[Linuxtrent] Re: Recuperare il file originale da un file PDF firmato CAdES

  • From: Guido Brugnara <gdo@xxxxxxxxx>
  • To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
  • Date: Tue, 16 Jan 2018 13:31:25 +0100 (CET)

----- Il 16-gen-18, alle 13:09, Mick Bert micbert75@xxxxxxxxx ha scritto:

Il giorno 16 gennaio 2018 12:40, Guido Brugnara < gdo@xxxxxxxxx > ha scritto:
----- Il 16-gen-18, alle 11:28, Guido Brugnara gdo@xxxxxxxxx ha scritto:
===cut===
Vi risulta sia possibile estrarre da un PDF firmato il documento originale 
senza
firme?
In questo thread
https://stackoverflow.com/questions/29604147/get-the-original-content-from-a-signed-pdf
affermano che non sia possibile recuperare il file originale.
Ma se fosse vero, come è possibile verificare che la hash (che identifica il
documento) contenuta nella firma corrisponda al file firmato?
Ciò può solo significare che l'utente firma qualcosa di diverso dal file
originale ... o sbaglio?
Da come interpreto io il link che hai messo tu, il documento firmato 
corrisponde
nel contenuto a quello originale, ma non necessariamente a come viene
rappresentato. Quindi in effetti sembra che tu abbia ragione, da un lato, in
quanto non c'è corrispondenza bit-a-bit tra il documento originale e quello a
cui viene aggiunta la firma. Non riesco però a mettere a fuoco la criticità 
che
sottolinei dove ti domandi come è possibile verificare che la hash contenuta
nella firma corrisponda al file firmato.
--
Mick

La firma di un documento viene fatta generando la hash del documento da firmare 
e alla hash si applica l'algoritmo di cifratura asimmetrica usando la chiave 
privata conservata nel dispositivo di firma.

Il processo di verifica controlla l'identità del firmatario e poi dovrebbe 
confrontare la hash firmata con la hash del documento ricalcolata, per 
verificare che siano uguali.

Se il software di firma, prima di calcolara la hash altera il documento, la 
firma non corrisponderà al file originale ma al file modificato.

Se io consegno un file a terzi per la firma, quando il documento torna firmato 
non ho modo di verificare con certezza assoluta che i terzi abbiano 
effettivamente firmato il documento da me inviato.
Un sistema automatizzato non sarà in grado di fare un confronto bit-a-bit ma 
dovrà valutare le differenze e comprendere se tali differenze sono o meno 
ininfluenti, quindi entrare nel merito della struttura del file PDF.

bye
gdo
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx


Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 01-2018