Alfonso Maruccia

SHA-1, messa al bando con problemi

La decisione di Mozilla di eliminare lo storico algoritmo da Firefox porta a spiacevoli conseguenze sul fronte della sicurezza. La Fondazione è costretta a reimplementare la tecnologia, almeno in via temporanea

Roma - I certificati crittografici firmati digitalmente tramite l'algoritmo SHA-1 hanno oramai i mesi contati, ma come già previsto da alcuni lo storico abbandono sta portando alla comparsa di problemi di sicurezza indesiderati. Il tempo ci metterà una pezza, e nel mentre Mozilla ripristina il supporto della tecnologia creata da NSA in Firefox.

Come evidenziato dalla fondazione americana, infatti, il rifiuto dei nuovi certificati firmati con SHA-1 (procedura implementata a partire dal primo gennaio 2016) interferisce con i dispositivi e i software di tipo "man-in-the-middle": scanner di sicurezza e antivirus non riescono più a connettersi ai server HTTPS, dice Mozilla, con la conseguente impossibilità di garantire una protezione sempre aggiornata all'utente.

Per evitare rischi ben più pericolosi dell'insicurezza (al momento ancora teorica) delle firme SHA-1, Mozilla ha quindi deciso di reimplementare il supporto all'algoritmo in una versione aggiornata dell'ultima release di Firefox disponibile per il download. E chi non vuole reinstallare il browser? Potrà riabilitare SHA-1 dal pannello delle opzioni accessibile tramite il comando "about:config".
Per ora SHA-1 ha ancora una sua necessità, suggerisce Mozilla, ma i piani di abbandono definitivo della tecnologia su Firefox (fissati per questa estate) procedono come previsto e le software house più importanti dovrebbero presto relegare l'algoritmo al dimenticatoio.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSHA-1, si avvicina la fineGoogle si unisce alle aziende che hanno dichiarato di voler anticipare la dismissione dell'algoritmo crittografico di NSA, mentre altri frenano: decine di milioni di utenti con browser non aggiornati si troveranno disconnessi
  • SicurezzaMozilla, il piano per eliminare SHA-1La fondazione del Panda Rosso fornisce nuovi aggiornamenti sul progetto, graduale ma inesorabile, per eliminare completamente il supporto di SHA-1 da Firefox. Avverrà presto, forse anche prima del previsto
  • SicurezzaSHA-1, cresce il rischio di attacchiGli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti
6 Commenti alla Notizia SHA-1, messa al bando con problemi
Ordina
  • Non l'ho capita sta roba. Che c'azzecca l'antivirus con firefox? Mica si appoggiano al browser per scaricare gli aggiornamenti!
    non+autenticato
  • - Scritto da: Luca
    > Non l'ho capita sta roba. Che c'azzecca
    > l'antivirus con firefox? Mica si appoggiano al
    > browser per scaricare gli
    > aggiornamenti!

    I programmi di protezione configurati per proteggere la navigazione devono usare certificati MiTM altrimenti non potrebbero analizzare il traffico HTTPS.
    Nel momento in cui FF rifiuta quelli con l'HASH SHA-1, l'utente si ritrova con problemi di navigazione.

    Per quanto mi rigaurda nessun programma deve fare MiTM, nemmeno per 'proteggerti', mai fidarsi di terze parti quando dialoghi in HTTPS.
    non+autenticato
  • >, mai fidarsi di
    > terze parti quando dialoghi in
    > HTTPS.

    Ma se già hai un programma installato, vuol dire che già ti fidi di quello. E gli concedi tutto il potere che vuole.
    Infatti non uso certi programmi né certi sistemi operativi perché non mi fido. Se c'è un keylogger come sistema operativo o come altro programma, il traffico HTTPS è intercettabile ad ogni modo. Non dico che è necessario che l'eseguibile di Firefox debba essere compromesso o sostituito, o che la memoria RAM possa essere letta e copiata, o che venga letto tutto l'input da tastiera come fanno i keylogger... ma solo che il programma di terze parti potrebbe farlo quindi leggere il traffico HTTPS con un MiTM è solo un modo semplice per intercettare dati che possono comunque essere intercettati in altro modo.
    non+autenticato
  • - Scritto da: Nome e cognome

    > Ma se già hai un programma installato, vuol dire
    > che già ti fidi di quello.

    No, meno cose sa meglio è.
    Secondo la tua logica, tutte le app del playstore dovrebbero averei permessi di fare qualunque cosa perché 'se li scarichi, ti fidi'.

    Io posso fidarmi del fatto che un AV funziona ma non mi fido della sua policy sul trattamento dei dati e quindi non gli faccio analizzare le mie connessioni HTTPS nè lo faccio connettere ad internet se non in GET (in pratica non può caricare dati) e solo all'indirizzo dell'update delle firme.
    non+autenticato
  • Giorni fa dopo l'update di firefox 43.0.2 ho dovuto disinstallare "nvidia forceware network access manager" perchè non faceva accedere firefox alla rete.

    http://www.shouldiremoveit.com/NVIDIA-ForceWare-Ne...
    -----------------------------------------------------------
    Modificato dall' autore il 08 gennaio 2016 21.02
    -----------------------------------------------------------
  • Aaaaah quelle inutili toolbar e altri programmi schifezza. L'inutilità fatta software.
    Adesso ho capito.
    non+autenticato