Fidati delle autorità di certificazione

1

Se io come laico non sbaglio, ci sono controlli bancari, sia interni che nazionali sviste, del lavoro svolto dai dipendenti. Questi sono apparentemente efficaci, dal momento che i dettagli delle transazioni possono essere verificati e verificati dalle registrazioni. Esistono essenzialmente controlli comparabili del lavoro dei dipendenti coinvolti nelle firme digitali, prendendo in considerazione anche il fatto che in molti casi più di una CA sono coinvolte in una transazione?

Ho appena trovato un interessante articolo sulle firme digitali: D. Adamski et al .: Why Digital Signatures Fail - Concetti legali per la validità a lungo termine in Austria, Germania e Polonia, in AU Schmidt et al., Long-Term e Dynamical Aspetti dell'informazione, pp. 113-124, Nova Sci. Publ., 2007.

    
posta Mok-Kong Shen 20.06.2014 - 08:40
fonte

1 risposta

1

Vedi Webtrust per un'introduzione su ciò che viene solitamente fatto con CA.

Un punto fondamentale è che in molti paesi le banche devono conformarsi alle normative esistenti applicate da amministrazioni dedicate. Tali regolamenti e sistemi sono ancora nascenti nel caso delle autorità di certificazione e delle firme digitali; quindi la situazione non è ancora stata chiarita. Ci si può aspettare che a un certo punto emergano controlli comuni (tornare indietro in 40 anni circa ...).

Nel frattempo, ogni attore nel business delle firme avrà i propri requisiti e impegni contrattuali. Ad esempio, Microsoft, nel loro Programma di certificazione root , elenca una serie di requisiti, tra cui:

The CA must complete an audit and submit audit results to Microsoft every twelve (12) months. The Audit must cover the full PKI hierarchy that will be enabled by Microsoft through the assignment of Extended Key Usages (EKUs). All certificate usages that we enable must be audited periodically. The audit report must document the full scope of the PKI hierarchy including any sub-CA that issues a specific type of certificate covered by an audit. Eligible audits include:

In ogni caso, l'obiettivo ultimo per un sistema di firma digitale è ripristinare l'onere della prova : se c'è una controversia tra due parti A e B , A sostenendo che una determinata firma (presumibilmente da B ) lega B , mentre B finge che la firma è falsa (o potrebbe essere stata falsificata, quindi non può essere considerata vincolante), quindi il sistema di firma digitale è "strong" se il giudice stima che spetti a B dimostrare la potenziale somiglianza di la firma, mentre A può semplicemente sedersi e guardare. Tutti i controlli, i regolamenti, i controlli e le strutture InfoSec sono mezzi con cui questo obiettivo può essere raggiunto, all'interno di un quadro giuridico che:

  1. dipende dalla giurisdizione e
  2. non esiste ancora (o non completamente) in molte giurisdizioni.
risposta data 20.06.2014 - 15:34
fonte

Leggi altre domande sui tag