Alfonso Maruccia

Nikon, crackata l'autenticazione

Una società di sicurezza russa sostiene di aver trovato il modo di contraffare il sistema di firma digitale delle fotografie impiegato da Nikon nelle sue reflex

Roma - Stando a quanto sostiene Elcomsoft, software house che opera nel settore della sicurezza, il meccanismo di firma digitale delle immagini fotografiche usato da Nikon avrebbe una crepa: la società russa ha trovato il modo di abusare del meccanismo di sicurezza per replicare la firma su foto contraffatte, una cosa che piacerà poco alla multinazionale nipponica e ancor meno a chi intendesse usare quelle foto come prova autenticabile nei tribunali.

Il software di autenticazione proprietario di Nikon si chiama - alquanto prevedibilmente - Image Authentication System (IAS), ed è supportato dalle seguenti reflex digitali: D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs e D200 SLRs. Ogni foto scattata con le succitate macchine fotografiche viene firmato con una chiave univoca, e se l'immagine viene successivamente modificata la chiave viene sovrascritta e il sistema IAS può verificare la manomissione.

Elcomsoft ha però trovato il modo di estrarre la chiave usata per firmare digitalmente le foto per usarla altrove, rendendo vano il meccanismo di autenticazione approntato da Nikon. In tal modo viene a mancare la motivazione principale per l'utilizzo di una simile tecnologia di autenticazione, vale a dire assicurare l'autenticità di un documento fotografico davanti a un giudice o un notaio.
E il problema non riguarda solo Nikon, visto che la stessa Elcomsoft ha individuato una falla simile nel software di autenticazione impiegato da Canon - un altro nome importante nel mercato delle reflex digitali. La società russa sostiene infine di essere stata spinta a rilasciare le informazioni sulla falla delle DSLR Nikon dopo aver verificato la manifesta volontà del colosso nipponico di non collaborare per risolvere il problema.

Alfonso Maruccia
Notizie collegate
17 Commenti alla Notizia Nikon, crackata l'autenticazione
Ordina
  • il vero problema è che il Giappone dovrebbe darsi una svegliata
    non+autenticato
  • - Scritto da: cotton
    > il vero problema è che il Giappone dovrebbe darsi
    > una
    > svegliata

    Una bella scrollata !!!
  • - Scritto da: TuttoaSaldo
    > - Scritto da: cotton
    > > il vero problema è che il Giappone
    > > dovrebbe darsi una svegliata

    > Una bella scrollata !!!

    E invece s'e' dato una radiata...
    krane
    22528
  • ... per togliersi un pò di virus di dosso Occhiolino
    non+autenticato
  • - Scritto da: cobalto60
    > ... per togliersi un pò di virus di dosso Occhiolino

    brrrrr che freddo
    non+autenticato
  • L'applicazione in ambito forense di immagini digitali rimane tutt'oggi complicata.. le firme digitali adottate dai colossi del digitale non sono infallibili... i Russi lo hanno ridimostrato.

    Se dobbiamo fotografare qualche prova casomai ci capitasse nella vita, meglio rpendere una macchina a pellicola usa e getta al supermarketA bocca aperta
    non+autenticato
  • Il problema è che stanno via via scomparendo.
    non+autenticato
  • Sicuramente nei supermercati tra un pò non li troveremo più. Occorre tuttavia dire che vi saranno ancora gli amatori dell'analogico, come succede con i dischi in vinile. Sarà però più difficile trovare le pellicole prodotte ormai artigianalmente.
    Ma poi mi chiedo se si apre il file della foto digitale "firmata" con un editor esadecimale, non si può forse cancellare qualsiasi firma?
    Insomma credo che questi "trucchetti" si facciano contando sull'ignoranza degli utenti più che per di una vera utilità. O perchè servono a loro per le statistiche di mercato o simili.
    Queste "firme" li fa anche Adobe con i suoi Photshop, mentre Gimp è impeccabile.
  • > Ma poi mi chiedo se si apre il file della foto
    > digitale "firmata" con un editor esadecimale, non
    > si può forse cancellare qualsiasi
    > firma?
    > Insomma credo che questi "trucchetti" si facciano
    > contando sull'ignoranza degli utenti più che per
    > di una vera utilità. O perchè servono a loro per
    > le statistiche di mercato o
    > simili.
    > Queste "firme" li fa anche Adobe con i suoi
    > Photshop, mentre Gimp è
    > impeccabile.


