ciao Claudio et all,
On 27/02/2011 23:40, Claudio Telmon wrote:
On 02/24/2011 07:05 PM, Gabriele wrote:
mmm... ad un certo punto qualche componente la devi considerare
"trusted". La componente che ho in mente è il primo processore grafico,
quello che legge il sensore e che genera il RAW, con il quale l'utente
non può interagire.
Se firmo con la mia chiave privata un RAW a sua volta firmato da una
chiave privata legata al processore, chiunque con le 2 chiavi pubbliche
a disposizione può stabilire 1. che il file è il mio. 2. che è stato
generato dal processore RAW XYZ che per definizione non ha possibilità
di modificare il risultato su comando dell'utente.
...snip...
Non credo che tu possa ragionevolmente usare la "tua" chiave privata
senza considerare trusted un sacco di roba, ben di più del processore
della macchina, come minimo perché la tua chiave al sensore ci deve
arrivare e il sensore deve avere la capacità elaborativa necessaria per
calcolare la firma. Al più puoi considerare una chiave "del sensore", se
ipotizzi di mettere nello stesso package il sensore e una sorta di TPM
che firmi il dato in uscita, e consideri trusted tutto il package.
Ti sei spiegato molto meglio di me, ma l'idea è quella. Qualcosa che
certifichi lo strumento di misura + qualcosa che certifichi chi ha
processato il file (serve ?)
Non solo, ma se usi una "tua" firma, niente di vieta di firmare qualcosa
che non è stato prodotto dal sensore. Infatti che io sappia si parla
sempre di firma dell'apparato.
Io parlo di due firme: la mia + quella dell'apparato ("del processore"
nel mio testo)
se firmo una immagine cosa faccio , la rendo corrispondente al vero?
ovvero nel firmarla rendo la sua rappresentazione della realt? come una
copia vera della realta' ? io credo di no.
Io credo di si, nel momento in cui consideri la fotocamera come uno
strumento di misura con le succitate considerazioni.
Uno "strumento di misura" misura quello che gli fai vedere. Ho avuto a
che fare con problemi di "trust" da questo in ambienti SCADA (diciamo),
e risulta sempre che è molto difficile evitare che al sensore venga
fatto leggere quello che si vuole, se non c'è controllo fisico sullo
strumento. Per intenderci, se si diffondesse un marchingegno del tipo di
cui stiamo discutendo, tempo un anno verrebbe fuori un articolo di un
qualche gruppo di hacker tedeschi che mostrerebbero come montando, che
so, un display lcd e con un particolare obiettivo si potrebbero far
firmare alla macchina le immagini che si vogliono, e probabilmente è
molto più semplice che fare un pollice di gelatina. Tutto questo per
dire che il "trust" del processore interno alla macchina è l'ultimo dei
problemi.
In effetti qua mi tocca fare un passo indietro e rimangiarmi ciò che ho
detto.
Nota di colore: ai tempi di pellicola e stampe pare si usasse ritagliare
una cornice dalla stampa. La cornice esterna veniva trattenuta dal
fotografo. In caso di contenzioso l'operazione consisteva nel
riposizionare la stampa dentro la cornice per verificarne la
corrispondenza.
Contenzioso su cosa?
Sulla paternità della foto e null'altro.
Saluti,
Gabriele
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
