E-mail, la cifratura è debole

E-mail, la cifratura è debole

Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari
Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari

Un'implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un'offerta di lavoro proveniente nientemeno che da Google.

L'e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l'header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM ( DomainKeys Identified Mail ).

La tecnologia DKIM è impiegata per garantire l'autenticità del mittente con una firma apportata alla mail, ma l'uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.

Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l'esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.

Come testimonia anche lo US-CERT, il problema non è esclusiva di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in “modalità test”. Sia come sia, a breve distanza dalla diffusione della notizia sull'esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

25 10 2012
Link copiato negli appunti