Ho postato queste osservazioni in un gruppo che si occupa di conservazione sostitutiva e sono stato in parte contestato, stimo molto alcuni che partecipano a questa lista per cui condivido volentieri con voi
Alla domanda : xxx mi chiede di estendere la validità delle marche temporali , qualcuno sostiene: rimetti una marca sulla marca prima che scade, la mia riflessione: La faccenda è alquanto spinosa e complessa e, come al solito, io sarò la voce fuori dal coro di turno. 1' Le marche temporali non scadono, scadono i certificati con cui sono state emesse e cessa la conservazione da parte della tsa del registro delle marche emesse . Lo scorso anno scrivevamo a xxxxx >Secondo me la verifica della marca temporale nella versione xxx di xxxx >non è >pienamente conforme con le specifiche RFC 3161 >>(Appendice B), >in quanto da esito positivo solo se la data in cui si effettua la >verifica è >compresa nell'ambito di validità del certificato incluso >nella marca, Questo problema è stato poi ovviato nelle versioni successive, viene verificato che la marca "sia stata emessa" nel periodo di validità del certificato (e non che la data di verifica sia compresa nel periodo di validità), se ok e l'impronta risulta valida, l'esito è positivo comunque, quindi della scadenza del certificato che era uno degli elementi che scadono, non ce ne frega + niente. 2' la necessità di verificare il registro on line La verifica del registro conservato dalla tsa, nelle specifiche rfc non è indispensabile, costituisce un elemento in più che "sincera" sulla originalità della marca, ma non ne influenza la validità . La conservazione del registro, potremmo dire che non è una necessità di chi utilizza la marca, ma un obbligo di chi la emette e una comodità per chi dovesse avere dubbi sulla validità dei certificati con cui la marca è stata emessa. Sostanzialmente la marca risulta valida in tutti i casi, sia nel caso di certificato scaduto, sia nel caso di non disponibilità del registro. Unica condizione è che il "certificato del server che ha emesso la marca" sia installato nel contenitore delle "ca affidabili". Per cui dal punto di vista matematico non esiste la marca scaduta, se questa è emessa con un certificato che si riconosce come affidabile, anche dopo 30 anni la marca è valida. 3' Da cosa deriva la necessità di un registro delle marche emesse?? Teoricamente (ma allo stato attuale è solo teoria) un utente potrebbe: 1 costruirsi un certificato da TSA attribuendogli il nome di un certificatore accreditato. 2 emettersi le marche temporali da solo 3 Mantenere nel tempo il certitifato TSA taroccato e fare in modo che ad ogni verifica venga installato quello taroccato al posto di quelli ufficiali della TSA (ricordo che le tsa cambiano il certificato di emissione periodicamente, non ricordo ogni quanti giorni) In una ipotesi di questo tipo, solo il controllo del seriale riuscirebbe a smascherare l'imbroglio . In tutti gli altri casi la verifica secondo le rfc è matematicamente sicura. ma, mi vien da dire, se applichi marche temporali avrai pure un registro in cui annoti le richieste fatte alla tsa e le relative risposte, visto che le marche costano (non poco) ci saranno delle fatture che dimostrano che le marche le hai acquistate e consumate, insomma se sei onesto,dimostrare che non lo sei non è sempre cosi facile. Ciò non toglie che l'obolo da pagare pare che sia di 20 euro per ogni login utilizzato indipendentemente dalle marche acquistate, restano però dei dubbi per esempio per chi ha usato lotti di marche da 1000 pezzi con login che cambiava ad ogni lotto Siamo in attesa di riscontro La ri marcatura delle marche non ha senso e non vale niente, se l'originale è taroccata o meno va verificata con il ragionamento di cui sopra, farlo due volte è inutile secondo me. Claudio Caprara con la collaborazione tecnica di Riccardo Romagnoli. www.multimediait.com Questo documento non è assolutamente riservato quindi fateci pure quel che vi pare, non contiene segreti di stato ed è redatto proprio per essere diffuso e discusso. Claudio Caprara Email: [email protected] Skype claudio.caprara Tel. 0721 960825 gruppo 4 Cel. : 348 2625708 MultiMedia it snc Via Piemonte 6 61037 Marotta di Mondolfo (PU) Tel. 0721 960825 Fax 0721 967079 www.multimediait.com Rispetta il tuo ambiente, Conservami digitalmente
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
