pac wrote:
E ipotizzando che la strada scelta sia questa è quindi prassi normale
che il fornitore installi personalmente
presso il cliente il certificato per esser a conoscenza esclusiva
della password che il cliente non deve conoscere ?
Dipende qual'e' la password di cui parliamo. Se e' la password di
esportazione, cioe' quella che protegge "l'involucro di trasporto", e
che serve solo per l'importazione, allora si. Se e' la password di
sblocco del certificato serve anche al cliente che la deve inserire ogni
volta che lo usa.
Quindi anche se con certificato condiviso da tutti i clienti :
Legalmente il cliente quando acquista in questo modo firma
digitalmente un documento, e in caso di esportazione illecita da parte
del fornitore a nome del cliente per ordini o documenti, il cliente
comunque ne risponde come colui la cui firma risulata sul documento
(il fornitore è l'unico in grado di esportare essendo l'unico a
conoscenza dela password) ?
La modalita' "a certificato condiviso", prassi peraltro considerabile
del tutto da evitare, puo' essere utilizzata solo in un contesto di
autenticazione web molto light. Non puo' essere in alcun modo utilizzata
in un contesto di firma digitale, in quanto tutti firmerebbero allo
stesso modo, rendendo di fatto inutile la firma stessa. Non parliamo di
aspetti legali perche', se il contesto e' questo, non e' assolutamente
possibile usare una cosa condivisa.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
