementazione.

Massimo Penco
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Massimo Penco » 21 dic 2010 12:44

@Alberto B: Ci mancherebbe abbia a che ridire sulla tecnologia è proprio quella essendo l’unico standard universalmente riconosciuto che fa funzionare la “PEC Italiana”, termine da lei usato. La "PEC italiana" rappresenta un grosso problema perché è utilizzabile solo in Italia e solo da coloro che hanno aderito a tale sistema quindi aggiungerei se me lo consente “Pec autarchica Italiana” .
Entrando nei particolari legali quello che lei dice non è vero in quanto la problematica relativa all’identità digitale di chi invia il messaggio non è stato risolto dalla PEC ITALIANA che invece ha solo complicato le cose se è vero che se uno vuole una casella PEC deve autenticarsi alle Poste ad esempio e quindi recarsi allo sportello per avere una "Casella PEC" o "CEC PAC". Sottolineo "Casella" e non indirizzo di posta elettronica. E non è nemmeno vero che sia poi lui ad inviare il messaggio PEC. Con il nuovo CAD (Codice dell’Amministrazione digitale) non ci sarà più bisogno dell’autenticazione personale per le future PEC ma il metodo sarà identico a quello usato da tutte le CA al mondo on-line. A parte questo, quello che lei dice può avvenire sia con i Certificati S-mime o PGP che a maggior ragione con la PEC che fra l’altro nasce come un sistema Webmail.
Infine, non esiste titolare di certificato nella PEC dal momento che i gestori PEC non rilasciano certificati digitali ma solo accesso a caselle di posta certificata "consultabili" mediante user id e password. La casella non è un indirizzo e-mail certificato ed è questa una differenza non da poco: chiunque, da qualsiasi postazione, avendo l’user id e password può inviare messaggi che transitano attraverso il sistema PEC e non è detto che chi invia il messaggio sia il titolare della casella di PEC. Il sistema PEC non garantisce il contenuto dei messaggi di posta elettronica e loro allegati e l’utente non ha nessuna possibilità di firmarli non avendo per l’appunto un certificato digitale. Non vorrei risponderle con un trattato in materia, visto che l’ho già scritto. Potrà senz’altro approfondire l'argomento scaricando il mio libro “La Posta Elettronica” che trova su IlSoftware.it.
In merito all’ultima frase sulle intenzioni il nostro è un paese pieno di buone intenzioni che difficilmente si trasformano in opportunità vedi il FLOP del sistema PEC: il resto del mondo usa infatti proprio S/MIME.

Avatar utente
grillo1939
Junior Software
Junior Software
Messaggi: 110
Iscritto il: 21 dic 2010 18:53
Località: Forlì

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda grillo1939 » 21 dic 2010 19:04

Sono un nuovo arrivato per quanto riguarda il forum, mentre per le news son anni che le ricevo, e quindi porgo un saluto a TUTTI.

Leggendo le caratteristiche di questa posta, e vedendo alcuni clienti ben specifici, mi piacerebbe sapere se questo sistema è utilizzabile anche a chi utilizza come me, Incredimail.

grazie

Avatar utente
Michele Nasi
Direttore IlSoftware.it
Direttore IlSoftware.it
Messaggi: 10122
Iscritto il: 26 ago 2000 15:35
Località: Arezzo
Contatta:

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Michele Nasi » 22 dic 2010 09:11

Benvenuto! I certificati S/MIME sono utilizzabili con qualunque client di posta elettronica. Verifica comunque se, all'interno del tuo client e-mail, c'è la possibilità di importare certificati S/MIME. Appena possibile effettuerò anch'io una verifica.

Avatar utente
grillo1939
Junior Software
Junior Software
Messaggi: 110
Iscritto il: 21 dic 2010 18:53
Località: Forlì

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda grillo1939 » 22 dic 2010 12:01

Ciao Michele,

ti ringrazio per la precisazione.

Appena trovo un po di tempo faccio la prova nel pc di mio nipote che uso come muletto.

grazie e

Immagine

shardana1974
Messaggi: 1
Iscritto il: 22 dic 2010 17:25

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda shardana1974 » 22 dic 2010 19:18

Salve, volevo sapere se il servizio ha validità limitata.
Nello screenshot dell'esempio c'è scritto "Validità 12 mesi", concluso questo periodo il servizio diventa a pagamento?
Grazie in anticipo dell'eventuale risposta

Avatar utente
Michele Nasi
Direttore IlSoftware.it
Direttore IlSoftware.it
Messaggi: 10122
Iscritto il: 26 ago 2000 15:35
Località: Arezzo
Contatta:

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Michele Nasi » 22 dic 2010 20:03

No, il servizio è e resterà gratuito. E' il certificato che, come indicato nell'articolo, ha validità di 12 mesi. Trascorsi i 12 mesi il certificato S/MIME scadrà e si dovrà provvedere a richiederne un altro. La CA assicura che il rinnovo è assolutamente gratuito.

tenet4
Messaggi: 1
Iscritto il: 26 dic 2010 11:50

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda tenet4 » 26 dic 2010 12:25

Perché è necessario immettere anche il proprio "Bank Account" come specificato al Punto "REGISTRATION" delle "TERMS AND CONDITIONS" ?

