Il celebre guru della sicurezza Bruce Schneier segnala sul proprio blog che il Service Pack 1 per Windows Vista, di cui Microsoft ha recentemente rilasciato una release candidate, contiene un secondo motore per la generazione dei numeri pseudocasuali che a suo dire potrebbe mettere a rischio la privacy degli utenti.
Il nuovo random number generator di Vista è denominato Dual_EC-DRBG , ed è lo stesso in cui lo scorso mese alcuni esperti di sicurezza, tra cui lo stesso Schneier, hanno identificato quella che molti sospettano si tratti di una chiave d’accesso segreta : in altre parole, una backdoor che permetterebbe all’intelligence americana, NSA in particolare, di decodificare qualsiasi contenuto cifrato.
Schneier ha però specificato che, di default, Dual_EC-DRBG è disattivato : il motore dei numeri casuali predefinito, anche in Windows Vista SP1, resta il CTR_DRBG , che a parere degli esperti non contiene potenziali backdoor.
“Dual_EC_DRBG viene utilizzato solo se il programmatore lo richiama espressamente”, ha spiegato in questo commento Jesse Viviano, un lettore del blog di Schneier. “L’unico modo per essere sicuri che Dual_EC_DRBG non venga usato (da un’applicazione, NdR) è effettuare un’analisi del codice”.
Dual_EC_DRBG fa parte di uno standard recentemente pubblicato da NIST (National Institute of Standards and Technology). Ad oggi, il famoso ente americano deve ancora fornire un chiarimento sulle inquietanti scoperte fatte dalla comunità di esperti di sicurezza.
Ti potrebbe interessare
19 dic 2007