I: Re[26]: Sconfinati CAMPI di Cavoli Amari

>Archivio: Settembre 2002 ml@sikurezza.org
>Soggetto: Sconfinati CAMPI di Cavoli Amari
>Mittente: Stefano Zanero
>Data: 9 Sep 2002 08:27:35 -0000
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
 
- - ---- SINOSSI ----
 
>E' possibile far firmare a qualcuno un documento di word con
>qualsiasi strumento di firma digitale (io ho fatto la prova con
>l'ottimo DiKe di InfoCamere, ma voi sperimentate con il tool che piu'
>vi piace) e fare si' che in seguito il testo venga modificato in un
>modo arbitrario, senza che lo strumento di verifica della firma noti
>alcunche' di anomalo.
 
Anche nel più diffuso e documentato PDF si possono inserire dei campi variabili che si modificano in diverse condizioni.
Usando il java script si può realizzare un file che al click del mouse  mostra o nasconde alcuni campi e, ovviamente, il software di firma digitale (qualunque) lo considera valido e integro (testato e documentato sia con Dike di Infocamere, con @sign di Finital e con Digital sign di Comped  e con ArchiFirma prodotto dalla mia azienda.
Quindi il problema , come ha affermato MaNic, non è  legato all'algoritmo di hash utilizzato o alla debolezza del sistema di crittografia dell'impronta o nella sicurezza della smart card, ma è nella scelta del file da firmare che, a mio parere, può essere solo un  tif .
Difatti considero corretta ed ineccepibile l'affermazione dell'AIPA che nella citata delibera 51/2000 afferma che i formati utilizzati devono essere immutabili e questa norma va prontamente e fermamente estesa anche ai privati (a mio parere vale anche per loro come tutte le norme AIPA anche se è vero quel che dice Stefano Zanero, cioè che nella suddetta delibera non c'è scritto). 
Personalmente considero quindi il progetto Infocamere (che prevede il deposito dei bilanci in pdf ) assurdo rischioso e inadeguato al limite dell'illegale. Ritengo anche che infocamere sia da considerare un ente pubblico visto che svolge una pubblica funzione e deve sottostate alla delibera 51/2000.
Ritengo anche giusta la denuncia di Comped nei confronti di Infocamere che in questa operazione ha abusato della sua posizione dominante per turbare un mercato.
Permettetemi però solo due parole in merito alla nota di Simo Sorce sulla sicurezza della smart card, parlando sempre della operazione Infocamere, si è arrivati al punto che un commercialista può richiedere il rilascio di una firma digitale e asseverare che questa è stata consegnata personalmente al richiedente. Questo è veramente allucinante, e come andare a fare la carta d'identità in drogheria. Non se avete capito bene il mio commercialista richiede per mio conto la smart card, allega un mio documento di identità firmato (ne potrebbe avere a decine gliene do uno ogni volta che faccio una dichiarazione sostitutiva) sarà lui a ricevere la smart card , sarà lui a richiedere l'attivazione, mi chiederà di utilizzare il lettore di smart card prodotto da  xxx di Napoli (addirittura su un sito legato all'ordine dei ragionieri rggiungibile da italia.gov è specificato che non si possono usare altri lettori). Questo è, a mio parere, l'aspetto più assurdo che da al documento informatico così concepito un valore di sicurezza pari a 0
 
E il ministro stanco latita.
 
Per quanto concerne la firma dei file doc in Office xp  vedi il post di Fabio Mazzocchi , è dichiaratamente non valida, comunque se l'utente vuole aggiungere la firma il programma lo avverte sia nel caso di oggetti o macro che potrebbero determinare problemi di visualizzazione del documento sia del fatto che la firma non ha valore legale. Fino che non richiedi l'aggiornamento dei campi ti fa vedere i valori originali (c'è un errore nella traduzione del messaggio ma il concetto è chiaro)
 
Mi sembra serio il problema della verifica della firma a certificato scaduto vedi post di .  
 
In ogni caso ritengo che il documento informatico sia una cosa molto più complessa e ampia di quello che si può immaginare confrontandolo con il documento cartaceo e la firma digitale apre orizzonti ben più ampi . Non mi allungo e rinvio il discorso ad una eventuale futura mail se qualcuno è interessato all'argomento ma nel vero documento informatico anche la mutabilità delle visualizzazione potrebbe essere un elemento di validità. 
 
Qualcuno a fatto l'esempio della firma digitale di un file .exe la cui esecuzione fornisce N risultati, e se proprio quegli N risultati fossero la "manifestazione dell'atto giuridicamente rilevante" ?  
 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List