Un nuovo attacco alla firma digitale

 

 

Con la firma digitale oggi si può fare tutto, tutto quello che fino ad oggi si è fatto con carta e penna, e questo grazie alle norme che ce lo consentono e alla sicurezza che le tecnologie adottate offrono.
La diffidenza verso il documento informatico, che per la sua immateriatilità non dà garanzie di immodificabilità, può essere superata grazie alla firma digitale, che rende il documento firmato assolutamente integro, lo “congela” nel tempo tanto da rilevare ogni minima modifica del suo contenuto, ogni minimo cambio dei bit di cui è composto. E così via a contratti, atti della pubblica amministrazione, archivi, documenti di carattere tributario, documenti di identità, tutti in formato elettronico.
In questo quadro, certo non sarebbe rassicurante che un documento che contenesse il testo:

 

Il sottoscritto Tizio, delega Caio a sottoscrivere contratti di acquisto in sua vece per un valore non superiore a 1.000 Euro
 

In Fede    
Tizio      

 

dopo essere firmato digitalmente da Tizio potesse, in un secondo momento, apparire con un contenuto modificato, ad esempio così:
 

Il sottoscritto Tizio, delega Caio a sottoscrivere contratti di acquisto in sua vece per un valore non superiore a 100.000 Euro

In Fede    
Tizio      


senza che la procedura di verifica della firma rilevasse la modifica!
 

Il Prof. Francesco Buccafurri, Ordinario di Informatica presso la Facoltà di Ingegneria dell’Università Mediterranea di Reggio Calabria, e responsabile del Laboratorio di Ingegneria Informatica del dipartimento DIMET della stessa facoltà, in collaborazione con l’Ing. Gianluca Lax e l’Ing. Gianluca Caminiti, ha messo a punto un nuovo attacco alla firma digitale, mai prima documentato, per il quale il caso sopra esposto si può realizzare.
La novità dell’attacco sta nel fatto che mentre prima un attacco del genere si pensava fosse possibile solo consentendo formati (es Word) che permettono l’inclusione di istruzioni “nascoste” all’interno del documento, il nuovo attacco agisce anche su formati che non consentono l’inclusione di istruzioni nascoste, formati considerati (anche dalla normativa vigente) assolutamente sicuri, come i formati immagine (bitmap, per esempio).
Il risultato scientifico è destinato ad avere impatto sull’attuale infrastruttura normativa e tecnica sulla quale la firma digitale si basa. Ciò si può ben intuire considerando che il CNIPA (Centro Nazionale per l’Informatica della Pubblica Amministrazione, organo operante presso la Presidenza del Consiglio dei Ministri e massima autorità in materia), al quale il Prof. Buccafurri ha mostrato i risultati ottenuti, sta “analizzando con estrema serietà quanto rappresentato” per una accurata revisione normativa e tecnica ed intende portare in discussione tali risultati scientifici in sede europea presso il FESA (Forum of European Supervisory Authorities for Electronic Signatures), ove si riuniscono gli organismi nazionali previsti dall'art. 11 della Direttiva europea 1999/93/CE in materia di firma elettronica.

I risultati ottenuti sono stati documentati in un lavoro scientifico di prossima pubblicazione sugli atti della conferenza internazionale "IEEE International Conference on the Applications of Digital Information and Web Technologies" (http://www.dirf.org/diwt2008/).

              

 

Qualche approfondimento              

 

Leggi rapporto tecnico              

 

Contatti:

Prof. Francesco Buccafurri

Dipartimento DIMET, Facoltà di Ingegneria

Università Mediterranea di Reggio Calabria

Tel: 0965 875302

E-mail: bucca@unirc.it