SINOSSI
E' possibile far firmare a qualcuno un documento di word con qualsiasi strumento di firma digitale (io ho fatto la prova con l'ottimo DiKe di InfoCamere, ma voi sperimentate con il tool che piu' vi piace) e fare si' che in seguito il testo venga modificato in un modo arbitrario, senza che lo strumento di verifica della firma noti alcunche' di anomalo.
SPIEGAZIONE
Dal momento che la matematica non e' un'opinione, e che l'implementazione degli algoritmi di firma usata negli strumenti di firma digitale a valore legale e' sicura, potete immaginare che ci sia un "trucco", spiegato nel topic della mail. I "campi attivi" dei documenti Word (ma anche di altri formati di documento) nelle ultime versioni si aggiornano automaticamente all'apertura del file.
Dal momento che DiKe firma il file - e non il contenuto testuale dello stesso - la "rappresentazione" che Word ne da' puo' cambiare, senza che per questo l'algoritmo di verifica trovi alcunche' di strano, in quanto il file - effettivamente - non viene modificato.
In buona sostanza, se un utente crea un documento con dei contenuti dinamici (per avere un esempio banale potete usare il campo "data" che si aggiorna automaticamente, ma utilizzando una condizione "if" potete metterci qualsiasi tipo di testo), e lo sottopone a qualcun altro per la firma, questi non si renderà assolutamente conto che sta firmando un documento con dei campi variabili (a meno che lo esamini con attenzione in word prima di firmarlo in dike, in quanto il visualizzatore di DiKe non segnala assolutamente questo tipo di campi, che in Word vengono sottolineati con uno sfondo grigio).
In seguito alla decriptazione e alla verifica della firma, i campi verranno aggiornati automaticamente, e possono produrre virtualmente qualsiasi testo, mentre DiKe segnala allegramente che la firma è "valida"
Alex Gantmann ha segnalato per primo questo tipo di problemi su BugTraq.
VENDOR STATUS
InfoCamere ha dichiarato di essere gia' a conoscenza della problematica, ma di ritenerla non eccessivamente pericolosa in quanto il formato .doc NON e' utilizzabile per la firma a "valore legale" (questo e' un dettaglio che e' sfuggito a me ma credo anche a tanti altri... quali sono i formati che hanno valore ?), ma e' stato incluso tra i formati supportati da DiKe in quanto "richiesto" dagli utenti. Tuttavia stanno cercando di contattare Microsoft per trovare un modo di disabilitare questo autoaggiornamento nella visualizzazione, o di "bloccare" i documenti contenenti dei campi. Questa la loro mail ufficiale di risposta:
In riferimento alla sua segnalazione la informo che abbiamo attivato Microsoft
per dare risposta al problema. Le invio comunque i riferimenti che ci portano
a considerare un documento word non sempre affidabile :
Deliberazione
n. 51/2000 del 23 novembre 2000 che in particolare all' art. 4 prevede :
<< d) l'immutabilità nel tempo del contenuto e della sua struttura. A tale fine i documenti informatici non devono contenere macroistruzioni o codice eseguibile, tali da attivare funzionalità che possano modificarne la struttura o il contenuto; >>
Le nostre applicazioni prevedono infatti documenti in formato PDF o TXT
o TIF
Sarà comunque nostra cura evidenziare maggiormente questo aspetto nella
prossima release di DIkE
Nella prima versione infatti proprio per ovviare a questo problema avevamo inibito
la possibilità di firmare con documenti word.
Su segnalazione di alcuni utenti abbiamo modificato l' applicazione per garantire
anche questo formato.
Distinti saluti.
Pio Barban ( pio.barban@infocamere.it )
A parte il fatto che la norma in questione pare mirata ai documenti delle PP.AA. e non a tutti i documenti firmati digitalmente, a mio parere (e non solo mio) il modo in cui viene mostrato il documento (con il testo "modificato" nella schermata di DiKe e l'indicazione "Firma valida" in cima) e' in ogni caso abbastanza fuorviante, e l'articolo 10 delle regole tecniche (DPCM 8 febbraio 1999) stabilisce al comma 1 che "Gli strumenti e le procedure utilizzate per la generazione, l’apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce".
Credo che per tutti gli altri strumenti di firma vi siano problemi analoghi, sarebbe carino sapere se qualche vendor ha trovato una soluzione creativa.
Altri strumenti che sono stati verificati vulnerabili a questo tipo di problemi sono PosteCert del certificatore Postecom (le Poste Italiane) e DigitalSign di CompEd, una software house di Genova. Ma è lecito aspettarsi che il problema, essendo di tipo legislativo quanto progettuale, sia condiviso da tutte le applicazioni.
APPROFONDIMENTI
Consiglio il bell'articolo di Corrado Giustozzi su Interlex per comprendere appieno in modo divulgativo il problema e i suoi confini. Per una disamina legale approfondita rimando a questo articolo dell'avv. Cammarata
RACCOMANDAZIONE
In mancanza di rimedi certi, i documenti in formato Word, ed in generale tutti i documenti in cui vi siano caratteristiche di scripting e di campi automatici, non dovrebbero essere considerati "validi" nemmeno se firmati.
Torna alla home
Questo documento può essere riprodotto a fini scientifici e divulgativi, in toto o in parte, purchè venga dato il dovuto credito all'autore