Sconfinati CAMPI di Cavoli Amari

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- - ---- SINOSSI ----

E' possibile far firmare a qualcuno un documento di word con
qualsiasi strumento di firma digitale (io ho fatto la prova con
l'ottimo DiKe di InfoCamere, ma voi sperimentate con il tool che piu'
vi piace) e fare si' che in seguito il testo venga modificato in un
modo arbitrario, senza che lo strumento di verifica della firma noti
alcunche' di anomalo.

- - ---- SPIEGAZIONE ----

Dal momento che la matematica non e' un'opinione, e che
l'implementazione degli algoritmi di firma usata negli strumenti di
firma digitale a valore legale e' sicura, potete immaginare che ci
sia un "trucco", spiegato nel topic della mail. I "campi attivi" dei
documenti Word (ma anche di altri formati di documento) nelle ultime
versioni si aggiornano automaticamente all'apertura del file.

Dal momento che DiKe firma il file - e non il contenuto testuale
dello stesso - la "rappresentazione" che Word ne da' puo' cambiare,
senza che per questo l'algoritmo di verifica trovi alcunche' di
strano, in quanto il file - effettivamente - non viene modificato.

In buona sostanza, se un utente crea un documento con dei contenuti
dinamici (per avere un esempio banale potete usare il campo "data"
che si aggiorna automaticamente, ma utilizzando una condizione "if"
potete metterci qualsiasi tipo di testo), e lo sottopone a qualcun
altro per la firma, questi non si renderà assolutamente conto che sta
firmando un documento con dei campi variabili (a meno che lo esamini
con attenzione in word prima di firmarlo in dike).

In seguito alla decriptazione e alla verifica della firma, i campi
verranno aggiornati automaticamente, e possono produrre virtualmente
qualsiasi testo.

Alex Gantmann ha segnalato per primo questo tipo di problemi su
BugTraq.

- - ---- VENDOR STATUS ----

InfoCamere ha dichiarato di essere gia' a conoscenza della
problematica, ma di ritenerla non eccessivamente pericolosa in quanto
il formato .doc NON e' utilizzabile per la firma a "valore legale"
(questo e' un dettaglio che e' sfuggito a me ma credo anche a tanti
altri... quali sono i formati che hanno valore ?), ma e' stato
incluso tra i formati supportati da DiKe in quanto "richiesto" dagli
utenti. Tuttavia stanno cercando di contattare Microsoft per trovare
un modo di disabilitare questo autoaggiornamento nella
visualizzazione, o di "bloccare" i documenti contenenti dei campi.

A mio parere, tuttavia, il modo in cui viene mostrato il documento
(con il testo "modificato" nella schermata di DiKe e l'indicazione
"Firma valida" in cima) e' abbastanza fuorviante.

Credo che per tutti gli altri strumenti di firma vi siano problemi
analoghi, sarebbe carino sapere se qualche vendor ha trovato una
soluzione creativa.

- - ---- RACCOMANDAZIONE ----

In mancanza di rimedi certi, i documenti in formato Word, ed in
generale tutti i documenti in cui vi siano caratteristiche di
scripting e di campi automatici, non dovrebbero essere considerati
"validi" nemmeno se firmati.

Cordiali saluti,
Stefano Zanero
- - ---------------------------
Secure Network
www.securenetwork.it

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

iQA/AwUBPXipbvoZM9DQ0BaFEQKeQQCgqUadzvx0IedYWN6mFga4JsJf5DMAn2BG
JVjRICoDhYiYt8yuud8BQrfw
=mk12
-----END PGP SIGNATURE-----



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List