[Openpec-devel] Riepilogo chat OpenPEC del 2.08.2005

SourceForge Headquarters 225 Broadway Suite 1600 San Diego, CA 92101 +1 (858) 422-6466

Ciao a tutti,=20
la chat di marted=EC scorso ha ufficialmente dato il via alle attivit=E0 di
sviluppo per OpenPEC2.

In chat abbiamo cercato di fare il punto sull'analisi delle modifiche
proposte a OpenPEC per supportare le nuove regole tecniche.

Altro obiettivo era quello di dividere all'interno della comunit=E0 degli
utenti alcuni task (sia sviluppo che documentazione).
IMPORTANTE: il "recruiting" non =E8 concluso. Se potete/volete aiutare per
favore fatevi avanti scrivendo a:
info _AT_ openpec _DOT_ org
o in mailing-list.=20
Arigatou gozaimasu!

Il punto di partenza della chat =E8 stato il documento di analisi redatto da
flazan e disponibile alla URL:
http://www.openpec.org/docs/OpenPec2-ATTIVITA-0%203.pdf

Ecco i punti principali dibattuti marted=EC:

# GESTIONE LOG E MARCA TEMPORALE #

Le nuove linee guida impongono che i log vengano archiviati periodicamente
(almeno giornalmente: cfr. art. 10 dello schema di decreto del CNIPA) e che
vengano "marcati temporalmente".
L'apposizione della marca consiste nella produzione di un hash dal file e
nel suo invio a una TSA (Time Stamp Authority). La TSA restituisce la marca
temporale, ovvero l'hash firmato con la sua chiave privata. La marca
temporale viene aggiunta al file firmato originale, generando un nuovo file
con estensione '.m7m' in formato S/MIME (cfr. http://www.net4u.it/ntp.html)=
.

Per OpenPEC 2.0 abbiamo pensato di dividere il problema in due:

1. gestione dei file di log.
Abbiamo deciso di valutare l'uso del servizio syslog-ng (cfr.
http://www.balabit.com/products/syslog_ng/) che presenta i seguenti
vantaggi:
- essendo un'estensione del syslog non va toccato il codice attuale di
OpenPEC
- permette di memorizzare gli eventi non solo su file ma anche su DB (tra
gli altri sono supportati MySQL e Postgres). E' probabile (ma bisogna
approfondire) che sia possibile memorizzare gli eventi _contemporaneamente_
su file e su DB. Le informazioni del file saranno quelle "ufficiali", da
archiviare e su cui verr=E0 apposta la marca temporale. Il DB, il cui uso sar=
=E0
opzionale, potr=E0 invece essere utilizzato a fini statistici e di
monitoraggio.

2. processo di archiviazione e apposizione della marca temporale.
Sar=E0 necessario sviluppare un demone che periodicamente (impostazione da
configurazione) provveder=E0 a recuperare i file prodotti da syslog-ng nel
periodo di riferimento, li unir=E0 in un unico file (se per caso si presentan=
o
in file diversi: non so se =E8 possibile configurare syslog-ng per non fargli
mai "spezzare" un file di log), generer=E0 la hash, la invier=E0 alla TSA per
ottenere la marca temporale e generer=E0 il file .m7m .

Esiste uno standard Internet chiamato TSP (RFC-3161: cfr.
http://www.ietf.org/rfc/rfc3161.txt) che regola la comunicazione con una
TSA. TSP funziona con diversi protocolli di trasporto, es. socket e
HTTP/HTTPS.
Non =E8 chiaro per=F2 se i certificatori italiani utilizzano questo protocollo.
Per OpenPEC quindi sarebbe utile sviluppare un modulo Perl per la gestione
della marca temporale, possibilmente compatibile con TSP.

Nota bene: non =E8 chiaro se da un punto di vista legale _=E8 obbligatorio_
appoggiarsi a TSA esterne. Il costo di ogni marca temporale pare che si
aggiri intorno ai 0.30 EUR (info non confermata).

Da quanto detto si evince che il problema della gestione dei log in OpenPEC
2.0 =E8 solo in parte tecnico.
Per la parte di sviluppo Giacomo si =E8 offerto di dare una mano: per chiarir=
e
tutte le problematiche della marcatura c'=E8 bisogno del contributo di tutta
la comunit=E0. Se avete informazioni per favore fatevi avanti.

# ALTRI TASK DI SVILUPPO ASSEGNATI #

- interfacciamento con sistemi antivirus: =E8 attualmente in sviluppo da
flazan e dovrebbe essere pronto tra breve.

- gestione della firma mediante moduli HSM: questo =E8 il prossimo task in cu=
i
noi di Ksolutions (il mitico flazan in primis) saremo impegnati.

Tutti gli altri task indicati nel documento di analisi (es. il modulo di
gestione delle ricevute) non sono stati per ora assegnati.

PER FAVORE CHI FOSSE INTERESSATO A CONTRIBUIRE SI FACCIA AVANTI! TKS!

# DOCUMENTAZIONE #
Il task di produzione della documentazione di OpenPEC 2.0 non deve essere
sottovalutato: chi pu=F2 dare una mano per favore si faccia avanti sin da ora=
.

Da un punto di vista tecnico una prima cosa da chiarire sono le varie
possibilit=E0 di installazione di OpenPEC, ossia in presenza di altri domini
non certificati o solo per domini certificati, e ancora un solo dominio e
pi=F9 domini. Farebbe comodo un documento che faccia una chiara distinzione
fra questi casi.
Per questo task dovremmo aver trovato un volontario.

Inoltre dopo l'uscita del decreto farebbe comodo avere una guida per
spiegare ai gestori tutto quello che devono fare per certificarsi. Farebbe
anche comodo raccogliere dei documenti di esempio che devono essere
presentati al CNIPA, tipo il contratto da proporre agli utenti finali.

E' tutto: a risentirvi presto in ML o in chat!

Saluti a tutti/e, buone ferie a chi le far=E0,
Dex
--=20
Luca De Santis
Ksolutions spa, Gruppo KATAWEB
via Lenin 132/26
56017 S. Martino Ulmiano (PI) - ITALY
tel.: +39 050 898 563 (direct)
mobile: +39 335 7376 153
fax: +39 050 861 200
email: des...@ks...
web: http://www.ksolutions.it