Firma digitale falsificata? E' falsa solo la notizia

Allora:

"Attraverso questo attacco, è possibile che Tizio firmi un contratto elettronico in formato ritenuto assolutamente sicuro (ad esempio un’immagine bitmap) di valore pari a 1.000 Euro, e che poi il documento firmato appaia al destinatario come un contratto di valore pari a 100.000 Euro, così come la stampa che del documento si potrà fare, semplicemente perché il nome del file firmato (di quello che tecnicamente prende il nome della busta crittografica) viene a posteriori modificato.

E' possibile scaricare qui un file di esempio dell'attacco, chiamato "contratto.bmp", il cui contenuto cambia in funzione dell'estensione (provare salvando il file in locale e rinominandolo in "contratto.htm")."


Se questo è lo stralcio dell'articolo, allora vista la vaghezza (dello stralcio) mi permetto di essere altrettanto vago.

Ammettiamo ci sia una busta crittografica che contiene il documento firmato. Diciamo un p7m. Perfetto, sempre se intuisco la vostra ricerca, il programma di verifica e salvataggio del file firmato, deduce dal nome del file miofile.ext.p7m, l'estensione (ext) e salva il file firmato, dopo la verifica con il nome miofile.ext.

Quindi modifico il nome del file da miofile.ext.p7m in miofile.ext1.p7m, apro il file miofile.ext1 che se è polimorfo visualizza una cosa diversa da quello che ha visto chi lo ha firmato. Visualizza infatti il formato ext1 invece che ext.Corretto?

Per essere ancora più chiari:

Firmo un bel file BMP polimorfo (non mi accorgo di firmare un file polimorfo), poi lo mando a Bill, ma a Bill non ariva miofile.bmp.p7m, ma miofile.html.p7m. A questo punto Bill apre il file e, sorpresa, legge il valore cambiato perché di fatto apre la parte HTML.

Giusto?


Allora il problema qui non è della firma digitale. La firma digitale esegue un hash di TUTTO il file e lo cifra con la chiave privata del firmatario a cui è associato un certificato pubblico.

Il problema qui è di come viene visualizzato un firmato binario complesso e dal firmatario, e dal verificatore della firma.

Quindi la domanda è la seguente:

Io che firmo, mi fido del viewer di Windows per i BMP?

Spero proprio di no e che si utilizzi un viewer "certificato". Tipicamente le CA danno dei loro kit per la firma di file che potrebbero fare delle verifiche sul formato firmato (il fatto che non lo facciano non depone a suo favore).

E anche chi visualizza il file si fida del suo visualizzatore sul suo PC?


Siamo d'accordo che il problema è di come il file firmato venga "visualizzato" all'utente e non nell'algoritmo di firma?

Mi pare che questo sia incontrovertibile.

Certo potremmo obbligare il formato p7m a memorizzare anche i metadati di formato associati al file. Ma chi verifica che il metadato associato sia effettivamente valido?

Il visualizzatore all'atto della verifica della firma, verificherebbe non solo che la firma sia valida ma anche che il formato del file è effettivamente quello dichiarato.

Quindi a questo punto non basterebbe utilizzare dei visualizzatori accreditati che verifichino i formati non solo dalle estensioni?

Se fosse possibile sarebbe meglio mettere a disposizione della collettività un TR che esplichi un pò meglio l'originalità della vostra ricerca.

Oppure dobbiamo comprarci gli atti del congresso non appena l'articolo sarà pubblicato?

Potreste sprecare meno tempo a polemizzare con Cammarata e Giustozzi (che non sono proprio gli utlimi infatto di firma digitale) e fare un sito che esplica più in dettaglio la vostra "scoperta".

Saluti

- Scritto da: riphukio
> Allora:
>
> "Attraverso questo attacco, è possibile che Tizio
> firmi un contratto elettronico in formato
> ritenuto assolutamente sicuro (ad esempio
> un’immagine bitmap) di valore pari a 1.000 Euro,
> e che poi il documento firmato appaia al
> destinatario come un contratto di valore pari a
> 100.000 Euro, così come la stampa che del
> documento si potrà fare, semplicemente perché il
> nome del file firmato (di quello che tecnicamente
> prende il nome della busta crittografica) viene a
> posteriori
> modificato.


ok (se le pare poco...)

>
> E' possibile scaricare qui un file di esempio
> dell'attacco, chiamato "contratto.bmp", il cui
> contenuto cambia in funzione dell'estensione
> (provare salvando il file in locale e
> rinominandolo in
> "contratto.htm")."


ok
>
>
> Se questo è lo stralcio dell'articolo, allora
> vista la vaghezza (dello stralcio) mi permetto di
> essere altrettanto
> vago.



