Non fidatevi dell'SSL

Una nuova ricerca evidenzia i problemi strutturali della tecnologia crittografica alla base delle connessioni web protette (HTTPS). E ci sono problemi anche per altri popolari protocolli come PGP
Una nuova ricerca evidenzia i problemi strutturali della tecnologia crittografica alla base delle connessioni web protette (HTTPS). E ci sono problemi anche per altri popolari protocolli come PGP

Una nuova ricerca europea mette in luce i gravi difetti di sicurezza che affliggono le tecnologie crittografiche usate estensivamente per garantire la sicurezza delle comunicazioni su Web. E questa volta non c’entrano le Certificate Authority o gli attacchi cracker : la tecnologia SSL è fallata a partire dal design, e non è la sola.

Autori dello studio Arjen Lenstra e colleghi della Scuola Politecnica Federale di Losanna, in Svizzera, che si sono serviti dei dati raccolti dalla Electronic Frontier Foundation nel suo progetto “SSL Observatory”: un database di decine di migliaia di certificati SSL pubblicamente disponibili e raccolti in un singolo archivio a disposizione dei ricercatori.

Quello che hanno scoperto Lenstra e colleghi è che in sostanza queste decine di migliaia di certificati “non offrono alcuna sicurezza a causa della debolezza degli algoritmi per la generazione di numeri casuali” (RNG).

Gli algoritmi alla base di SSL sono fallati sin dal principio , dicono i ricercatori, con bachi che affliggono gli algoritmi RNG dimostrati individuando fattori primi condivisi da diverse chiavi crittografiche pubbliche.

Ma i ricercatori non si sono fermati a SSL e hanno messo sotto torchio anche altri criptosistemi come PGP: il risultato, neanche a dirlo, ha evidenziato ancora una volta problemi strutturali nella generazione dei fattori primi negli algoritmi di cifratura più usati (RSA, ElGamal).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

16 02 2012
Link copiato negli appunti