Alfonso Maruccia

E-mail, la cifratura è debole

Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari

Roma - Un'implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un'offerta di lavoro proveniente nientemeno che da Google.

L'e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l'header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM (DomainKeys Identified Mail).

La tecnologia DKIM è impiegata per garantire l'autenticità del mittente con una firma apportata alla mail, ma l'uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.
Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l'esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.

Come testimonia anche lo US-CERT, il problema non è esclusiva di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in "modalità test". Sia come sia, a breve distanza dalla diffusione della notizia sull'esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.

Alfonso Maruccia
Notizie collegate
  • AttualitàGoogle contro lo spam del searchBigG ha annunciato misure più drastiche nella lotta alle content farm. Un nuovo classificatore avrà miglior fiuto nell'individuare parole chiave utilizzate a fini pubblicitari. Mentre una firma aiuterà gli utenti di Google Apps
10 Commenti alla Notizia E-mail, la cifratura è debole
Ordina