>
> Ammettiamo ci sia una busta crittografica che
> contiene il documento firmato. Diciamo un p7m.
> Perfetto, sempre se intuisco la vostra ricerca,
> il programma di verifica e salvataggio del file
> firmato, deduce dal nome del file
> miofile.ext.p7m, l'estensione (ext) e salva il
> file firmato, dopo la verifica con il nome
> miofile.ext.
>
>
> Quindi modifico il nome del file da
> miofile.ext.p7m in miofile.ext1.p7m, apro il file
> miofile.ext1 che se è polimorfo visualizza una
> cosa diversa da quello che ha visto chi lo ha
> firmato. Visualizza infatti il formato ext1
> invece che
> ext.Corretto?


ok

e questo avviene almeno su Windows,
Unix-like con KDE, Mac OS...

>
> Per essere ancora più chiari:
>
> Firmo un bel file BMP polimorfo (non mi accorgo
> di firmare un file polimorfo), poi lo mando a
> Bill, ma a Bill non ariva miofile.bmp.p7m, ma
> miofile.html.p7m. A questo punto Bill apre il
> file e, sorpresa, legge il valore cambiato perché
> di fatto apre la parte
> HTML.
>
> Giusto?

ok
>
>
> Allora il problema qui non è della firma
> digitale. La firma digitale esegue un hash di
> TUTTO il file e lo cifra con la chiave privata
> del firmatario a cui è associato un certificato
> pubblico.


un sistema è sicuro se non è possibile sfruttare
sue debolezze intrinseche o sfruttare caratteristiche
dell'ambiente in cui è eseguito per determinarene
un comportamento malicious.

Non abbiamo mai affermato nella nostra ricerca
che si tratta di una debolezza degli algoritmi
di firma (inclusi gli hash).
Tuttavia è una debolezza degli strumentoi di firma
compliant alla normativa europea.
E' un problema di rilevanza pratica perchè
l'attacco riesce, e questo è indiscutibile.



>
> Il problema qui è di come viene visualizzato un
> firmato binario complesso e dal firmatario, e dal
> verificatore della
> firma.
>
> Quindi la domanda è la seguente:
>
> Io che firmo, mi fido del viewer di Windows per i
> BMP?
>

come si fida di quello linux/KDE.
Cosi' funzional la firma.
Il discorso della verifica del formato
è troppo complesso, al momento
NESSUNO lo fa.
Ma la ricerca che abbiamo fatto
ha appunto il merito
di evidenziare il problema
e adottare contromisure.



> Spero proprio di no e che si utilizzi un viewer
> "certificato". Tipicamente le CA danno dei loro
> kit per la firma di file che potrebbero fare
> delle verifiche sul formato firmato (il fatto che
> non lo facciano non depone a suo
> favore).
>
> E anche chi visualizza il file si fida del suo
> visualizzatore sul suo
> PC?
>
>
> Siamo d'accordo che il problema è di come il file
> firmato venga "visualizzato" all'utente e non
> nell'algoritmo di
> firma?
>
> Mi pare che questo sia incontrovertibile.


Certo. Ma riguarda strettamente la firma,
che è l'unico strumento
che garantisce l'immodificabilità del contenuto
(lo fa, certamente, ma quelo che conta
è cio' che appare, cio' che stampo,
cio' che viene presentato all'utente).
Il documento, giuridicamente,
è la rappresentazione di atti o fatti giuridicamente
rilevanti.
Purtroppo non è l'insieme dei bit
di cui è composto, per cui
se cambia la sua presentazione,
cambiano gli atti o fatti da esso rappresentati.

>
> Certo potremmo obbligare il formato p7m a
> memorizzare anche i metadati di formato associati
> al file. Ma chi verifica che il metadato
> associato sia effettivamente
> valido?

La soluzione "semplice" consigliata nel lavoro,
è di firmare anche il nome del file (inclusa l'estensione).
All'atto della verifica, viene
anche verificata l'integrità del nome,
cosi' nessuno lo puo' cambiare
e l'attacco è disinnescato.

Come vede il problema è nella firma,
perchè è sufficiente irrobustire il protocollo
di firma (cioe' il modo con cui si confeziona
la busta e il modo con cui si verifica)
per risolvere il problema.
Tenga conto pero' che questa "piccola
modifica" comporterebbe la
modifica di tutti i sw dei certificatori,
che non è banale...


>
> Il visualizzatore all'atto della verifica della
> firma, verificherebbe non solo che la firma sia
> valida ma anche che il formato del file è
> effettivamente quello
> dichiarato.
>
> Quindi a questo punto non basterebbe utilizzare
> dei visualizzatori accreditati che verifichino i
> formati non solo dalle
> estensioni?

irrealizzabile dal punto di vista pratico.

>
> Se fosse possibile sarebbe meglio mettere a
> disposizione della collettività un TR che
> esplichi un pò meglio l'originalità della vostra
> ricerca.
>

adesso c'e' qualcosa in piu' sul sito
www.unirc.it/firma

> Oppure dobbiamo comprarci gli atti del congresso
> non appena l'articolo sarà
> pubblicato?
>
> Potreste sprecare meno tempo a polemizzare con
> Cammarata e Giustozzi (che non sono proprio gli
> utlimi infatto di firma digitale) e fare un sito
> che esplica più in dettaglio la vostra
> "scoperta".

non conosco le classifiche di merito sulla
firma digitale.
Ma mi sembra un argomento poco rilevante.

