Firma digitale della posta certificata su client email linux

Discussione:

Teodoro Santoni

2014-07-03 13:56:41 UTC

Buon pomeriggio,

Fino ad oggi credevo che la posta elettronica certificata fosse il solito
marchingegno complesso e inutilizzabile promosso a upgrade governativo...
Oggi mi sono impegnato a sfruculiare nel materiale statale e sono
stato smentito dalla pratica guida del sito della pec governativa, in quanto vi
si accede via pop3 con ssl per la ricezione e smtp con ssl per l'invio. Nulla
di trascendentale con qualsiasi configurazione, men che meno su fdm e msmtp,
roba che uso io.
Però non mi è chiara la cosa della firma digitale. È un invio di un file col
messaggio p7m (se senza allegati) o (con allegati) di una mail
multipart/alternative composta da file p7m?
Esistono modi alternativi alla webmail e ai plugin di thunderbird, magari senza
gui, magari in stile tool unix così posso metterli in pipeline in mezzo a mutt
e msmtp, per mandare email firmate digitalmente da una PEC?
Se gli spiegoni non fanno per voi ma avete dei link esplicativi, sono
egualmente ben accetti.

Grazie a chi mi risponderà.
--
Teodoro Santoni

--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Archive: https://lists.debian.org/***@bruttuntu

i***@modula.net

2014-07-03 16:57:05 UTC

Permalink

Post by Teodoro Santoni
Però non mi è chiara la cosa della firma digitale. È un invio di un file col
messaggio p7m (se senza allegati) o (con allegati) di una mail
multipart/alternative composta da file p7m?

La posta certificata riguarda il messaggio e sostanzialmente garantisce
l'ora in cui il destinatario lo riceve.
Questo da luogo al rientro nella tua mailbox certificata della ricevuta
di ritorno, che mi pare sia firmata digitalmente dal gestore.
Tecnicamente puoi o non allegare niente, o un file normale o un file
firmato: dipende dalle tue necessità.
C'è server di posta open source che dovrebbe rispondere alle specifiche
imposte dal governo, ma per entrare nel circuito degli operatori occorre
una società con capitali piuttosto elevati.
Il problema di thunderbird è l'invio degli allegati firmati
digitalmente, a prescindere dall'uso della posta certificata o no: però
con il plug-in si risolve.
Credo che qualsiasi client di posta, purchè rispetti le regole di
autenticazione, sia idoneo a inviare e ricevere messaggi pec.
La firma digitale dei documenti è una cosa completamente disgiunta dalla
pec anche se quest'ultima si avvale della firma digitale per taluni
allegati.

Post by Teodoro Santoni
Esistono modi alternativi alla webmail e ai plugin di thunderbird, magari senza
gui, magari in stile tool unix così posso metterli in pipeline in mezzo a mutt
e msmtp, per mandare email firmate digitalmente da una PEC?
Se gli spiegoni non fanno per voi ma avete dei link esplicativi, sono
egualmente ben accetti.
Grazie a chi mi risponderà.

allanon

2014-07-07 02:11:24 UTC

Permalink

Post by i***@modula.net

...
[cut]
...

Post by i***@modula.net
La firma digitale dei documenti è una cosa completamente disgiunta
dalla pec anche se quest'ultima si avvale della firma digitale per
taluni allegati.

ah! sospettavo cio' non appena ho letto che puoi avere la PEC gratuita
semplicemente registrandoti al sito .gov.it e poi recandoti alle Poste
Italiane per l'identificazione univoca col proprio codice fiscale,
MA
per avere la firma digitale devi sborsare euri per un abbonamento
triennale!!
(aruba fornisce un abbonamento annuale, e cosi' via..)

Mi chiedo.. ma questi del governo non potevano semplicemente delegare
alle Poste Italiane l'associazione univoca tra codice fiscale e chiave
gnupg??

Possibile che sia l'ennesimo caso di magna magna di appalti
e concessioni, oppure c'e' un motivo tecnico dietro questa scelta?

