Chiedo scusa,
ma cercando di ragionare in merito al sistema CIE in un altro post sul Forum appartenente al contesto CIE, volevo sapere questo:
esiste una banca dati consultabile contenente tutti i certificati pubblici di qualsiasi CIE emessa?
perché chiedo questo? … stavo pensando ad una situazione nella quale … se avessi un qualcosa di firmato, e il teorico firmatario mi dicesse… “non ci credi?”… controlla con questo Certificato_Pubblico … come faccio a sapere che ‘è un certificato pubblico’ non digitalmente contraffatto? … avrei la possibilità di verificare la sua autenticità , tramite un confronto con un teorico certo e corretto proveniente da una banca dati di certificati pubblici di fiducia … o sbaglio? ci sarebbe un altro metodo?
grazie e buona giornata
IPZS-CIE
(Istituto Poligrafico e Zecca dello Stato)
2
Salve Roberto,
per la CIE esiste la CA autenticazione operativa presso il Viminale. I certificati root della CA Autenticazione sono presenti nelle liste AGID. Pertanto, quando si effettua una autenticazione mediante la CIE ad un servizio terzo, quest’ultimo verifica che il certificato utilizzato:
Sia stato rilasciato dalla CA Autenticazione del Ministero dell’interno (viene verificata la firma digitale della CA autenticazione, presente nel certificato utilizzato)
Che non sia scaduto
Che non sia stato revocato, accedendo alle liste di revoca della medesima CA
Se tutto va a buon fine si concede l’accesso al servizio.
Spero di aver risposto in modo chiaro.
Saluti.
E’ stato molto gentile, nel dedicare il Suo prezioso tempo,
ma comunque se il sistema è così non è un sistema sicuro a livello teorico.
la verifica della firma è un calcolo matematico, quindi cmq anche in questo caso si
avrebbe la necessità di avere un certificato pubblico sicuramente valido, che permetta di
calcolare un valore firma sicuramente valido
Ecco questo evidenzia forse ancora di più la palese necessità di avere ‘informazioni fresche’ quindi come si farebbe a sapere se un certificato è revocato? tramite il sistema
CRL … che però forse ha i suoi difetti e forse sarebbe meglio preferire un’interrogazione diretta di volta in volta a un sistema centralizzato, piuttosto che preferire un sistema pesante e non certo (in quanto necessita di aggiornamento tramite propagazione)
in ultimo ‘dalla mia’, nei giorni seguenti ho trovato un articolo/post inviato da un signore (credo anche lui dipendente di qualche ingranaggio statale) il quale si lamentava della dismissione "di una rete/un backbone statale dedicata a comunicazioni sicure e protette, di certificati, credenziali, etc etc.’ …
quindi forse quello che avevo curiosità di sapere esisteva già ma poi ancora più curiosamente (non riesco a capire, sia io che anche il signore del post) come mai è stato dismesso …
la logica sarebbe … un sistema ‘unico/centralizzato’ (come l’elenco telefonico o quasi) che permetta di generare query su certificati e ovviamente avere dati freschi… ovviamente poi
quando si avrebbe la sicurezza che le chiavi pubbliche sono sicuramente valide … si può
avere la certezza di tante cose (quelle firmate) riportate nel certificato .
comunque ringrazio moltissimo per la cortesia concessami e comunque nelle ultime
settimane mi si è spenta un pochetto la passione per i certificati digitali in qanto
affascinante argomento, ma tra non impieghi, affidamenti incarichi a gente nemmeno
troppo preparata e comunque prima che la cosa entrerà in uso quotidiano forse passeranno ancora decenni.