Le risposte a Cammarata e Giustozzi
hanno lo scopo di chiarire gli equivoci
che le loro interpretazioni potevano
far insorgere.


>
> Saluti

Saluti

> >
> >
> > Allora il problema qui non è della firma
> > digitale. La firma digitale esegue un hash di
> > TUTTO il file e lo cifra con la chiave privata
> > del firmatario a cui è associato un certificato
> > pubblico.
>
>
> un sistema è sicuro se non è possibile sfruttare
> sue debolezze intrinseche o sfruttare
> caratteristiche
> dell'ambiente in cui è eseguito per determinarene
> un comportamento malicious.
>
> Non abbiamo mai affermato nella nostra ricerca
> che si tratta di una debolezza degli algoritmi
> di firma (inclusi gli hash).
> Tuttavia è una debolezza degli strumentoi di firma
> compliant alla normativa europea.
> E' un problema di rilevanza pratica perchè
> l'attacco riesce, e questo è indiscutibile.

Sono d'accordo con lei. Il problema è che la vostra ricerca ancora non è nota al mondo semplicemente perché sul vostro sito non c'è abbastanza materiale per "definire" qual'è la vostra ricerca.

>
>
>
> >
> > Il problema qui è di come viene visualizzato un
> > firmato binario complesso e dal firmatario, e
> dal
> > verificatore della
> > firma.
> >
> > Quindi la domanda è la seguente:
> >
> > Io che firmo, mi fido del viewer di Windows per
> i
> > BMP?
> >
>
> come si fida di quello linux/KDE.
> Cosi' funzional la firma.
> Il discorso della verifica del formato
> è troppo complesso, al momento
> NESSUNO lo fa.
> Ma la ricerca che abbiamo fatto
> ha appunto il merito
> di evidenziare il problema
> e adottare contromisure.

Mi perdoni ma, non avendo letto ancora il suo articolo, mi sembra che attualmente il merito sia stato quello di risollevare il problema.


>
>
>
> > Spero proprio di no e che si utilizzi un viewer
> > "certificato". Tipicamente le CA danno dei loro
> > kit per la firma di file che potrebbero fare
> > delle verifiche sul formato firmato (il fatto
> che
> > non lo facciano non depone a suo
> > favore).
> >
> > E anche chi visualizza il file si fida del suo
> > visualizzatore sul suo
> > PC?
> >
> >
> > Siamo d'accordo che il problema è di come il
> file
> > firmato venga "visualizzato" all'utente e non
> > nell'algoritmo di
> > firma?
> >
> > Mi pare che questo sia incontrovertibile.
>
>
> Certo. Ma riguarda strettamente la firma,
> che è l'unico strumento
> che garantisce l'immodificabilità del contenuto
> (lo fa, certamente, ma quelo che conta
> è cio' che appare, cio' che stampo,
> cio' che viene presentato all'utente).
> Il documento, giuridicamente,
> è la rappresentazione di atti o fatti
> giuridicamente
> rilevanti.
> Purtroppo non è l'insieme dei bit
> di cui è composto, per cui
> se cambia la sua presentazione,
> cambiano gli atti o fatti da esso rappresentati.
>
> >
> > Certo potremmo obbligare il formato p7m a
> > memorizzare anche i metadati di formato
> associati
> > al file. Ma chi verifica che il metadato
> > associato sia effettivamente
> > valido?
>
> La soluzione "semplice" consigliata nel lavoro,
> è di firmare anche il nome del file (inclusa
> l'estensione).
> All'atto della verifica, viene
> anche verificata l'integrità del nome,
> cosi' nessuno lo puo' cambiare
> e l'attacco è disinnescato.

Si ma nessuno mi garantisce che il metadato sia effettivamente valido se il sistema di apposizione della firma non verifica che il formato del file corrisponda effettivamente al metadato associato.


>
> Come vede il problema è nella firma,
> perchè è sufficiente irrobustire il protocollo
> di firma (cioe' il modo con cui si confeziona
> la busta e il modo con cui si verifica)
> per risolvere il problema.

Bisogna intendersi sui termini. Se per lei la "Firma Digitale" è quella definita dal CNIPA allora sono d'accordo, altrimenti se consideriamo la definizione informatica, il protocollo non c'entra nulla.

Probabilmente molte polemiche sono nate proprio grazie all'ambiguità di questa terminologia.

> Tenga conto pero' che questa "piccola
> modifica" comporterebbe la
> modifica di tutti i sw dei certificatori,
> che non è banale...

Infatti propendo più per dei "visualizzatori" certificati.

>
>
> >
> > Il visualizzatore all'atto della verifica della
> > firma, verificherebbe non solo che la firma sia
> > valida ma anche che il formato del file è
> > effettivamente quello
> > dichiarato.
> >
> > Quindi a questo punto non basterebbe utilizzare
> > dei visualizzatori accreditati che verifichino i
> > formati non solo dalle
> > estensioni?
>
> irrealizzabile dal punto di vista pratico.

