cosa vale una firma digitale basata solo sull'indirizzo email? [chiuso]

Question

cosa vale una firma digitale basata solo sull'indirizzo email? [chiuso]

#1 da (0 voti)

2

Ho notato che la maggior parte dei fornitori di firme digitali non tenta di certificare altro che un indirizzo e-mail, mentre è abbastanza facile creare un indirizzo e-mail senza rivelare alcuna informazione personale.

Pertanto, potrei conoscere l'indirizzo e-mail di un firmatario e nient'altro.

Se si verifica una controversia legale, come faccio a sapere chi detiene realmente l'indirizzo e-mail? Come evitare il ripudio?

Perché a quanto pare a nessuno importa?

In realtà alcune persone si preoccupano, specialmente in Italia (ti lascio capire perché). In particolare, infocert.it propone il riconoscimento web.

( link )

Vedi anche

link

In sintesi, otterresti un ID digitale dopo aver mostrato il tuo vero ID a qualcuno, forse un ufficiale.

In Belgio, si propongono di inserire un certificato nella carta d'identità.

Un modo intermedio (più sicuro di e-mail, più leggero del riconoscimento de visu o rendere smart tutte le carte d'identità) potrebbe essere basato sul cellulare GSM, in quanto non è normalmente possibile (?) acquistare una carta SIM senza mostrare il proprio ID e l'acquirente è responsabile per il suo uso e può revocarlo in caso di perdita.

Conosci la firma digitale basata sulla carta SIM? Google fornisce alcune risposte ma non ho trovato nulla di pratico.

Sono interessato a soluzioni pratiche ma anche consigli teorici per favore.

digital-signature non-repudiation

posta Pierre ALBARÈDE 01.12.2015 - 01:02

fonte

1 risposta

Leggi altre domande sui tag digital-signature non-repudiation

Determinazione del tempo necessario per scaricare le IV su 802.11b / g / n Come trovo il numero di relazioni tra utente e permesso in DAC e RBAC

score 0 · Answer 1

Questo è essenzialmente lo stesso problema con il certificato SSL convalidato dal dominio. Un certificato valido per il dominio o un certificato di identità e-mail afferma che stai parlando con un sistema / qualcuno autorizzato a utilizzare il dominio / l'indirizzo email, ma non lega l'indirizzo con alcuna identità reale.

Un certificato DV o indirizzo e-mail non può essere utilizzato per verificare se il proprietario dell'indirizzo è una persona decente a fare qualsiasi attività commerciale vuoi fare con loro o che la persona / entità dietro il certificato è chi pensi che siano . Sei ancora lasciato a te stesso per determinare se l'indirizzo email che hai è l'indirizzo email corretto della persona con cui vuoi comunicare.

Il valore del certificato di posta elettronica è che semplifica la verifica del certificato perché parte del processo di verifica era già stato eseguito dall'autorità di certificazione. L'autorità di certificazione ha verificato che il certificato appartenga al proprietario autorizzato dell'indirizzo e-mail. Quindi tutto ciò che devi fare è verificare che il certificato appartenga alla persona che hai di fronte.

Se incontri qualcuno di cui ti fidi di persona e ti dice il suo indirizzo email e dove ottenere il suo certificato, puoi verificare che il certificato possa essere usato per inviare email al proprietario di quell'indirizzo senza che debbano leggere il messaggio Impronta digitale di certificato di persona (come sarebbe necessario con GPG se non si dispone già di una connessione attraverso la rete di fiducia).

Ci sono diversi problemi qui. Se non ti fidi della persona, allora non hai motivo di credere alla loro affermazione che l'indirizzo di posta elettronica appartiene davvero a loro. Tuttavia, si può ancora essere sicuri che se la persona non possiede effettivamente l'indirizzo e-mail, non potrà ricevere e-mail inviate a quell'indirizzo o inviare e-mail firmate da quell'indirizzo, poiché presumibilmente non avrà il chiave privata corrispondente a quell'indirizzo e-mail e l'autorità di certificazione non l'avrebbe emesso.

Se non ti fidi dell'affermazione del suo indirizzo email da parte della persona, puoi semplicemente inviare un'email all'indirizzo con una parola segreta e se può leggere la parola segreta di persona, puoi essere certo che la persona di fronte a te c'era la chiave privata corrispondente al certificato.