Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Inesattezze decisamente fuorvianti?
26.09.02

Spettabile Redazione,
fin dalla sua nascita ho avuto modo di apprezzare la serietà, la qualità e l'utilità del servizio che offrite tramite InterLex.
Per questo motivo ritengo utile richiamare la vostra attenzione su alcune inesattezze decisamente fuorvianti, che mi sembrano emergere dalle notizie pubblicate oggi in vari punti ove si richiama l'articolo "La firma è sicura, il documento no" di Andrea Gelpi, del 19.09.02.
Il problema segnalato sulla lista sikurezza.org (così come su varie altre liste) è noto, ma è molto improprio presentarlo come "bug di Dike": per "par condicio", il bug dovrebbe essere attribuito a qualunque programma di firma e verifica che effettui le stesse operazioni di Dike sulle stesse tipologie di file.
Posso semplicisticamente immaginare che l'attribuzione a Dike sia conseguenza del fatto della sua probabile maggiore diffusione rispetto ad altri programmi del genere, i quali restano comunque conformi alle norme ed alle regole tecniche.
In realtà, come non è immediato comprendere dall'articolo in oggetto, non si tratta di "bug" bensì della questione (correttamente discussa nel seguito dell'articolo) della "dinamicità" del documento Word.
Il problema si presenta con qualunque documento che permetta l'inclusione di contenuti dipendenti dal momento della visualizzazione: in tali casi, è ambiguo ed errato attribuire a ciò che si firma digitalmente (il codice che viene interpretato e visualizzato da un programma apposito) il significato di "documento", da intendersi come "fotografia" immutabile di un insieme di contenuti.
Una situazione analoga si potrebbe ricostruire, per esempio, con documenti HTML che includano codice Javascript.
In caso di pubblicazione, vi chiedo di voler cortesemente omettere l'indicazione dei miei riferimenti

(Messaggio firmato)

Sono arrivati diversi interventi che sostengono più o meno la tesi esposta dal mittente di questa e-mail. In sostanza i tecnici dicono che non c'è un "bug" nei altri programmi di firma digitale, perché il software calcola e poi verifica correttamente l'impronta (hash) del file che gli viene sottoposto.
E' vero. Ma il problema del quale stiamo discutendo non è un problema tecnico, è un problema giuridico: si tratta, in sostanza, di un "bug legale". L'errore concettuale è nell'affermazione che i diversi software sotto accusa "restano comunque conformi alle norme e alle regole tecniche".
Non è così, perché le norme e le regole tecniche prescrivono che attraverso la firma digitale si deve poter verificare, oltre che la provenienza, l'integrità del documento informatico. Il che può non verificarsi quando c'è un "contenuto dinamico" nell' evidenza informatica, cioè il file firmato, come si spiega più in dettaglio nell'articolo Funziona o non funziona? L'aspetto legale.
Quella che il lettore chiama "inesattezza decisamente fuoriviante" è nel suo messaggio e deriva da una lettura distratta delle norme, che porta a confondere quello che viene legalmente definito "documento informatico" con quella che la stessa normativa chiama "evidenza informatica". Se i tecnici leggessero i testi normativi con la stessa cura con la quale controllano le formule o i sorgenti, non cadrebbero in questi errori.

(M. C.)