Dubbi di backdoor NSA su Vista SP1

Dubbi di backdoor NSA su Vista SP1

Un esperto di sicurezza fa notare che il Service Pack implementa lo stesso motore per la generazione di numeri casuali recentemente sospettato di contenere una backdoor di NSA. Di default, tuttavia, non è attivato
Un esperto di sicurezza fa notare che il Service Pack implementa lo stesso motore per la generazione di numeri casuali recentemente sospettato di contenere una backdoor di NSA. Di default, tuttavia, non è attivato

Il celebre guru della sicurezza Bruce Schneier segnala sul proprio blog che il Service Pack 1 per Windows Vista, di cui Microsoft ha recentemente rilasciato una release candidate, contiene un secondo motore per la generazione dei numeri pseudocasuali che a suo dire potrebbe mettere a rischio la privacy degli utenti.

Il nuovo random number generator di Vista è denominato Dual_EC-DRBG , ed è lo stesso in cui lo scorso mese alcuni esperti di sicurezza, tra cui lo stesso Schneier, hanno identificato quella che molti sospettano si tratti di una chiave d’accesso segreta : in altre parole, una backdoor che permetterebbe all’intelligence americana, NSA in particolare, di decodificare qualsiasi contenuto cifrato.

Schneier ha però specificato che, di default, Dual_EC-DRBG è disattivato : il motore dei numeri casuali predefinito, anche in Windows Vista SP1, resta il CTR_DRBG , che a parere degli esperti non contiene potenziali backdoor.

“Dual_EC_DRBG viene utilizzato solo se il programmatore lo richiama espressamente”, ha spiegato in questo commento Jesse Viviano, un lettore del blog di Schneier. “L’unico modo per essere sicuri che Dual_EC_DRBG non venga usato (da un’applicazione, NdR) è effettuare un’analisi del codice”.

Dual_EC_DRBG fa parte di uno standard recentemente pubblicato da NIST (National Institute of Standards and Technology). Ad oggi, il famoso ente americano deve ancora fornire un chiarimento sulle inquietanti scoperte fatte dalla comunità di esperti di sicurezza.

Link copiato negli appunti

Ti potrebbe interessare

18 12 2007
Link copiato negli appunti