Una nuova ricerca europea mette in luce i gravi difetti di sicurezza che affliggono le tecnologie crittografiche usate estensivamente per garantire la sicurezza delle comunicazioni su Web. E questa volta non c’entrano le Certificate Authority o gli attacchi cracker : la tecnologia SSL è fallata a partire dal design, e non è la sola.
Autori dello studio Arjen Lenstra e colleghi della Scuola Politecnica Federale di Losanna, in Svizzera, che si sono serviti dei dati raccolti dalla Electronic Frontier Foundation nel suo progetto “SSL Observatory”: un database di decine di migliaia di certificati SSL pubblicamente disponibili e raccolti in un singolo archivio a disposizione dei ricercatori.
Quello che hanno scoperto Lenstra e colleghi è che in sostanza queste decine di migliaia di certificati “non offrono alcuna sicurezza a causa della debolezza degli algoritmi per la generazione di numeri casuali” (RNG).
Gli algoritmi alla base di SSL sono fallati sin dal principio , dicono i ricercatori, con bachi che affliggono gli algoritmi RNG dimostrati individuando fattori primi condivisi da diverse chiavi crittografiche pubbliche.
Ma i ricercatori non si sono fermati a SSL e hanno messo sotto torchio anche altri criptosistemi come PGP: il risultato, neanche a dirlo, ha evidenziato ancora una volta problemi strutturali nella generazione dei fattori primi negli algoritmi di cifratura più usati (RSA, ElGamal).
Alfonso Maruccia