firma digitale “falsificabile”?

da Strill.it, sabato 21 giugno 2008:

C’è una falla nel sistema: firma digitale falsificabile. Lo scopre un ricercatore reggino.

da Panorama del 26/06/08 

A prima vista sembra il quadro di un donna sola in una stanza. Ma, osservando bene, appare il profilo di un uomo con barba e baffi.

È un’opera intitolata “L’immagine scompare”, dove Salvador Dalí applica una tecnica steganografica, nascondendo il suo volto nel quadro.

Fatte le debite differenze, si tratta di un sistema che nel mondo dell’informatica ha rivelato un punto debole nella firma digitale, usata da imprenditori e funzionari pubblici per siglare documenti inviati via internet: 35 milioni nel 2005. A scoprire la falla (teorica, per ora) è stato il gruppo di Francesco Buccafurri, docente di sistemi di elaborazione dell’informazione all’Università Mediterranea di Reggio Calabria.

Qual è il tallone d’Achille della firma digitale? Immaginiamo che un dipendente voglia gonfiare un rimborso alterando l’email inviata dal suo capo, e certificata con firma digitale. Deve agire in due fasi: prima altera il contenuto del documento, inserendo la cifra maggiorata.

La variazione, se nascosta nel codice, è invisibile (come il profilo di Dalí). Il capo, ignaro, controlla e aggiunge la firma digitale. Al dipendente non resta che cambiare la tipologia di file sostituendo tre lettere (per i più esperti: si tratta dell’estensione da .bmp a .htm).

Rimedi? «Basterebbe che la firma digitale agisse anche sul nome del file» suggerisce Buccafurri. Nel frattempo il Cnipa, Centro per l’informatica nella pubblica amministrazione, dopo essere stato allertato da Buccafurri sta valutando quali provvedimenti adottare.

Tags: amministrazione digitale, buccafurri, cad, codice dell'amministrazione digitale, diritto dell'informatica, firma digitale, firma elettronica, informatica, informatica giuridica