--
Francesco Alaimo - GnuPG ID Key: A07FF2DB
Fingerprint 3D2F DCD4 6AB3 9C52 995A 969E D634 02FF A07F F2DB

m***@majaglug.net

2014-07-07 06:43:32 UTC

Permalink

Post by allanon
Mi chiedo.. ma questi del governo non potevano semplicemente delegare
alle Poste Italiane l'associazione univoca tra codice fiscale e chiave
gnupg??
Possibile che sia l'ennesimo caso di magna magna di appalti
e concessioni, oppure c'e' un motivo tecnico dietro questa scelta?

Di base l'idea del pec e' ottima. A differenza della mail ordinaria, hai la certezza della, spedizione e della ricezione, con tanto di firma digitale dei gestori, obbligo di archivio degli stessi. Insomma, la trasposizione della raccomandata AR in forma elettronica.

Ma, fatta l'idea ci siamo persi per strada. Intanto si tratta di uno standard nostrano che non ha validità fuori dei confini nazionali. La pec non comunica con la posta standard, o meglio ok da pec a mail ordinaria. Viceversa non e' garantito.

Gpg non e' una firma digitale forte garantita. Non c' nessuno dietro che garantisce che quella firma e' la tua. Sarebbe stato meglio creare un'authority di certificazione nazionale in grado di garantire i certificati rilasciati sul nostro territorio a livello globale e usare strumenti già' conosciuti. Ma visti i soldino messi in ballo.... Era meglio inventarsi st'accrocchio che facessero felici i pochi noti.

f***@modula.net

2014-07-07 13:10:53 UTC

Permalink

Post by m***@majaglug.net

Post by allanon
Mi chiedo.. ma questi del governo non potevano semplicemente delegare
alle Poste Italiane l'associazione univoca tra codice fiscale e chiave
gnupg??

Il codice fiscale è un codice parlante non sempre univoco in quanto, per
vari motivi, può cambiare nel corso della vita di una persona, e quindi
un codice potrebbe anche essere riassegnato a un'altra persona.
La posta certificata invece risolve il problema della "raccomandata con
ricevuta di ritorno automatica" e cioè, se hai una mailbox pec e io ti
invio una mail dalla mia mailbox pec, nel momento in cui il provider la
riceve nei suoi server automaticamente manda al mittente una ricevuta
che comprova che tu hai ricevuto la mia pec, e questo anche se non
scarichi la posta sul tuo pc e non ti colleghi alla webmail.

Post by m***@majaglug.net

Post by allanon
Possibile che sia l'ennesimo caso di magna magna di appalti
e concessioni, oppure c'e' un motivo tecnico dietro questa scelta?

Per gestire un server di posta certificata occorre possedere dei
requisiti sociali piuttosto importanti e anche, credo, avere certe forme
assicurative, perchè ci possono essere conseguenze legali in caso di
malfunzionamenti. Quindi tutti i piccoli provider sono stati tagliati
fuori da questo business. Anche aziende ICT che installano server di
posta si sono trovati fuori mercato perchè i loro clienti non possono
gestire direttamente la loro pec.
In altre parole, io non possono firmare la ricevuta di una pec: la può
firmare solo il gestore al posto mio.
La cosa effettivamente è un pò insolita ....

Post by m***@majaglug.net
Ma, fatta l'idea ci siamo persi per strada. Intanto si tratta di uno standard nostrano che non ha validità fuori dei confini nazionali. La pec non comunica con la posta standard, o meglio ok da pec a mail ordinaria. Viceversa non e' garantito.

Hai perfettamente ragione: è vero che c'è il RFC 6109, ma è
informational e non standard. C'è anche da dire che sulla posta
elettronica, visto la marea di spam che circola, ci sarebbe bisogno di
qualche riflessione: va bene la l'anonimato, ma se non voglio ricevere
messaggi anonimi, lo standard da quelche parte dovrebbe prevederla,
questa opzione.

Luciano

Tecnico1 nonsolocomputer s.r.l.