E per quale motivo?

Metto sul sito del CNIPA un pacchetto MSI o un .DEB da scaricare che mi installa un "visualizzatore" di file BMP, PDF, etc. etc. che prima di aprire un file esegue dei controlli di consistenza.

Quindi non va a vedere solo l'estensione del file o il magic number ma analizza la struttura del file. Se ha presente gli strumenti utilizzati per la computer forenisc...

>
> >
> > Se fosse possibile sarebbe meglio mettere a
> > disposizione della collettività un TR che
> > esplichi un pò meglio l'originalità della vostra
> > ricerca.
> >
>
> adesso c'e' qualcosa in piu' sul sito
> www.unirc.it/firma

Mi scusi ma non riesco a trovarla...sarebbe così gentile da darci qualche riferimento più preciso?

>
> > Oppure dobbiamo comprarci gli atti del congresso
> > non appena l'articolo sarà
> > pubblicato?
> >
> > Potreste sprecare meno tempo a polemizzare con
> > Cammarata e Giustozzi (che non sono proprio gli
> > utlimi infatto di firma digitale) e fare un sito
> > che esplica più in dettaglio la vostra
> > "scoperta".
>
> non conosco le classifiche di merito sulla
> firma digitale.
> Ma mi sembra un argomento poco rilevante.

In effeti mi interessava evidenziare che le polemiche sono di per sé poco rilevanti.

>
> Le risposte a Cammarata e Giustozzi
> hanno lo scopo di chiarire gli equivoci
> che le loro interpretazioni potevano
> far insorgere.
>
>
> >
> > Saluti
>
> Saluti

Saluti

> Mi perdoni ma, non avendo letto ancora il suo
> articolo, mi sembra che attualmente il merito sia
> stato quello di risollevare il problema.


> > adesso c'e' qualcosa in piu' sul sito
> > www.unirc.it/firma
>
> Mi scusi ma non riesco a trovarla...sarebbe così
> gentile da darci qualche riferimento più
> preciso?

Se l'inglese non è un problema puoi trovare qualche dettaglio in più sull'attacco andando nella versione inglese del sito ( http://www.unirc.it/firma/en/attack_en.html )

Ahhhh...finalmente

Thanks a lot

Sono due giorni che chiedo al Prof qualche info più precisa....

grazie mille

1) Dov'è l'articolo in inglese pubblicato?

2) L'articolo si baserebbe sul fatto che il visualizzatore utilizzato prima di apporre la firma è diverso dal visualizzatore utilizzato per la verifica DOPO la firma?
E quindi se costruisco un file polimorfo che cambia la sua visualizzazione a seconda di quale programma viene utilizzato allora questa sarebbe una vulnerabilità della firma digitale?

Sarebbe questa la scoperta?

Se così fosse, questa sarebbe unicamente la scoperta dell'acqua calda. Il formato binario firmato digitalmente viene sempre interpretato per essere visualizzato in una forma intellegibile da un umano.

Anche il visualizzatore quindi deve avere delle caratteristiche di sicurezza che almeno garantiscano l'eguale interpretazione del formato prima e dopo la firma. E i due peer devono essere concordi su questo.

Tutto questo se la mia considerazione al p.to 2 è corretta...

no, credo che non abbia compreso bene le cose.
Provi a leggere quanto pubblicato sul sito
www.unirc.it/firma (c'e' anche uno stralcio dell'articolo).
Vedrà che il visualizzatore non c'entra nulla,
è stato erroneamente considerato nell'articolo di Zanga,
ma non ha ruolo. Funziona alla perfezione. E anche il sistema operativo funziona alla perfezione. E' il file che è corrotto. Il problema è li.
Si accerti prima di cooscere gli elementi di base relativi al meccanismo della firma digitale.
Buon lavoro.

- Scritto da: hukio
> 1) Dov'è l'articolo in inglese pubblicato?

Non c'e' un articolo in inglese, c'e' una ricerca pubblicata dall'Ing. Buccafurri, a cui si puo' accedere da questa pagina www.unirc.it/firma, come riportato dal link nell'articolo.

La ricerca e' un lavoro frutto di Buccafurri ed altri due ingegneri. E' una ricerca scientifica, che e' stata tra l'altro segnalata al CNIPA, perche' evidenzia un problema sulla firma digitale: problema che il CNIPA non conosceva, ma che tramite un confronto con il FESA e' stato riconosciuto come noto, nello specifico un problema scoperto da Peter Rybar, un problema ahime non previsto dalla ns. regole tecniche sulla firma digitale(che ora verranno adeguate).

Il problema in questione ha una valenza che e' stata riportata su qualche articolo come particolarmente grave perche' permette di falsificare la firma: le considerazioni su QUANTO e' pericoloso il problema, a parere CNIPA, esperti del settore, FESA etc, e' diverso
E' anche diversa la considerazione sul TIPO di problema: non un mezzo per falsificare la firma, ma un <trucco>.



> 2) L'articolo si baserebbe sul fatto che il
> visualizzatore utilizzato prima di apporre la
> firma è diverso dal visualizzatore utilizzato per
> la verifica DOPO la firma?

