Alfonso Maruccia

Non fidatevi dell'SSL

Una nuova ricerca evidenzia i problemi strutturali della tecnologia crittografica alla base delle connessioni web protette (HTTPS). E ci sono problemi anche per altri popolari protocolli come PGP

Roma - Una nuova ricerca europea mette in luce i gravi difetti di sicurezza che affliggono le tecnologie crittografiche usate estensivamente per garantire la sicurezza delle comunicazioni su Web. E questa volta non c'entrano le Certificate Authority o gli attacchi cracker: la tecnologia SSL è fallata a partire dal design, e non è la sola.

Autori dello studio Arjen Lenstra e colleghi della Scuola Politecnica Federale di Losanna, in Svizzera, che si sono serviti dei dati raccolti dalla Electronic Frontier Foundation nel suo progetto "SSL Observatory": un database di decine di migliaia di certificati SSL pubblicamente disponibili e raccolti in un singolo archivio a disposizione dei ricercatori.

Quello che hanno scoperto Lenstra e colleghi è che in sostanza queste decine di migliaia di certificati "non offrono alcuna sicurezza a causa della debolezza degli algoritmi per la generazione di numeri casuali" (RNG).
Gli algoritmi alla base di SSL sono fallati sin dal principio, dicono i ricercatori, con bachi che affliggono gli algoritmi RNG dimostrati individuando fattori primi condivisi da diverse chiavi crittografiche pubbliche.

Ma i ricercatori non si sono fermati a SSL e hanno messo sotto torchio anche altri criptosistemi come PGP: il risultato, neanche a dirlo, ha evidenziato ancora una volta problemi strutturali nella generazione dei fattori primi negli algoritmi di cifratura più usati (RSA, ElGamal).

Alfonso Maruccia
Notizie collegate
  • SicurezzaSSL, DoS a portata di laptopUn gruppo di hacker tedeschi rilascia il suo tool per buttar giù i server di autenticazione. Il software sfrutta una funzionalità poco nota dello standard SSL, ma comunque nefasta
  • SicurezzaVeriSign, attacco al cuore della ReteNel 2010 la società che gestisce una parte dei server "root" del sistema DNS è caduta vittima di hacker ignoti. Ripetutamente. Gli incidenti svelati solo oggi
13 Commenti alla Notizia Non fidatevi dell'SSL
Ordina
  • un buon hsm contiene anche un rng; quindi ste ca che cavolo utilizzano per la gestione/generazione dei certificati??
    non+autenticato
  • Fare un articolo con titolo "Non fidatevi dell'SSL" è esagerato. Al momento la SSL è ancora uno dei migliori modi per crittografare su internet e scrivere un simile titolo è esagerato. L'auotre dell'articolo conosce un sistema migliore?? Come giustamente scrive Nome e cognome utilizzare chiavi da 8192b è un valido aiuto per proteggere i propri dati.
    Meno allarmismi e più realtà per favore.
    non+autenticato
  • - Scritto da: HermanHesse Quello TOSTO!
    > Stavo per scriverlo io...

    Esatto...
  • Il problema non e tanto tecnologico, quanto commerciale. I generatori di numeri primi basati su fenomeni fisici esistono (rumore termico) o probabilemnte anche lo stesso /dev/random di linux, basta capire a cosa servono e avere voglia di usarli.
    non+autenticato
  • Infatti mi ricordo perfettamente che quando ero studente (proprio a Losanna) all'inizio degli anni '90 mi erano state dette le cose seguenti:

    1. Gli algoritmi di codifica sono forti se i loro fattori primi sono "buoni" e che è molto difficile generarli. Per avere un buon risultato si devono usare dei buoni generatori di numeri casuali e dei buoni algoritmi di generazione/verifica di grandi numeri primi.

    2. Non esiste un generatore di numeri casuali affidabile. (Nel frattempo ne sono stati costruiti ma costano estremamente cari e non sono ancora diffusi nei PC casalinghi).

    3. Gli algoritmi di generazione di grandi numeri primi non sono affidabili al 100% perché per creare un grande numero primo e testare se è effettivamente primo è un problema NP completo, il che significa che è altrettanto difficile dimostrare che un numero è primo che il provare a craccare la chiave stessa.

    Messe assieme, queste tre affermazioni sono più che sufficienti a farci dubitare di qualsiasi sistema di crittografia.