2014-07-07 13:13:23 UTC

Permalink

Hai perfettamente ragione: è vero che c'è il RFC 6109, ma è informational e non standard. C'è anche da dire che sulla posta elettronica, visto la marea di spam che circola, ci sarebbe bisogno di qualche riflessione: va bene la l'anonimato, ma se non voglio ricevere messaggi anonimi, lo standard da quelche parte dovrebbe prevederla, questa opzione.

tanto per farvi sorridere.
nonostante la pec sia un meccanismo piuttosto sicuro, tra certificati, crittografia e affini, ha comunque un punto debole non da poco: l'endpoint del client.
non di rado mi fanno notare spam in entrata sulle caselle pec in arrivo da altre caselle pec. Tradotto, l'utente resta l'anello debole della catena e spesso, come si fa un uso qualche volta troppo disinvolto delle caselle ordinarie, anche la pec entra nel calderone delle credenziali rubate.

allanon

2014-07-07 18:49:38 UTC

Permalink

Post by f***@modula.net

Post by allanon
Mi chiedo.. ma questi del governo non potevano semplicemente delegare
alle Poste Italiane l'associazione univoca tra codice fiscale e chiave
gnupg??

Aspetta, io ho riassuntato troppo il procedimento, pensando che fosse
implicito il come deve avvenire il procedumento.

A me e' stato richiesto, ai fini della PEC, di presentarmi allo
sportello di Poste Italiane, esibire Carta di Identita' e codice fiscale
magnetico,
ok?

quello che non ho scritto bene, e' che magari assieme ai due documenti
avrei potuto presentare il fingerprint della mia chiave gnupg, affinche'
lo Stato Italiano fungesse da garante che a quella chiave rispondo io
e solo io.

In tal modo, il ring of trust che vale tra utenti privati, avrebbe avuto
un valore Nazionale e Internazionale, no?

Sarebbe stato tutto piu' facile, economico, ed integrato in una realta'
gia' esistente e funzionale, no?

Post by f***@modula.net
La posta certificata invece risolve il problema della "raccomandata
con ricevuta di ritorno automatica" e cioè, se hai una mailbox pec e
io ti invio una mail dalla mia mailbox pec, nel momento in cui il
provider la riceve nei suoi server automaticamente manda al mittente
una ricevuta che comprova che tu hai ricevuto la mia pec, e questo
anche se non scarichi la posta sul tuo pc e non ti colleghi alla
webmail.

Su questo nulla da dire, non esiste uno strumento simile perche' l'email
e' nata in quel modo e nessuno si e' mai prodigato per modificarla.
La PEC come ricevuta di ritorno e' utile, ma fino ad un certo punto, se
il destinatario non puo' esser certo che quella email e' mia, finche'
non la Firmo.

--
Francesco Alaimo - GnuPG ID Key: A07FF2DB
Fingerprint 3D2F DCD4 6AB3 9C52 995A 969E D634 02FF A07F F2DB

mauro

2014-07-07 20:58:24 UTC

Permalink

Post by allanon
quello che non ho scritto bene, e' che magari assieme ai due documenti
avrei potuto presentare il fingerprint della mia chiave gnupg, affinche'
lo Stato Italiano fungesse da garante che a quella chiave rispondo io
e solo io.

secondo me sarebbe bastato creare un' certificatore nazionale che rilasciasse certificati digitali secondo gli standard universalmente riconosciuti.

fare in modo di rendere la ricevuta di ritorno dai server cosa standard con tanto di firma digitale di ritorno (postfix lo fa beato e tranquillo, basta chiederglielo), fare in modo che i provider mantenessero questo tipo di mail in archivio per un periodo di tempo lungo cosi' come avviene per chi gestisce la pec. fine.

il problema, di fondo, e' garantire che una mail parta e arrivi con certezza e che il tutto venga certificato correttamente. In realta' questi strumenti esistono da quando e' nata la posta elettronica, serviva solo qualche affinamento che in parte c'e' gia'. Inutile inventarsi una pippa supplementare che fa solo confondere le idee alla gente che in italia - ammettiamolo - ha seri problemi a capire e masticare un minimo di tecnologia.

e invece no.... dobbiamo soffrire.

sigh.

mauro
***@majaglug.net

f***@modula.net

2014-07-08 07:14:07 UTC

Permalink

Post by allanon
La PEC come ricevuta di ritorno e' utile, ma fino ad un certo punto,
se il destinatario non puo' esser certo che quella email e' mia,
finche' non la Firmo. -- Francesco Alaimo - GnuPG ID Key: A07FF2DB
Fingerprint 3D2F DCD4 6AB3 9C52 995A 969E D634 02FF A07F F2DB

Per la normativa italiana. se parte dalla tua mailbox pec, l'hai spedita
tu (fino a prova di falso).