Quando apri un documento, in base all'estensione viene associato un programma con cui visualizzarlo(se possibile):

se prendi un file a caso e gli cambi estensione, vedi un file HTML, e ci metti BMP, il file non viene mostrato dal visualizzatore.

Se pero' il documento viene opportunamente scritto, sfruttando delle lacune nel formato html e bmp, perhce' il documento possa avere DUE possibili visualizzazioni, questo UNICO file puo'essere visualizzato una volta come file BMP senza che vengano "segnalati errori" per il contenuto aggiuntivo, ed una volta come file HTML senza che ne vengano

La truffa che cosi' puoi organizzare e' semplice: fai firmare un DOCUMENTO con ESTNSIONE BMP che mostra un testo. Dato che nel FILE c'e' anche un documento HTML, la firma viene apposta su TUTTO il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi l'estensione, in automatico il documento viene visualizzato come file HTML e non piu' BMP.
Ovviamente dato che stai organizzando una truffa, nel file BMP magari ci scrivi <compro la casa per 100.000 mila euro>, e nell'altra versione, <compro casa per 2 euro>.

In questo modo, un utente poco accorto, che verifichi la firma, sapra' che la firma e' VALIDA e che la casa e' stata comprata per 2 euro.

Perche' e' un trucco poco pericoloso: perche' se ricambi l'estensione o verifichi il file, ti accorgi che il documento e' "taroccato", cioe' contiene due tipi di documenti che dicono due cose diverse.
Quindi se fai una truffa di questo tipo, la prova della truffa rimane sempre li a portata di mano etc etc (la lista delle considerazioni e' mooolto lungaP



> E quindi se costruisco un file polimorfo che
> cambia la sua visualizzazione a seconda di quale
> programma viene utilizzato allora questa sarebbe
> una vulnerabilità della firma
> digitale?

il contenuto e' FISSO non c'e' alcun CAMBIAMENTO, infatti e' per questo che per quanto la ricerca abbia un valore scientifico in termini pratici la truffa che ci puoi costruire sopra non ha un "gran valore"



> Sarebbe questa la scoperta?
> Se così fosse, questa sarebbe unicamente la
> scoperta dell'acqua calda. Il formato binario
> firmato digitalmente viene sempre interpretato
> per essere visualizzato in una forma
> intellegibile da un umano.


beh, in un certo senso lo e': e' un "uovo" di colombo, ed e' interessante perche' da un lato FESA etc si sono "dimenticati" che simili problemi vanno documentati(cosi' da scoprirli una volta sola)

Il tuo ragionamento in un certo senso e' ineccepibileP


> Anche il visualizzatore quindi deve avere delle
> caratteristiche di sicurezza che almeno
> garantiscano l'eguale interpretazione del formato
> prima e dopo la firma. E i due peer devono essere
> concordi su
> questo.

il visualizzatore tipico di windows si basa sul <voler mostrare i dati> in base all'estensione, quello tipico di *nix, in base ad un marker che identifica il tipo di file, posto all'inizio del file -> il file ha un solo inizio, quindi un solo marker valido. Il termine esatto credo sia magic number http://it.wikipedia.org/wiki/Magic_number

In questo caso quindi la mancanza di sicurezza la puoi considerare implicita, nell'approccio a come identificare il contenuto di un file <e' implicitamente insicuro> usare l'estensione, e' implicitamente piu' sicuro usare i magic number.

Ti ringrazio per la spiegazione esaustiva. In effetti è quello a cui ero arrivato anche io. Mi permetto solo di dire che la validità scientifica di questo <trucco> mi sembra un pò debole...generalizzando il problema è attribuibile al fatto che quando si "verifica" una firma digitale non si "legge" il formato binario, ma una sua rappresentazione attraverso uno strumento che può essere sovvertito e che può avere malfunzionamenti.

L'ambivalenza del file crea problemi unicamente perché i visualizzatori non effettuano gli adeguati controlli..

Per dirla brevemente. Questa ricerca mi sa di specchietto per le allodole per farsi pubblicità. Mi meraviglio di come l'abbiano accettata ad una conference IEEE..

Grazie ancora per la spiegazione.

Ciao

- Scritto da: riphukio
> Ti ringrazio per la spiegazione esaustiva. In
> effetti è quello a cui ero arrivato anche io. Mi
> permetto solo di dire che la validità scientifica
> di questo <trucco> mi sembra un pò
> debole...generalizzando il problema è

Il problema e' applicato ai formati di file attuali: nulla toglie al fatto che ogni giorno ne inventano di nuovi, quindi l'applicabilita' del trucco potrebbe aumentare, cosi' come la diffusione per della firma in campi diversi e <utenti diversificati> potrebbe aumentarne la pericolosita'.

E' anche vero che se il documento firmato fosse un piano regolatore(superando lo schema html/bmp), far passare la truffa sarebbe piu' semplice etc.



