San Francisco (USA) – Nessuna tecnologia, per quanto sicura, sembra esserlo al cento per cento, nemmeno le smart card, quelle tessere in formato carta di credito che vengono sempre più spesso utilizzate da aziende, enti pubblici e organizzazioni militari per autenticare l’accesso degli utenti a computer, programmi o reti protette.
Cryptography Research , la stessa società dietro al protocollo di sicurezza SSL 3.0 utilizzato per rendere sicure le transazioni sul Web, sostiene di aver scoperto un nuovo metodo per “sniffare” chiavi segrete e informazioni dai lettori di smart card o da altri device crittografici basati su componenti hardware.
Attraverso tecniche conosciute con il nome di “Differential Power Analysis” (DPA), l’azienda californiana sostiene infatti che è possibile sfruttare le caratteristiche della logica dei transistor e del software che gira sui sistemi di autenticazione per interpretare i dati segreti memorizzati su smart card o token a partire dalle fluttuazioni nel consumo di corrente elettrica dei microprocessori contenuti nei lettori hardware.
Sebbene a parole sembri qualcosa di molto rocambolesco, Cryptography Research sostiene che il problema è grave perché un cracker con un buon know-how che abbia accesso ad una smart card potrebbe essere in grado, attraverso l’analisi dell’attività elettrica e all’applicazione di metodi statistici, di interpretare la chiave o il PIN segreti memorizzati sul dispositivo di autenticazione.
L’azienda sostiene che il problema sta nella scarsa schermatura elettromagnetica dell’attuale generazione di smart card.
Sebbene un attacco di questo tipo richieda abilità non comuni, Cryptography Research sostiene che può essere effettuato con strumenti che si trovano normalmente in commercio e che costano poche migliaia di dollari: un esperto in genere riuscirebbe a rubare una chiave segreta in poche ore di lavoro.
Cryptography Research si è già detta al lavoro su una nuova generazione di smart card che, nemmeno a dirlo, viene descritta come immune da questa forma di attacchi.