Crackabili le e-mail protette con SSL

I lucchetti di OpenSSL che proteggono le e-mail possono essere spezzati. A dimostrarlo è stato un gruppo di esperti di crittografia che ha decodificato delle password di posta elettronica. Niente rischi per l'e-commerce
I lucchetti di OpenSSL che proteggono le e-mail possono essere spezzati. A dimostrarlo è stato un gruppo di esperti di crittografia che ha decodificato delle password di posta elettronica. Niente rischi per l'e-commerce


Losanna (Svizzera) – Un gruppo di ricercatori svizzeri dell’Università di Losanna sostiene di aver trovato un metodo per decodificare un messaggio criptato utilizzando il Secure Socket Layer ( SSL ), un diffuso protocollo di sicurezza utilizzato per fornire una connessione sicura fra client e server.

La vulnerabilità interessa le versioni precedenti alla 0.9.6i e 0.9.7a di OpenSSL , la diffusissima implementazione open source del protocollo SSL.

Il professor Serge Vaudenay, a capo del team che ha scoperto la falla, ha descritto nei dettagli il proprio attacco in un documento nel quale dimostra come sia possibile, per un cracker che riesca a sniffare le comunicazioni che avvengono fra un client di posta elettronica e un server sicuro, decodificare porzioni del messaggio, come la password.

Vaudenay ha voluto evitare ogni allarmismo sottolineando come la debolezza appena scoperta in OpenSSL, benché non trascurabile, può essere sfruttata con una certa probabilità di successo solo con le e-mail: le transazioni sicure che avvengono via Web, come quelle di e-commerce, non sarebbero pertanto a rischio.

OpenSSL.org, che ha pubblicato un advisory qui , ha già rilasciato due nuove versioni del proprio software, la 0.9.7a e la 0.9.6i, che correggono il problema.

Link copiato negli appunti

Ti potrebbe interessare

23 02 2003
Link copiato negli appunti