> Per dirla brevemente. Questa ricerca mi sa di
> specchietto per le allodole per farsi pubblicità.
> Mi meraviglio di come l'abbiano accettata ad una
> conference IEEE..

E' una ricerca e dal punto di vista scientifico e' anche gia' stata valutata. Detto questo, il CNIPA correggera' il regolamento, ma la cosa viene considerata <un trucco>, non un mezzo per <falsificare la firma>.

- > Non c'e' un articolo in inglese, c'e' una ricerca
> pubblicata dall'Ing. Buccafurri, a cui si puo'
> accedere da questa pagina www.unirc.it/firma,
> come riportato dal link
> nell'articolo.


ora c'e' piu' materiale sul sito

>
> La ricerca e' un lavoro frutto di Buccafurri ed
> altri due ingegneri. E' una ricerca scientifica,
> che e' stata tra l'altro segnalata al CNIPA,
> perche' evidenzia un problema sulla firma
> digitale: problema che il CNIPA non conosceva, ma
> che tramite un confronto con il FESA e' stato
> riconosciuto come noto, nello specifico un
> problema scoperto da Peter Rybar, un problema
> ahime non previsto dalla ns. regole tecniche
> sulla firma digitale(che ora verranno
> adeguate).
>

Non credo proprio che il problema
sia stato scoperto da Peter Rybar,
di cui conosco i lavori.
Per verifiare quanto dico è
sufficiente visitare il sito
polacco di IT security
(e leggere i commenti in inglese):

http://ipsec.pl/podpis-elektroniczny/2008/atak-na-...



> Il problema in questione ha una valenza che e'
> stata riportata su qualche articolo come
> particolarmente grave perche' permette di
> falsificare la firma: le considerazioni su QUANTO
> e' pericoloso il problema, a parere CNIPA,
> esperti del settore, FESA etc, e' diverso
>
> E' anche diversa la considerazione sul TIPO di
> problema: non un mezzo per falsificare la firma,
> ma un
> <trucco>.
>

la maggioranza degli attacchi nel campo della
sicurezza informatica sono "trucchi".
Sicurezza significa anche non farsi
raggirare dai trucchi.

>
>
> > 2) L'articolo si baserebbe sul fatto che il
> > visualizzatore utilizzato prima di apporre la
> > firma è diverso dal visualizzatore utilizzato
> per
> > la verifica DOPO la firma?
>
> Quando apri un documento, in base all'estensione
> viene associato un programma con cui
> visualizzarlo(se
> possibile):
>
> se prendi un file a caso e gli cambi estensione,
> vedi un file HTML, e ci metti BMP, il file non
> viene mostrato dal
> visualizzatore.
>

BMP è un esempio,
l'attacco puo' essere fatto con molti altri formati,
inlcluso PDF (senza Javascript!!).


> Se pero' il documento viene opportunamente
> scritto, sfruttando delle lacune nel formato html
> e bmp, perhce' il documento possa avere DUE
> possibili visualizzazioni, questo UNICO file
> puo'essere visualizzato una volta come file BMP
> senza che vengano "segnalati errori" per il
> contenuto aggiuntivo, ed una volta come file HTML
> senza che ne vengano
>
>
> La truffa che cosi' puoi organizzare e' semplice:
> fai firmare un DOCUMENTO con ESTNSIONE BMP che
> mostra un testo. Dato che nel FILE c'e' anche un
> documento HTML, la firma viene apposta su TUTTO
> il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi
> l'estensione, in automatico il documento viene
> visualizzato come file HTML e non piu'
> BMP.
> Ovviamente dato che stai organizzando una truffa,
> nel file BMP magari ci scrivi <compro la casa per
> 100.000 mila euro>, e nell'altra versione,
> <compro casa per 2 euro>.
>
>
> In questo modo, un utente poco accorto, che
> verifichi la firma, sapra' che la firma e' VALIDA
> e che la casa e' stata comprata per 2
> euro.
>
> Perche' e' un trucco poco pericoloso: perche' se
> ricambi l'estensione o verifichi il file, ti
> accorgi che il documento e' "taroccato", cioe'
> contiene due tipi di documenti che dicono due
> cose
> diverse.
> Quindi se fai una truffa di questo tipo, la prova
> della truffa rimane sempre li a portata di mano
> etc etc (la lista delle considerazioni e' mooolto
> lunga
>P


E' vero. Si tratta di una falsificazione
verificabile a posteriori.
Anche se ci sono due obiezioni.

1. nessuno puo' mai sapere quale delle due versioni
sia stata firmata realmente.
Quindi il trucco puo' essere sfruttato
anche per precostituire un ripudio.

2. se non sospetto la possibile esistenza
di questo attacco
(e da qui la rilevanza della ricerca
e della sua divulgazione)
non provo certo a cambiare l'estensione
di un file che mi arriva con la mia firma
da parte di qualcuno che mi contesta un ordine
di acquisto a cui non è corrisposto
il pagamento.Fino ad oggi tutto si sarebbe
pensato (uso del dispositivo
di firma da parte di altri,
presenza di macro-codice, et.)
ma non certo cambiare l'estensione
del file....