    Che intendi dire?

    Non sapendone molto di autenticazione di foto digitali, posso pero` supporre che la "firma" non sia altro che un qualche hash calcolato su tutti i pixel della foto, in modo che se modifichi la foto (alteri i pixel), l'hash non corrisponde piu` alla foto modificata. Il problema, che penso i russi abbiano trovato il modo di risolvere, e` prendere un hash e applicarlo ad una foto che non e` stata fatta con una Nikon. Oppure il modo per calcolare l'hash, ma questo credo possa essere fatto a bordo della macchina fotografica, quindi difficile da rifare via software se non hai accesso al firmware.

    Se e` cosi`, che te ne fai dell'editor esadecimale?

    Ah, ma non dirmi che stavi parlando delle info che vencono salvate nella foto, tipo data, ora, ecc... perche` credo proprio che non c'entrino una beata, con l'autenticazione discussa nell'articolo.
    non+autenticato
  • - Scritto da: Rover
    > Difatti si tratta d'altro:
    > http://www.nital.it/experience/authentication6.php


    E da dove lo deduci, visto che non mi pare si spieghino le tecniche usate per garantire l'autenticita` ne' la non manomissione di una foto?

    Forse non ho letto tutto l'inutile pappone per il fotografo, ma se cortesemnte mi dici con che tecnica vengono garantite le proprieta` di cui sopra mi eviti la notte insonne (si fa per dire Sorride)
    non+autenticato
  • Intendevo che non si tratta dei dati EXIF.
    Da quel che ho capito la firma riguarda la proprietà e non l'autenticità.
    non+autenticato
  • - Scritto da: Rover
    > Intendevo che non si tratta dei dati EXIF.


    Ok. Fino qui ci siamo.

    Mi pare fosse chiaro anche dal mio primo post che non si tratta di EXIF: l'hash dell'intera foto non mi pare sia un dato EXIF.


    > Da quel che ho capito la firma riguarda la
    > proprietà e non
    > l'autenticità.


    Credo che entrambe le caratteristiche possano essere piu` o meno garantite da un hash, che magari incorpora conto di qualche sequenza univoca associata alla specifica macchina fotografica.
    non+autenticato
  • - Scritto da: ninjaverde

    > Ma poi mi chiedo se si apre il file della foto
    > digitale "firmata" con un editor esadecimale, non
    > si può forse cancellare qualsiasi
    > firma?

    Si, certo, cancellare si puo' sempre.
    Ma qui dice che si puo' contraffarre.
    Vale a dire modificare quei parametri che fanno ricondurre la foto alla macchina che le ha scattate, e probabilmente anche alla data e ora dello scatto.
    O addirittura, presumo, che si possa prendere una immagine qualunuque. magari elaborata digitalmente (un fotomontaggio per intenderci) e far credere, modificando quella firma, che sia una foto autentica scattata da quella macchina...

    > Insomma credo che questi "trucchetti" si facciano
    > contando sull'ignoranza degli utenti più che per
    > di una vera utilità. O perchè servono a loro per
    > le statistiche di mercato o
    > simili.

    Mica tanto.
    Citando l'esempio del tribunale, se la normativa ritiene che la firma criptata sia condizione sufficiente per rendere autentica una foto, ecco che in questo modo io potrei rendere autentica qualunque cosa.
  • Qui è spiegato bene:
    http://www.nital.it/experience/authentication6.php
    Direi che serve a stabilire la proprietà della foto tramite una sorta di "impronta digitale"-.
    I dati exif e iptc sono un'altra cosa.
    non+autenticato
  • - Scritto da: Rover
    > Qui è spiegato bene:
    > http://www.nital.it/experience/authentication6.php
    > Direi che serve a stabilire la proprietà della
    > foto tramite una sorta di "impronta
    > digitale"-.

    Ottimo documento

    > I dati exif e iptc sono un'altra cosa.

    Si, certo.
    Quando ipotizzavo che contenesse il codice della macchina e la data e ora dello scatto, pensavo che fossero informazioni presenti nella firma digitale, non mi riferivo certo all'exif.Occhiolino