c.m.g
26-06-2008, 07:06
giovedì 26 giugno 2008
La firma truffaldina (pagina 1 di 2)
Roma - Un brivido ha scosso la Rete e forse il Ministero delle Finanze, per una notizia diffusa in questi giorni e forse pubblicata con un po di leggerezza dentro e fuori dal Web: "Falsificata la firma digitale". La fonte originale della notizia è il Prof. Francesco Buccafurri del Dipartimento DIMET, Facoltà di Ingegneria dell'Università Mediterranea di Reggio Calabria, che ha pubblicato un breve documento, con un esempio di attacco alla firma digitale (http://www.unirc.it/firma/)
Dal suo sito, la notizia è girata per la rete tramutandosi da attacco alla firma in falsificazione della firma.
L'esempio di attacco del Prof. Buccafurri mostra come, cambiando l'estensione di un file, il contenuto del file che viene visualizzato sia differente.
Nel file dell'esempio preparato dal prof.re ovviamente non cambia il contenuto: il problema è nel visualizzatore per questi documenti, il quale identifica il contenuto in base all'estensione e mostra di volta in volta una parte diversa dello stesso documento firmato, in base all'estensione del file.
La firma dunque non viene falsificata, dato che è apposta su entrambi i contenuti, e questi non sono separabili se non annullando la validità della firma digitale: una verifica del file permette di identificare il raggiro in pochi minuti, dato che la traccia del misfatto è consultabile in ogni momento e non si puo' nascondere o eliminare.
La diffusione di notizie sulla falsificazione della firma digitale pare pero' aver scatenato il panico in alcuni forum e mailing list della rete, e forse anche presso il Ministero delle Finanze: non è stato ancora possibile ottenere conferma da parte del Ministero, per verificare se effettivamente il problema sia mai giunto al ministero stesso, né ad oggi il ministero ha pubblicato alcun commento in proposito. È quindi tanto più rilevante far chiarezza rapidamente sulla questione.
L'Ing. Giovanni Manca, esperto del CNIPA contattato telefonicamente da Punto Informatico, ha segnalato come questo trucco abbia un discreto valore scientifico, perché per quanto fosse un exploit noto, ad oggi sembra che nessuno si fosse preoccupato di realizzarne un esempio concreto: il trucco pero' non sta preoccupando il CNIPA che ha comunque provveduto alle verifiche del caso.
In ambito FESA (http://www.fesa.eu/) (Forum of European Supervisory Authorities for Electronic Signatures), la questione è già stata giudicata come scientificamente interessante, ma senza alcuna validità pratica, per vari motivi tecnici connessi anche alle legislazioni locali dei paesi europei: il FESA infatti ha già affrontato il problema in passato, dato che questo trucco è noto, ed era già stato analizzato, come un problema indirizzato per lo più al settore delle firma digitale applicata al GIS (Sistema Informativo Geografico).
Volendo citare qualche esempio risolutivo, in Slovenia il trucco è stato evidenziato tempo fa (http://www.nbusr.sk/en/electronic-signature/approved-formats/index.html), quindi risolto inserendo tra i dati della firma anche il nome del documento (nome ed estensione), così da evidenziare immediatamente discrepanze sul file firmato.
Dal punto di vista tecnico: nella firma digitale di un file è possibile inserire degli attributi firmati, tra questi è probabile verrà previsto anche in Italia di inserire il nome completo del file, per prevenire possibili problemi, in modo che le applicazioni per la firma digitale verifichino anche questo attributo.
Parte del problema è infatti causato dai programmi che verificano la firma: il generico programma "made in USA" non si occupa di considerare tutti i requisiti richiesti per la firma digitale dalle varie amministrazioni europee.
Questa notizia continua ==>>
Fonte: Punto Informatico (http://punto-informatico.it/2332971/PI/Commenti/Firma-digitale-falsificata---Egrave--falsa-solo-la-notizia/p.aspx)
La firma truffaldina (pagina 1 di 2)
Roma - Un brivido ha scosso la Rete e forse il Ministero delle Finanze, per una notizia diffusa in questi giorni e forse pubblicata con un po di leggerezza dentro e fuori dal Web: "Falsificata la firma digitale". La fonte originale della notizia è il Prof. Francesco Buccafurri del Dipartimento DIMET, Facoltà di Ingegneria dell'Università Mediterranea di Reggio Calabria, che ha pubblicato un breve documento, con un esempio di attacco alla firma digitale (http://www.unirc.it/firma/)
Dal suo sito, la notizia è girata per la rete tramutandosi da attacco alla firma in falsificazione della firma.
L'esempio di attacco del Prof. Buccafurri mostra come, cambiando l'estensione di un file, il contenuto del file che viene visualizzato sia differente.
Nel file dell'esempio preparato dal prof.re ovviamente non cambia il contenuto: il problema è nel visualizzatore per questi documenti, il quale identifica il contenuto in base all'estensione e mostra di volta in volta una parte diversa dello stesso documento firmato, in base all'estensione del file.
La firma dunque non viene falsificata, dato che è apposta su entrambi i contenuti, e questi non sono separabili se non annullando la validità della firma digitale: una verifica del file permette di identificare il raggiro in pochi minuti, dato che la traccia del misfatto è consultabile in ogni momento e non si puo' nascondere o eliminare.
La diffusione di notizie sulla falsificazione della firma digitale pare pero' aver scatenato il panico in alcuni forum e mailing list della rete, e forse anche presso il Ministero delle Finanze: non è stato ancora possibile ottenere conferma da parte del Ministero, per verificare se effettivamente il problema sia mai giunto al ministero stesso, né ad oggi il ministero ha pubblicato alcun commento in proposito. È quindi tanto più rilevante far chiarezza rapidamente sulla questione.
L'Ing. Giovanni Manca, esperto del CNIPA contattato telefonicamente da Punto Informatico, ha segnalato come questo trucco abbia un discreto valore scientifico, perché per quanto fosse un exploit noto, ad oggi sembra che nessuno si fosse preoccupato di realizzarne un esempio concreto: il trucco pero' non sta preoccupando il CNIPA che ha comunque provveduto alle verifiche del caso.
In ambito FESA (http://www.fesa.eu/) (Forum of European Supervisory Authorities for Electronic Signatures), la questione è già stata giudicata come scientificamente interessante, ma senza alcuna validità pratica, per vari motivi tecnici connessi anche alle legislazioni locali dei paesi europei: il FESA infatti ha già affrontato il problema in passato, dato che questo trucco è noto, ed era già stato analizzato, come un problema indirizzato per lo più al settore delle firma digitale applicata al GIS (Sistema Informativo Geografico).
Volendo citare qualche esempio risolutivo, in Slovenia il trucco è stato evidenziato tempo fa (http://www.nbusr.sk/en/electronic-signature/approved-formats/index.html), quindi risolto inserendo tra i dati della firma anche il nome del documento (nome ed estensione), così da evidenziare immediatamente discrepanze sul file firmato.
Dal punto di vista tecnico: nella firma digitale di un file è possibile inserire degli attributi firmati, tra questi è probabile verrà previsto anche in Italia di inserire il nome completo del file, per prevenire possibili problemi, in modo che le applicazioni per la firma digitale verifichino anche questo attributo.
Parte del problema è infatti causato dai programmi che verificano la firma: il generico programma "made in USA" non si occupa di considerare tutti i requisiti richiesti per la firma digitale dalle varie amministrazioni europee.
Questa notizia continua ==>>
Fonte: Punto Informatico (http://punto-informatico.it/2332971/PI/Commenti/Firma-digitale-falsificata---Egrave--falsa-solo-la-notizia/p.aspx)