>
>
>>
> il contenuto e' FISSO non c'e' alcun CAMBIAMENTO,
> infatti e' per questo che per quanto la ricerca
> abbia un valore scientifico in termini pratici la
> truffa che ci puoi costruire sopra non ha un
> "gran
> valore"


il valore scientifico della ricerca
è applicativo, pratico.
Non è certo una ricerca teorica.

>
>
>
> >
> beh, in un certo senso lo e': e' un "uovo" di
> colombo, ed e' interessante perche' da un lato
> FESA etc si sono "dimenticati" che simili
> problemi vanno documentati(cosi' da scoprirli una
> volta
> sola)

si, è un risultato semplice e chiaro.
Ma questo non inficia la validità.



> >
>
>
> il visualizzatore tipico di windows si basa sul
> <voler mostrare i dati> in base all'estensione,
> quello tipico di *nix, in base ad un marker che
> identifica il tipo di file, posto all'inizio del
> file -> il file ha un solo inizio, quindi un solo
> marker valido. Il termine esatto credo sia magic
> number
> http://it.wikipedia.org/wiki/Magic_number
>
> In questo caso quindi la mancanza di sicurezza la
> puoi considerare implicita, nell'approccio a come
> identificare il contenuto di un file <e'
> implicitamente insicuro> usare l'estensione, e'
> implicitamente piu' sicuro usare i magic
> number.


non potremo cambiare il mondo
perche' sbagliamo a fare funzionare la firma digitale.
Windows, Unix-like con KDE, Mac, funzionano cosi'.
Forse è meglio pensare di cambiare
il modo con cui facciamo funzionare la firma
(includiamo per esempio il nome
e l'estensione nella busta e verifichiamo
quindi anche la sua integrità).


Spero di avere contribuito a chiarire i dubbi.

Rispetto al punto 3:

Si noti che l'attacco non solo funziona su Windows e linux/KDE, ma anche su free BSD/KDE e Mac OS X (testato
su versione 10.4.8).
Per quanto riguarda i SO Unix-like, si può affermare ragionevolmente che l'attacco funziona se si usa il window manager KDE.

Forse è opportuno fare un po' di chiarezza sulla questione.

1. Parlare di attacco di firma, significa anche parlare di possibile falsificazione di documenti informatici con firma digitale.

2. L'attacco non è stato MAI documentato prima (nessuno ha fornito prove contrarie). L'autore dell'articolo sà perfettamente che il discorso della Slovenia è ben diverso.

3. Non si tratta di un problema del viewer di Windows. L'attacco funziona anche su KDE/linux, per esempio.


4. La pericolosià dell'attacco non è elevatissima. La firma digitale continua a essere uno strumento sicuro. Ma la conoscenza di questo nuovo attacco consentirà di irrobustirlo ulteriormente attraverso opportune contromisure.

5. Dal punto di vista normativo, a mio avviso, sarebbero necessarie alcune revisioni che tengano conto dell'attacco.

per tutti coloro che sono interessati, comunico che sul sito www.unirc.it/firma sono presenti nuovi commenti relativi all'attacco alla firma digitale.

Mancherebbe solo la risposta ufficiale del CNIPA:
http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANOR...

Presa dalla sezione della sala stampa:
http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/.../

E le dichiarazioni di chi ha detto "lo sanno tutti i miei studenti che su *nux il problema non esiste"P

- Scritto da: Diego
> Mancherebbe solo la risposta ufficiale del CNIPA:
> http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANOR
>
> Presa dalla sezione della sala stampa:
> http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/
>
> E le dichiarazioni di chi ha detto "lo sanno
> tutti i miei studenti che su *nux il problema non
> esiste"
>P

no, è presente anche la lettera a Panorama del CNIPA.
E' presente anche la mia risposta a Panorama.
Comunque, la risposta ufficiale del CNIPA è quella
che mi è stata data via mail quando ho presentato
l'attacco:
"Stiamo analizzando con estrema serietà quanto rappresentato",
"Vorremmo inoltrare loro il Vostro studio
al FESA, ci autorizza?". "La nostra intenzione sarebbe quella di evidenziare - al FESA - che esiste il problema",
"La soluzione proposta è consigliata ai Certificatori ma indubbiamente va circostanziata normativamente."
La lettera a Panorama aveva lo scopo di evitare
eccessivi allarmismi, e per questo l'ho condivisa,
come si vede dalla mia replica.

Per quanto riguarda i sistemi Unix-like, quello che sanno tutti gli studenti è che di per sè tali sistemi riconoscono il tipo di file dal "magic number".
Ma questo puo' non essere più vero quando mettiamo
su un window manager, come KDE.
Dovrebbe farsene una ragione che nel suo articolo
ha detto una serie di gravi imprecisioni tecniche,
attribuendo al visualizzatore di Windows il problema,
quando invece è un bug del protocollo di firma,
che ha successo sulla quasi totallità dei SO.
Strano che nelle comunicazioni personali lo ha ammesso,
dicendo che aveva fatto analisi troppo affrettate e che aveva attribuito il nostro attacco ad un problema
del visualizzatore di Windows solo perchè se ne stava
interessando in quei giorni per un'altra faccenda.
Molto strano.

