[Linuxtrent] (Presunti) attacchi alla firma digitale.

• From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Fri, 27 Jun 2008 09:22:24 +0200

Forse qualcuno ha letto l'articolo[1] di Diego Zanga su punto-informatico,
in cui si segnala la notizia, che su altri siti [2] viene riportata in
maniera facilona
come "falsificazione". L'articolo di Diego, e i commenti in [2]
(sottolineo la particolare efficacia di quello di Franco Ruggieri,
soprattutto nel citare la letteratura tecnica europea che è assai poco
nota ) spiegano perfettamente
perchè la firma in questione, pur essendo tecnicamente valida, non lo
è su quello
giuridico, e quindi il problema non abbia grande rilevanza pratica.

Siamo comunque certamente di fronte ad un problema, che non è certo
nuovo, come ricorda anche interlex[3],
già nel 2002 si discuteva [4] (notare anche i contributi [5][6] di
Andrea Gelpi, tornato da poco sulla nostra lista :-)  ) sui problemi
derivanti dal fatto che l'attacco più ovvio alla firma consista
proprio nell'agire
sull'interprete del documento informatico, cioè sul modo in cui una
sequenza di byte si trasforma in qualcosa di visibile
al firmatario.
Nel caso in esame, come giustamente è stato sottolineato sia da Diego
che da Corrado Giustozzi [7],  il problema è assai più
sensibile su alcune piattaforme (guardacaso, quella più diffusa è tra
queste) perchè basta cambiare
nome ad un file per cambiarne anche il visualizzatore.
Il problema specifico tutto sommato si risolve in maniera abbastanza
semplice, come è stato fatto in Slovacchia (dove si è scelto anche di
restringere drasticamente i formati file ammessi alla firma [8] ) ed
Estonia, aggiungendo
alle informazioni firmate anche alcune metainformazioni (come il
mime-type) sul contenuto.
Credo che questa cosa sia già allo studio.

Il problema del visualizzatore e della sua affidabilità (in
letteratura Trusted Viewer) non si esaurisce qui comunque, e rimango
dell'opinione che usare formati e visualizzatori liberi potrebbe
aiutare molto.

Ciao,
Roberto

[1] http://punto-informatico.it/p.aspx?i=2332971&pall=1
[2] 
http://www.pubblicaamministrazione.net/infrastrutture-it/news/1001/firma-digitale-trovato-sistema-di-falsificazione.html
[3] http://www.interlex.it/docdigit/baco2008.htm
[4] http://www.interlex.it/docdigit/bachi5.htm
[5] http://www.interlex.it/docdigit/gelpi2.htm
[6] http://www.interlex.it/docdigit/gelpi3.htm
[7] http://www.interlex.it/docdigit/corrado39.htm
[8] 
http://www.nbusr.sk/ipublisher/files/nbusr.sk/elektronicky-podpis/legislativa/9/specifyingcontentformalspecofdocqes_en_071.pdf
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: (Presunti) attacchi alla firma digitale.
    • From: Gelpi Andrea

Other related posts:

• » [Linuxtrent] (Presunti) attacchi alla firma digitale.
• » [Linuxtrent] Re: (Presunti) attacchi alla firma digitale.
• » [Linuxtrent] Re: (Presunti) attacchi alla firma digitale.
• » [Linuxtrent] Re: (Presunti) attacchi alla firma digitale.

1. Home
2. linuxtrent
3. Archive
4. 06-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---