Problemi firma digitale: documento salvato può essere alterato e modificato sfruttando una falla
Francesco Buccafurri, ordinario di Sistemi di Elaborazione delle Informazioni presso l'Università Mediterranea di Reggio Calabria ha presentato i risultati di alcuni studi condotti sulla firma digitale, identificando una falla.
Francesco Buccafurri, ordinario di Sistemi di Elaborazione delle Informazioni presso l’Università Mediterranea di Reggio Calabria, ha inviato una lettera a Punto Informatico per precisare alcune modalità operative e problemi di sicurezza che riguardano la firma digitale.
Buccafurri, insieme a Gianluca Caminiti e Gianluca Lax, ha presentato i risultati di alcuni studi condotti sulla firma digitale in un articolo intitolato «A new Attack on Digital Signature», pubblicato negli atti della «IEEE International Conferenze on the Applications of Digital Information and Web Technologies».
Buccafurri e colleghi hanno dimostrato una vulnerabilità del meccanismo utilizzato per generare e verificare i documenti firmati. L’attacco è stato realizzato con software europei, in particolare con il programma ufficiale del CNIPA (Centro Nazionale per Informatica nella Pubblica Amministrazione), e ha prodotto risultati positivi (ovvero l’attacco è andato a segno) in tutti i sistemi operativi, in quanto sfrutta proprio una caratteristica comune a molti OS.
Buccafurri, nella lettera, spiega nel dettaglio il metodo seguito, i risultati e le conseguenze ottenute. In un file bitmap, mediante un editor esadecimale, sono stati modificati alcuni byte, inserendo il tag HTML per l’apertura di commento. Il file HTML è stato accodato al file modificato dell’immagine. Supponiamo che il file bitmap iniziale rappresenti il testo I. Se si cambia l’estensione da .bmp a .htm, il file sarà aperto dal browser che mostrerà un altro testo invece di I.
Una situazione che si riproduce su ogni sistema operativo e che quindi non dipende da una vulnerabilità intrinseca dei sistemi operativi, ma dal fatto che una prefissata sequenza di bit può essere interpretabile in formati differenti producendo contenuti molto diversi. Come esemplifica lo stesso Buccafurri, «non siamo quindi di fronte ad una falsificazione di firma ma ad una alterazione di documento, quindi ad una tecnica che consente di realizzare falsificazioni di documenti informatici con una tecnica discretamente insidiosa».
Autore: Pierluigi Emmulo
Ultimi articoli correlati:
- Firma digitale falsificata in Italia? La notizia non trova conferme. Ma un piccolo bug esiste.
- Documenti elettronici e mail certificate. E la firma digitale su pen drive.
- Firma digitale per sosituire tutte le password ed averne una una unica per sempre
- Configurare firma nella posta elettronica: come far apparire l'ultima news o post inserito
- Articolo precedente Test del DNA personale per scoprire malattie: Google lo sconta a 399 dollari. Disponibile in Italia.
- Articolo successivo Virus nei video Internet: online programma che realizza siti truffa come youtube. Senza programmare