Dovrebbe farsene una ragione che
la vulnerabilità è:

1. mai prima documentata
2. sufficientemente seria
3. riferita alla firma digitale
   e non ai SO (me che meno a Windows).

E' la realtà dei fatti, mi spiace per lei.
Lei può scrivere tutti gli articoli che vuole,
su punto, punto e virgola e anche due
punti informatici (mi voglio rovirare...,
come diceva il grande Totò)!

Buon lavoro!
Però, con il dovuto rispetto, la prossima volta presti maggiore attenzione a quello che scrive.

In relazione al discorso dei formati e alla presunta "sicurezza" del formato TIFF, desideravo comunicare che abbiamo realizzato l'attacco anche sul formato TIFF, largamente utilizzato per i documenti acquisiti per scansione (come nel caso della conservazione sostitutiva).

testato e il trucchetto funziona.
A questo punto perche si tende a sminuire il problema?
Si risolve e basta.
No perche' se la situazione rimanesse la medesima pregate che nessuna associazione di consumatori decida qualche bella campagna.

- Scritto da: cogito delrium suum
> testato e il trucchetto funziona.
> A questo punto perche si tende a sminuire il
> problema?
> Si risolve e basta.

Non e' un problema di firma digitale. Posso comprendere che per un utonto Winaro sia difficile comprendere che il nome di un file non e' una proprieta' del file stesso, e che pertanto non si puo' dire che "il file e' cambiato" semplicemente perche' e' stato rinominato con un'estensione diversa, ma di fatto e' cosi'.

- Scritto da: rotfl
> - Scritto da: cogito delrium suum
> > testato e il trucchetto funziona.
> > A questo punto perche si tende a sminuire il
> > problema?
> > Si risolve e basta.
>
> Non e' un problema di firma digitale. Posso
> comprendere che per un utonto Winaro sia
> difficile comprendere che il nome di un file non
> e' una proprieta' del file stesso, e che pertanto
> non si puo' dire che "il file e' cambiato"
> semplicemente perche' e' stato rinominato con
> un'estensione diversa, ma di fatto e'
> cosi'.

Ehi! Io uso win, ma ci arrivo che il problema non è nella firma digitale e che il nome di un file non è una sua proprietà...

- Scritto da: Blackstorm
> - Scritto da: rotfl
> > - Scritto da: cogito delrium suum
> > > testato e il trucchetto funziona.
> > > A questo punto perche si tende a sminuire il
> > > problema?
> > > Si risolve e basta.
> >
> > Non e' un problema di firma digitale. Posso
> > comprendere che per un utonto Winaro sia
> > difficile comprendere che il nome di un file non
> > e' una proprieta' del file stesso, e che
> pertanto
> > non si puo' dire che "il file e' cambiato"
> > semplicemente perche' e' stato rinominato con
> > un'estensione diversa, ma di fatto e'
> > cosi'.
>
> Ehi! Io uso win, ma ci arrivo che il problema non
> è nella firma digitale e che il nome di un file
> non è una sua proprietà...
>

Ma infatti non intendevo "tutti i Winari sono utonti", ovviamente non e' affatto cosi'.

Ma ci sono utonti Winari

il problema non lo si risolve e non lo si sminuisce perchè affrontandolo si potrebbe pensare che l'implementazione attuale della firma digitale (ed anche della PEC) ha il solo scopo di favorire azienduncole ben agganciate ed enti parassitari nello spillare soldi alle imprese ed ai professionisti, obbligandoli a costosi sistemi operativi proprietari, a soluzioni farraginose ed insicure (per esempio la piattaforma delle camere di commercio per l'aggiornamento delle firme che richiede internet explorer su windows settato su modalità insicura od il portale delle casse edili che usa certificati senza data di scadenza etc.) per adempimenti gestiti poi in modalità anacronistica ed esposta all'abuso (sempre in ambito camere di commercio il conservatore ha ancora la facoltà di scartare i bilanci secondo il suo capriccio ed è impossibile trovare una linea unica nei criteri su base regionale, figurarsi nazionale).
Oltre al fatto che invece di diminuire i costi all'utente finale sono triplicati.

Dov'è il vero problema? Andatevi a rivedere la legge (confusa e scritta male) e pensate che è molto facile far firmare digitalmente ai sindaci un bilancio (in attivo) che viene diversamente visualizzato da chi lo riceve (in perdita)... poi vi ci voglio a dimostrare il dolo...

- Scritto da: anonimo


> Dov'è il vero problema? Andatevi a rivedere la
> legge (confusa e scritta male) e pensate che è
> molto facile far firmare digitalmente ai sindaci
> un bilancio (in attivo) che viene diversamente
> visualizzato da chi lo riceve (in perdita)... poi
> vi ci voglio a dimostrare il
> dolo...

Dimostrami come si può fare senza essere sbugiardati in meno di 5 minuti di analisi del file.