[Linuxtrent] Re: Recuperare il file originale da un file PDF firmato CAdES
- From: Guido Brugnara <gdo@xxxxxxxxx>
- To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
- Date: Tue, 16 Jan 2018 13:31:25 +0100 (CET)
----- Il 16-gen-18, alle 13:09, Mick Bert micbert75@xxxxxxxxx ha scritto:
Il giorno 16 gennaio 2018 12:40, Guido Brugnara < gdo@xxxxxxxxx > ha scritto:
----- Il 16-gen-18, alle 11:28, Guido Brugnara gdo@xxxxxxxxx ha scritto:
===cut===
Vi risulta sia possibile estrarre da un PDF firmato il documento originale
senza
firme?
In questo thread
https://stackoverflow.com/questions/29604147/get-the-original-content-from-a-signed-pdf
affermano che non sia possibile recuperare il file originale.
Ma se fosse vero, come è possibile verificare che la hash (che identifica il
documento) contenuta nella firma corrisponda al file firmato?
Ciò può solo significare che l'utente firma qualcosa di diverso dal file
originale ... o sbaglio?
Da come interpreto io il link che hai messo tu, il documento firmato
corrisponde
nel contenuto a quello originale, ma non necessariamente a come viene
rappresentato. Quindi in effetti sembra che tu abbia ragione, da un lato, in
quanto non c'è corrispondenza bit-a-bit tra il documento originale e quello a
cui viene aggiunta la firma. Non riesco però a mettere a fuoco la criticità
che
sottolinei dove ti domandi come è possibile verificare che la hash contenuta
nella firma corrisponda al file firmato.
--
Mick
La firma di un documento viene fatta generando la hash del documento da firmare
e alla hash si applica l'algoritmo di cifratura asimmetrica usando la chiave
privata conservata nel dispositivo di firma.
Il processo di verifica controlla l'identità del firmatario e poi dovrebbe
confrontare la hash firmata con la hash del documento ricalcolata, per
verificare che siano uguali.
Se il software di firma, prima di calcolara la hash altera il documento, la
firma non corrisponderà al file originale ma al file modificato.
Se io consegno un file a terzi per la firma, quando il documento torna firmato
non ho modo di verificare con certezza assoluta che i terzi abbiano
effettivamente firmato il documento da me inviato.
Un sistema automatizzato non sarà in grado di fare un confronto bit-a-bit ma
dovrà valutare le differenze e comprendere se tali differenze sono o meno
ininfluenti, quindi entrare nel merito della struttura del file PDF.
bye
gdo
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: