[Linuxtrent] Re: Ancora sugli attacchi alla firma digitale

• From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Wed, 2 Jul 2008 15:59:08 +0200

Il 2 luglio 2008 12.21, Flavio Stanchina <flavio@xxxxxxxxxxxxx> ha scritto:
> Roberto Resoli wrote:
>>
>> Per chi fosse interessato, si è innescata una discussione tra Franco
>> Ruggieri e Francesco Buccafurri,
>> sempre nei commenti alla notizia su pubblicaamministrazione (dot) net:
>
> Se ho capito bene, l' "attacco" consiste in un file che si apre
> correttamente sia come Windows Bitmap (.bmp) che come HTML, evidentemente
> con contenuti diversi. Quindi, semplicemente cambiando l'estensione al file
> ed aprendolo si vedono due cose diverse.
>
> Secondo me hanno ragione tutti e due: il problema è reale ma non è un
> attacco alla firma digitale in quanto tale. E' noto da sempre che con un po'
> di creatività (e grazie a parser talvolta non troppo pignoli) si riescono a
> confezionare file "polimorfi", diciamo così. L'unica soluzione è associare
> alla firma anche il content-type previsto, come dice Ruggieri.

proprio così.
Il problema non è stimato come grave dal CNIPA, perchè firmare un contenuto
"bifronte" è un po' come firmare la stringa "bla bla bla qui quo qua".
Il contenuto non è giuridicamente rilevante, anche se per accorgersene bisogna
andare ad esaminarne la struttura.

Il grosso problema della firma digitale, è che si perde il contatto
immediato con il contenuto,
cioè agli effetti pratici serve un interprete per valutarne il significato.

E si sa, più intermediari ci sono e più il controllo sull'intero
processo da parte dell'utente vacilla.

Ciò non toglie che il documento firmato digitalmente sia di enorme
utilità nello snellire i processi
di gestione, specie quando la mole di documenti è notevole, e
l'importanza del singolo documento sia abbastanza scarsa.

Insomma la vedo bene per un mandato di pagamento, un po'meno per un contratto.
Per lo meno, bisognerebbe che i criteri di sicurezza sull' *intero*
processo di firma
fossero adeguati all'importanza di ciò che si firma.

ciao,
rob

>
> --
> Ciao, Flavio
>
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] Ancora sugli attacchi alla firma digitale
    • From: Roberto Resoli
  • [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
    • From: Flavio Stanchina

Other related posts:

• » [Linuxtrent] Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
• » [Linuxtrent] Re: Ancora sugli attacchi alla firma digitale

1. Home
2. linuxtrent
3. Archive
4. 07-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---