"REGISTRATION A. In order to use the GCSE/GPSE, you must:
(a) provide certain current, complete, and accurate information about the USER and/or
(including, without limitation, bank account information) on the Registration Form;"

Luca C
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Luca C » 27 dic 2010 15:50

Mi pare di capire che alcuni concetti sull'uso "pratico" di questo sistema non siano chiarissimi.
Quale dovrebbe essere il principale vantaggio sull'uso di questo certificato?
Il certificato dell'articolo garantisce che la persona che ha firmato il messaggio sia effettivamente quello che dice di essere?
Se si, allora la procedura illustrata di registrazione presso GlobalTrust non è completa (manca l'identificazione personale).
Se no, allora l'affermazione che la CA "attesta l'identità di un utente" non è corretta, perchè può garantire solo che il messaggio è stato firmato da qualcuno che utilizza l'indirizzo di posta elettronica.
Piccolo esempio: posso aprire una casella di posta elettronica gratuita Silvio.Berlusconi@libero.it (nessuno controlla che sia il mio vero nome), posso creare un certificato di firma digitale associato e utilizzarlo. C'è garanzia sulla mia identità? risposta: NO.
Quali vantaggi ci sono tra l'uso del certificato S/mime proposto e l'uso di PGP? La praticità?
Guardando il sito di GlobaTrust, non mi pare sia neanche accreditato presso il DigitPA (l'ente che ha sostituito il CNIPA).
Vediamo la PEC: una PEC Certifica la mia identità? Risposta: SI, perchè per attivarla devo identificarmi con documento di identità, le credenziali di accesso mi vengono consegnate personalmente e ne divento l'unico responsabile (certo: a menochè non perdo o mi vengono sottratte le credenziali stesse, di cui sono comunque responsabile...).
La PEC certifica la consegna del messaggio? Si.
La PEC garantisce il contenuto del messaggio? No, per questo è necessaria la firma digitale (smartcard, token, bbf, ecc) rilasciata sempre a parte.
La PEC ha riconoscimento legale in Italia? SI. e il certificato GlobalTrust? (a me non sembra)
Riassumento: GlobalTrust si pone a metà tra il PGP e la PEC, fa quello che fa PGP, ma non può valere in Italia come la PEC (forse all'estero?), nei prossimi 3 anni sicuramente in Italia la PEC non sarà abbandonata. Quindi chiedo: qual'è l'utilità pratica di questo certificato GlobalTrust?

Massimo Penco
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Massimo Penco » 28 dic 2010 11:25

@tenet4: L'inserimento del conto bancario è solo ed esclusivamente per i certificati a pagamento, sicuramente non per i gratuiti infatti alla fine della compilazione del modulo non viene richiesto nulla.

Massimo Penco
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Massimo Penco » 28 dic 2010 14:54

@Luca C: I principi basilari su cui si basa in tutto il mondo la comunicazione in genere ed in particolare i sistemi di posta elettronica sono quelli di trasmettere uno o più documenti allegati o meno ad un messaggio e farli arrivare integri al destinatario.
L’unico sistema usato in tutto il mondo per garantire che questo avvenga è il protocollo s-mime che consente di far arrivare un messaggio integro e garantire il non ripudio della ricezione dello stesso da parte del destinatario, qualora vengano usate determinate accortezze nell’invio e ricezione del messaggio oltre che dei suoi allegati. Si può poi attivare l'invio dei messaggi e degli eventuali allegati in forma criptata al fine di garantirne la riservatezza. S-mime, inoltre, possiede un'altra essenziale ed indispensabile caratteristica ovvero è interoperabile e compatibile con altri sistemi.
Come il sistema postale internazionale garantisce che una normale lettera/raccomandata venga recapitata in qualsiasi paese del mondo, così fa s-mime con i messaggi di posta elettronica portando con sé, però, numerosi altri evidenti vantaggi.

