Non ci si può fidare della firma digitale dei documenti PDF

Un recente studio dimostra che è possibile alterare la firma digitale contenuta all'interno di un documento PDF.

Uno studio condotto da un’università tedesca e pubblicato lo scorso Novembre 2018 riporta che non è possibile fare affidamento sulla firma digitale contenuta all’interno di un file PDF. Tra le tre vulnerabilità documentate, una consente la creazione di una firma digitale falsa che, al contrario, possa essere riconosciuta come valida dai lettori più diffusi di PDF.

Un sito Internet dedicato alle vulnerabilità dei lettori di documenti PDF è costantemente aggiornato e può essere consultato a questo indirizzo.

Una Firma Digitale è uno schema matematico per la verifica dell’autenticità di un documento o una comunicazione digitale. Una volta applicata dall’autore del documento, è possibile verificare se il file fosse stato manipolato ed eventualmente anche il suo autore (come nel caso di PGP).

Il formato PDF, invece, è il formato in assoluto più diffuso in Internet per la condivisione di documenti supportato da tutte le piattaforme sul mercato, oltre ad essere il formato prediletto per lo scambio di file come fatture o per i sistemi di archiviazione elettronica e/o documentale sostitutiva.

Tra i problemi che si legano ai sistemi di firma digitale, al di là della loro complessità di utilizzo, vi è il fatto che la firma è contenuta all’interno del file (per i formati che lo supportano) oppure come ulteriore file che “accompagna” il documento originale. La fragilità di questo sistema risiede nel fatto che entrambe possono essere manipolate, rimosse o modificate dopo la condivisione del documento.

Per ovviare il suddetto problema, Rights Chain adotta da oltre un anno un sistema di firma digitale archiviata in un sistema basato su tecnologia Blockchain.

A differenza di altre soluzioni che memorizzano all’interno di un blockchain pubblico solo il “hash” di un file, ottenendo così esclusivamente una marcatura temporale della stringa, Rights Chain archivia un insieme di informazioni aggiuntive che consentono la contestualizzazione del dato all’interno di un Blockchain privato.

Il documento originale non comprende alcun dato al suo interno, tuttavia può essere verificato in ogni momento sfruttando un semplice strumento on-line che ne consente la verifica previo upload. Qualsiasi modifica apportata al documento ne determinerà la mancata verifica.

La firma digitale memorizzata all’interno del sistema blockchain fornisce, oltre alla marcatura temporale dell’informazione, una conservazione della stessa a prova di alterazione nel tempo.

Vuoi sapere di più sulle soluzioni di Rights Chain? Contattaci senza impegno.

Pubblicato il 28/02/2019 00:00

Sebastian Zdrojewski

System, Network and Data Security advisor for over 20 years, in 2017 co-founded Rights Chain, a company aiming the development of copyright and intellectual property protection and enforcement solutions.

Richiedi informazioni