Sto realizzando sul mio server aziendale un applicativo in php (uso php perche mi trovo bene e perche dovro fare interfacce consultabilida lan) che rimmarrà in ambiente lan e avrà lo scopo di registrare tutti gli accessi al server soprattutto quelli da amministratore.
Questa cosa è richiesta per legge dal D.Lgs 196, maggiori informazioni qui:
GarantePrivacy.it - Allegato
GarantePrivacy.it
Quello che occorre fare in breve è:
salvare ogni accesso come amministratore della macchina in modo completo (con nome utente, [azione: login, logout, password sbagliata], timestamp) e in modo che questa informazione non possa essere alterata o falsificata. Ecco qui iniziano le grane.
Pensavo di lanciare un scrip su login, logout e creare una riga nel DB con tutte queste informazioni e allo stesso tempo creare un md5 del contenuto (contenuto che conterrà azione, timestamp e utente) salvandolo in un file.
In questo modo verificando in modo incrociato il dato nel DB con i rispettivi ash contenuti nei file ho la certezza che non si sia modificato il db manualmente, infatti se cambio qualcosa il rispettivo hash non corrisponderà piu.
Tuttavia questa soluzione non risolve tutti i problemi, inquanto io come admin potei loggarmi (il mio log viene registrato) potrei cancellare la riga nel DB o aggiungerne una creando a mano l'md5. Poteri bloccare o cancellare lo script php, insomma fare davvero un sacco di cose che devo risolvere. Sto seriamente pensando di inviare queste informazioni con syslog ad un altra macchina adibita a quello.
Ma soprattutto non posso firmare digitalmente i file contenenti gli hash md5 del DB. Che è la cosa piu importante e che davvero non capisco. A quanto ne so deve essere dimostrabile che il file creato è veramente stato creato da quella macchina a quella determinata ora. In pratica è come se dovessi certificare il file.
La mia domanda è posso firmare un file digitalmente? Intendo senza una firma digitale personale perche non va bene.
Non sono riuscito a trovare un ente di certificazione che permetta al mio codice di firmare questi file e sono un po' a corto di informazioni, potrei firmarlo con una chiave pub/chiave privata tipo pgp, ma non sarebbe certificata da nessun ente.
Qualche idea?
Qualche idea riguardante al progetto in generale?
Se qualcuno è interessato sono disposto a collaborare. Il grosso del programma sarà fatto in PHP e la firma verrà usata da php, però onestamente non so se ho postato nella discussione corretta, ero un po0 indeciso data la complessità dell'argomento.
A presto, Luca
Rispondi quotando