Una cosa è parlare della procedura di autenticazione di Globaltrust (comune, del resto, ad altri provider, anche di PEC), un'altra della procedura per l'utilizzo della CEC PAC (Comunicazione Elettronica Certificata verso la Pubblica Amministrazione) italica che costringe gli interessati a richiedere il servizio recandosi fisicamente presso un ufficio postale (dopo aver compilato un modulo online).
La differenza sostanziale tra i due sistemi è intanto quello che la PEC-CEC-PAC è una casella di posta elettronica e non un indirizzo certificato di Posta elettronica che mi sembra differenza non da poco. All’utente viene consegnata una password per accedere alla propria casella di posta né più e né meno come quella che si prende con uno dei vari provider Gmail, Hotmail od altro.
Una legge Italiana e non una tecnologia hanno fatto sì che questo sistema venga riconosciuto SOLO in Italia con lo stesso valore legale di una raccomandata e come una raccomandata garantisce che una busta “busta di trasporto” venga inoltrata e ricevuta con determinate caratteristiche che in finale la rendono per certi effetti diversa dalla raccomandata fisica come è intuibile. Non viene quindi garantito il contenuto della “busta di trasporto” la stessa come per la raccomandata cartacea può contenere solo quello che il mittente ha inserito.

Tornando all’autenticazione la sua giusta osservazione vale ancor di più per la PEC-CEC-PAC. Chiunque infatti utilizzando la password affidata all’utente autenticato personalmente dall’ufficio postale o dal gestore di PEC può non solo inviare messaggi ma accedere all’intera casella postale del soggetto e fare quello che gli pare (non sto qui a dilungarmi su come l’utente potrà molto meglio proteggere il suo certificato s-mime, troverà maggiori informazioni sul mio libro).

L’autenticazione e validazione fatta da Globaltrust è perfettamente legale non solo in Italia ma in tutto il mondo. Se legge attentamente il modulo da compilare per la concessione del certificato s-mime vedrà che fa riferimento ad alcune precise disposizioni italiane ma anche internazionali relative alle autodichiarazioni. Le riporto con i relativi link ai testi di legge:

"AUTENTICAZIONE E VALIDAZIONE
Nel rapporto tra privati il riconoscimento della validità dell'autocertificazione resta a discrezione del privato che richiede il certificato o documento/auto-dichiarazione, ai sensi della Legge 24 novembre 2000, n. 340 nonché D.P.R. n. 445/2000 in particolare l’art. 2,76 “Le norme concernenti i documenti informatici e la firma digitale, contenute nel capo II, si applicano anche nei rapporti tra privati come previsto dall'articolo 15, comma 2 della legge 15 marzo 1997, n. 59.e successivi provvedimenti e modificazioni, ribaditi dall’ art. 495-bis e 640-quinquies del Codice Penale."

Non solo ma essendo questo un problema comune, l’Italia ha aderito anche se dopo sei anni alla convenzione di Budapest anch’essa riportata come comminatoria di legge nel modulo che commina pene molto gravi a coloro che dichiarano il falso a certificatori.
Del resto la possibilità in finale di avere due sistemi di posta Elettronica in Italia è stato ribadito dalla stessa legge, debbo dire dopo una denuncia presentata all’Unione Europea da parte dell’Associazione Cittadini di Internet. Ecco il testo della norma anch’essa chiaramente indicata nel modulo GlobalTrust Nella legge 28-01-2009 n° 2 art. 16/6 e successive modificazioni. "(...) o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi sistemi internazionali".

In virtù di ciò Globaltrust ed altre Certification Authority non hanno bisogno di essere nella lista del Digitpa e del resto in base al CAD Codice dell’Amministrazione digitale non ne avevano bisogno neanche prima.
Fra l’altro proprio in questi giorni è stato completamente rifatto proprio il CAD che ovviamente ha chiarito alcuni punti tra cui quelli di cui ho parlato rendendo il sistema più aderente alle direttive comunitarie e l’uso internazionale delle comunicazioni. Spero che questa mia lunga risposta le sia stata utile potrà trovare maggiori informazioni sul mio Libro La Posta Elettronica distribuito gratuitamente da IlSoftware.it.

Avatar utente
Freddy
Active Software Plus
Active Software Plus
Messaggi: 965
Iscritto il: 21 dic 2010 23:12
Contatta:

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda Freddy » 30 dic 2010 12:21

Ho notato che la firma digitale funziona solo con la email che si è inserita in fase di richiesta, è possibile chiederne una anche x altra email?
Altra domanda, credo di avere capito che la PEC ha caratteristiche legali solo fra Persone o Enti che usano la PEC, la firma digitale ha valore legale anche se io la invio a persone o enti che non utilizzano email con il certificato digitale e se la risposta è si visto che non posso criptarla continua ad avere valore legale?
Probabilmente le risposte le trovo nel libro di Massimo Penco, che ringrazio per averlo reso disponibile gratuitamente, ma sono ancora lontano da averlo letto tutto.
When technology puts passion...
Telegram Group by me


OnePlus™ Italy
Never Settle!
https://t.me/OnePlusItaly

OPPO™ Italy
OPPO Mobile Technology
https://t.me/OPPO_ITALY

by Freddy

alammesbaul
Ospite

Re: Posta elettronica in sicurezza con il certificat...

Messaggioda alammesbaul » 06 set 2015 15:50

io voglie
Posta elettronica in sicurezza con il certificato.