PEC Privati e "intestatario"

lore20 · 2021-03-15T20:39:44+00:00

Prenso spunto da una risposta recente di @andreagdipaolo per lanciare l'argomento. Le caselle PEC rilasciate ai privati hanno un'associazione di qualche ti...

mark129

lore20 Quindi se ho capito bene

No, mi pare di capire che... non hai capito bene. Scusa l'orribile gioco di parole.

La PEC è identificazione legale della casella mittente, quello che fa "prova" all'amm.ne è l'identità dei dati contenuti nella domanda con i dati dell'intestatario della casella mittente, è un fatto "in più".

Se per ipotesi alla stessa amm.ne mandi un'altra missiva, per es. un'istanza di accesso agli atti, la sola PEC non prova che tu abbia diritto ad accedere a quegli atti, non rende l'istanza valida solo per quello. O il diritto ad accedere a quegli atti è pubblico (e quindi non è richiesta una specifica identità), oppure ci sarà una terza "cosa", per esempio che l'istanza riguardi gli atti di un concorso a cui l'intestario della PEC partecipi, o l'istanza contiene una delega o procura firmata digitalmente da persona a cui quegli atti sono collegati, etc.

lore20

mark129 Ok, ora è chiaro e mi torna. Quindi nell'ipotesi di un concorso è ragionevole e corretto che venga chiesta la terza cosa per avere una verifica dell'identità anagrafica del richiedente (che poi la terza cosa chiesta spesso sia la firma digitale dei povery(TM), ovvero il pezzo di carta firmato a mano e scansionato, a volte con scansione della CDI è un discorso apparte)

[cancellato]

lore20 Stando a queso blog

È un blog abbastanza "criticone". Non dico che non abbia anche le sue ragioni, ma allora...

lore20 L'autore sostiene anche che in assenza non esiste valore identificativo del mittente

... vale anche per le raccomandate - vai a verificare che chi l'ha inviata è veramente chi dice di essere. Altrimenti ci vorrebbe l'autenticazione di un notaio - ammesso che il notaio non sia corrotto o indotto in errore. Comunque è il vecchio problema dei certificati digitali - tutto dipende dall'affidabilità di chi certifica.

Se volete ridere - o piangere -, la CA utilizzata da una piccola banca come Intesa SanPaolo e proprietà di Infocert - Camerfirma, Spagnola, pensate un po' - rischia di essere eliminata dai principali browser per una serie di cattivi comportamenti:

https://wiki.mozilla.org/CA:Camerfirma_Issues

Evidentemente Messina ha pensato che una banca che fa miliardi di utili deve risparmiare sulla CA....

lore20 le PEC sono firmate con un certificato associato al provider del mittente

Il certificato è associato all'indirizzo email della casella. Il certificato è generato dal provider PEC, il quale a sua volta deve essere certificato, non puoi improvvisarti provider PEC.

Certo, bisognerebbe associare in modo sicuro il certificato al mittente. Mi chiedo però quanto una identificazione "de visu" sarebbe probante se sei un'associazione a delinquere in grado di produrre documenti falsi, ci metti poco a trovare uno che ci metta la faccia (di bronzo) e inganni l'identificatore.

spnick

[cancellato] Evidentemente Messina ha pensato che una banca che fa miliardi di utili deve risparmiare sulla CA....

proprio adesso che praticamente hanno acquisito più del 90% di un noto istituto bancario

rieges

[cancellato] la CA utilizzata da una piccola banca come Intesa SanPaolo e proprietà di Infocert - Camerfirma, Spagnola, pensate un po' - rischia di essere eliminata dai principali browser per una serie di cattivi comportamenti:

Avevo letto la notizia questo pomeriggio... giusto per curiosità: per sistemare la situazione devono cambiare tutti i certificati e aggiornare preventivamente software/app/ecc?

/OT

lore20

[cancellato] Scusami per il tecnicismo e la pignoleria, ma sono abbastanza sicuro che non sia così.

Esempio di mail PEC ricevuta (invita dall'ufficio stato civile di Palermo, indirizzo @cert.comune.pa.it ospitato da legamail).

Ecco come viene mostrato il certificato della busta di trasporto dal webclient di aruba:

Nel Common Name come negli altri campi, non c'è alcun riferimento alla casella mittente. Il certificato è intestato a "Posta Certificata Legalmail" e rilasciato da (issuer) "AgID CA1".

Dubito che "AgID CA1" firmi N certificati a Legalmail per ciascuna casella senza aggiungere nessuna informazione identificativa della casella. Molto più probabile che sia un certificato rilasciato "una tantum" a Legalmail, e Legalmail apponendo la propria firma digitale si assume la responsabilità di fare il bravo postino.

Nota anche l'esito dell'ultimo check "l'indirizzo email del gestore mittente corrisponde a quello del certificato"

[EDIT] La travagliata storia di quando la PEC ha provato ad avere un minimo di auditing tecnico internazionale, proponendosi come RFC6109 https://datatracker.ietf.org/doc/rfc6109/history/

Parte rilevante:

I am Abstaining on this document for a couple of reasons.

