Voto elettronico NA

Wincom ariosto a WINCOM.IT
Sab 24 Mar 2001 10:55:27 CET


At 15.59 23/03/01 +0100, Antonio Ruggiero wrote:

>         In merito alle modalita' tecniche che si adotteranno per
>le operazioni di voto sulla lista ITA-PE, suggerirei di prendere
>in considerazione anche la possibilita' di adoperare una tecnologia
>di firma digitale a chiave asimmetrica (PGP per esempio), almeno
>quando il voto e' palese. Mi e' sembrato di capire che molti
>iscritti alla NA (me compreso) utilizzano gia' questo tipo di
>tecnologia.

Qualunque cosa si decida di fare, suggerirei di evitare assolutamente l'uso
di Verisign come ente certificatore. Leggete qui...

To: teach-sicurezza a teach.it
Reply-To: teach-sicurezza a teach.it
Date: Fri, 23 Mar 2001 09:42:19 +0100
From: Antonio Lioy <lioy a polito.it>
Organization: Politecnico di Torino
Subject: grave problema - falsi certificati di MS come software publisher
Sender: owner-teach-sicurezza a eureka.lucia.it

Utenti MS tremate :-)
Bella storia: qualcuno è riuscito a truffare Verisign ed a farsi
rilasciare due certificati come "Microsoft Corporation". Il brutto è che
sono certificati validi per Code Signing e quindi quest'individuo può
ora generare software, applet Active-X e macro di Office che appaiono
essere state create da MS!!!
Si noti che Verisign ha revocato i certificati in oggetto inserendoli
nella propria CRL, ma poiché i certificati emessi non contengono il
campo CDP (CRL Distribution Point) la CRL non viene controllata
automaticamente dal sw che li riceve.
La storia completa:
http://news.cnet.com/news/0-1003-200-5222484.html?tag=tp_pr
Le contromisure che MS sta per approntare:
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
Cordialmente,
Antonio Lioy
P.S. consolazione: poiché si tratta di certificati di Verisign classe 3,
se qualcuno venisse danneggiato può chiedere a Verisign fino a 100.000
USD di rimborso per danni (non mi è chiaro se per ogni computer
danneggiato o globalmente per ogni ditta / utente danneggiato).




Cordiali saluti.
Gian Carlo Ariosto

  /*\  .. . . . . . . . . . . . .
  \ / . ASCII Ribbon Campaign .
   X .- NO HTML/RTF in e-mail .
  / \ .- NO Word docs in e-mail.
/   \ .. . . . . . . . . . . . .



Maggiori informazioni sulla lista ita-pe