    L'unica salvezza di quel metodo è quella di applicare il meglio delle tecnologie di generazione di numeri e di verifica che si conoscono per limitare i rischi. Ma chi crede veramente che queste tecniche sono state implementate nei PC casalinghi?

    N.B.: Io uso solamente chiavi da 8192b già da almeno 5 anni e prima usavo chiavi da 4096b. Conosco ancora gente che usa chiavi da 1024b o meno. Ora 8192b non garantiscono la sicurezza al 100%, ma restano in ogni caso più difficili da craccare che una chiave da 1024b.
    non+autenticato
  • lo stesso attacco che viene applicato alla chiave da 8k viene applicato a quello da 2k per cui trovare quella da 8k è solo più lungo..Tenuto, però, conto che trovare quella da 2k implica miliardi di anni, direi che sei già sufficientemente al sicuro (a meno di scoperte che abbreviano i tempi di crack a termini umani)
    non+autenticato
  • Beh, da quello che sapevo io erano riusciti a costruire un algoritmo per il calcolo di numeri in tempo lineare (si parla di 3 o 4 anni fa ma aveva ancora parecchi problemi per pur essendo un tempo lineare aveva dei fattori moltiplicativi molto alti).
    Probabilmente potrebbero risolvere il problema se perfezzionassero quei metodi.
    non+autenticato
  • - Scritto da: Nome e Cognome

    > 3. Gli algoritmi di generazione di grandi numeri
    > primi non sono affidabili al 100% perché per
    > creare un grande numero primo e testare se è
    > effettivamente primo è un problema NP completo,
    > il che significa che è altrettanto difficile
    > dimostrare che un numero è primo che il provare a
    > craccare la chiave stessa.

    qui http://it.wikipedia.org/wiki/Test_di_primalit%C3%A... dice che calcolare la primalità di un numero e' un problema di classe P, non NP.
    non+autenticato
  • - Scritto da: Nome e Cognome
    > 2. Non esiste un generatore di numeri casuali
    > affidabile. (Nel frattempo ne sono stati
    > costruiti ma costano estremamente cari e non sono
    > ancora diffusi nei PC
    > casalinghi).

    a parte che a livello casalingo è una sciocchezza costruirsi un rng affidabile con una lavalamp, una webcam e una buona funzione di hashing; btw la maggior parte dei moderni hsm ha al suo interno dei buoni rng (che usano fenomeni quantistici per generare entropia)
    non+autenticato
  • ommadonna ancora sta storia??? è dal 2009 (se non ricordo male fu visto all Black Hat di DC) con il primo exploit chiamato SSL Strip che bucarono il protocollo. Da li sono stati perfezionati vari metodi (piu altri 3 o 4 hack ancora 0day) che a tutt' oggi permettono grossi guadagli nel mercato nero della compravendita di exploit/hack/account e sarcazzi!
    non+autenticato
  • Ogni tanto qualcuno si deve fare bello... si sa....

    E poi... si chiamano Pseudo Random proprio perchè non son 100% random, da li nasce la debolezza di qualsiasi algoritmo di cifratura. Solo che un tempo si riteneva fossero inutili preoccupazioni, oggi invece no.

    Domani contatterò le maggiori testate giornalistiche mondiali per comunicargli la (mia) più grande invenzione di sempre: l'acqua calda.
    non+autenticato
  • Straquoto!
    La vulnerabilità è nota fin dal primo algoritmo, solo che al tempo era computazionalmente impossibile lavorare in tempi "rapidi" sulla fattorizzazione, mentre ora le risorse ci sono, o meglio cominciano ad esserci.
    Insomma lo si è sempre saputo che era une questione di tempo!

    - Scritto da: nome
    > Ogni tanto qualcuno si deve fare bello... si
    > sa....
    >
    > E poi... si chiamano Pseudo Random proprio perchè
    > non son 100% random, da li nasce la debolezza di
    > qualsiasi algoritmo di cifratura. Solo che un
    > tempo si riteneva fossero inutili preoccupazioni,
    > oggi invece
    > no.
    >
    > Domani contatterò le maggiori testate
    > giornalistiche mondiali per comunicargli la (mia)
    > più grande invenzione di sempre: l'acqua
    > calda.
    non+autenticato