First, there were some concerns raised during IETF LC suggesting that this document should not be published even as Informational, should be published as Historic, or should be published as Information with a big note discouraging new implementations of this spec.

Secondly, I don;t think that it specifies well requirements it is trying to fulfil and it doesn't use email infrastructure well while doing that.

However I would support an update to this document targeted at Proposed Standard being worked on in collaboration between Application and Security Areas.

mark129

lore20 Dubito che "AgID CA1" firmi N certificati a Legalmail per ciascuna casella senza aggiungere nessuna informazione identificativa della casella. Molto più probabile che sia un certificato rilasciato "una tantum" a Legalmail, e Legalmail apponendo la propria firma digitale si assume la responsabilità di fare il bravo postino.

E come si diceva una volta, "RTFM" fa sempre bene a chi cerca di capire.
Chi vuole (io no, per es.) forse può partire da qua: https://www.agid.gov.it/it/piattaforme/posta-elettronica-certificata/certificati-gestori-pec-siti-web

[cancellato]

lore20 Scusami per il tecnicismo e la pignoleria, ma sono abbastanza sicuro che non sia così.

Hai ragione, la firma con l’indirizzo del mittente c'è solo se il mittente la firma esplicitamente. È il provider che firmando l'XML allegato alla mail con i dati attesta anche l'origine del messaggio. Non è end-to-end, comunque.

Sarebbe stato meglio far sì che i mittenti avessero tutti un certificato per la firma.

lore20 a PEC ha provato ad avere un minimo di auditing tecnico internazionale,

Ci sono state soluzioni peggiori, come in Germania dove IIRC dovevi usare un plug-in che funzionava solo con Outlook.

Filippo94

spnick Sotto i 18 anni c'è qualche provider che la emette?

Mi pare @LucaTheHacker ne abbia avuto esperienza

spnick

Filippo94 mi ricordo che verso Natale aveva scritto qualcosa a riguardo, anche se mi pare l’abbia fatta con Poste

LucaTheHacker

Filippo94 Sto ancora aspettando l'abilitazione dell'account poste per minori, 3 mesi e passa per dei documenti.

Filippo94

LucaTheHacker Andiamo bene. Solo poste lo fa mi sembra di ricordare dal tuo post di qualche mese fa, niente Aruba purtroppo, corretto?

spnick

Filippo94 Aruba no, ho già provato. Idem Register, dato che me l'avevano regalata all'apertura di un dominio, ma quando ho inviato i documenti hanno rifiutato la richiesta

LucaTheHacker

Filippo94 Aruba purtroppo

Aruba ti permette di avere la pec da minore, ma non puoi registrarti se non hai almeno 18 anni, il senso non so quale sia ma heyyy.

Filippo94

spnick Che non l'ho capita tra l'altro... SPID sì, PEC no.

spnick

Filippo94 ma non è riservato ai maggiorenni SPID?

Filippo94

spnick In certi casi si può: vedi qua.

spnick

Filippo94 però dice che lo fanno per specifiche necessità, e comunque lì menziona solo la CIE (che orami danno a tutti) e il PIN di INPS

lore20

mark129 Mi sono letto (tempo fa, non ricordo esattamente tutto) la RFC, e a giudicare dai commenti dell'IETF che ho linkato poco fa non sono l'unico a pensare che sia un pastrocchio (dal punto di vista tecnico) e che a tratti non sia del tutto chiaro lo scopo che vuole ottenere.

[cancellato]

lore20 Purtroppo è una risposta "burocratica" che si è inventata l'Italia (difatti vale solo qui da noi) storpiando sistemi di comunicazione nati e pensati per fare tutt'altro.

Che poi, firme S/MIME non era più semplice? Forse, ma qualcuno poi sostiene che non ci sarebbe stato un business di aziende para-pubbliche dietro, come ogni cosa che si fa in Italia (chi ha detto SPID? Ho sentito male io?...).

mark129 Sono CA che emettono certificati di canale TLS, non di firma digitale. Negli esempi precedenti, identificava il mail server/MTA di Legalmail. 😉

Nunu00

Ma per inviare la comunicazione di passaggio ad altro operatore in seguito al certificato NeMeSys la PEC deve essere intestata allo stesso intestatario della linea?

lore20

Nunu00

Era la questione originale a cui ha risposto andreadipaolo (citato nel primo post)

Sulla PEC ormai sono sicuro di poche cose, ma di una sì:

Il fornitore non può conoscere nome e cognome dell'intestatario.

Se tu alleghi tutta la documentazione (con copia del documento d'identità dell'intestatario della linea) non dovresti avere problemi. Eventuali comunicazioni in cui ti rifiutano l'istanza potresti riceverle direttamente su quella PEC di un terzo che hai usato.

Stando a quanto dice qui comunque prima del recesso/passaggio va fatto un reclamo.

Nunu00

lore20 Il reclamo dovrei averlo inviato inviato direttamente dal portale misurainternet che permette di inviare automaticamente una PEC all'operatore. A questo punto però io dovrei inviare il secondo certificato dopo i 45 giorni per richiedere il passaggio ad altro operatore e avendo già una PEC mi sembra sprecato comprarne un'altra visto che l'attuale contratto è intestato a mio padre

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile