Google ha recentemente adottato di default il protocollo di sicurezza noto come Secure Sockets Layer (SSL): tutti gli utenti registrati ai suoi servizi vengono ora indirizzati verso un indirizzo protetto riconoscibile dal prefisso HTTPS. Nel corso dell’anno che sta per concludersi anche Facebook e Twitter hanno sposato questa scelta, ma i tecnici Google hanno ora preso una precauzione in più.
Alla cifratura sotto protezione SSL predefinita è stata ora aggiunta una funzione forward-secrecy che, letteralmente, guarda in avanti. L’algoritmo genera ad ogni sessione una chiave pubblica differente e non tiene in memoria le chiavi private in modo persistente. Questo significa limitare la portata di un eventuale attacco alle chiavi cifratura e salvaguardare la privacy.
L’hacker o il cracker in possesso di una chiave di decodifica potrà infatti decifrare solo le informazioni scambiate durante una singola sessione, ma non potrà accedere a sessioni HTTPS avvenute prima o in un momento successivo. Neppure gli operatori dei server ufficiali saranno più in grado di tornare indietro nel tempo.
Google ha comunicato che la modalità forward-secrecy HTTPS è stata subito implementata per Gmail e molti altri servizi come Google Docs, Google Plus, e anche nel nuovo strumento per la ricerca cifrata raggiungibile all’indirizzo https://encrypted.google.com .
Per far funzionare il sistema forward-secrecy i browser devono però supportare il metodo di scambio di chiavi Diffie-Hellman (ECDHE), un protocollo incentrato sulla crittografia a curva ellittica. Chrome e Firefox sono compatibili per default con il sistema ECDHE ma ancora manca il supporto di altri software di navigazione, come Internet Explorer.
Roberto Pulito
Ti potrebbe interessare
24 nov 2011