Le “security key” si sono proposte negli ultimi anni con sempre maggior insistenza come un sistema blindato e comodo per certificare l’accesso sicuro agli account online. Tuttavia questa promessa sembra essere stata tradita dapprima da Google (trovato un bug nelle unità bluetooth della Titan Security Key) e ora anche da Yubico, due tra i nomi più interessanti su questo fronte. Il problema non sta tanto nella fallacia della tecnologia (poiché la fallacia stessa è inestricabilmente connaturata ai meccanismi digitali), quanto nel fatto che le promesse dei due gruppi siano durate relativamente poco.
Il problema di chi propone chiavi di questo tipo sta nella necessità di conquistare la fiducia dell’utente, ma perderla nuovamente è questione di un attimo. Google ha ben risolto il proprio problema antecedente predisponendo un comodo sistema di alert che ha portato alla rapida sostituzione delle unità fallaci (possiamo certificare la bontà del meccanismo: l’unità in nostro possesso è stata sostituita nel giro di pochi giorni attraverso un acquisto con rimborso su Amazon). Ora medesima sfida tocca a Yubico, che sembra però aver circoscritto il problema ad un livello più alto, senza la necessità di coinvolgere l’intera utenza.
Yubico, i dettagli del recall
Yubico ha infatti avviato una procedura di recall finalizzata al recupero ed alla sostituzione delle chiavi di sicurezza in uso presso il Governo USA. Il problema è insito nelle release del firmware identificate dai codici 4.4.2 e 4.4.4 in uso sulle YubiKey FIPS Series – tutti gli altri prodotti Yubico sarebbero immuni al problema. La crittografia in uso avrebbe infatti utilizzato un meccanismo crittografico con procedure di randomizzazione ridotte, limitate rispetto al reale potenziale e quindi non in grado di ottemperare alle promesse di sicurezza offerte. In pratica: 80 dei 256 bit generati all’interno delle chiavi rimanevano costanti, riducendo così in modo radicale la generazione casuale dell’intera stringa. Stando questi i fatti, Yubico non ha potuto far altro che procedere con il richiamo, mettendo peraltro a disposizione di tutti gli utenti un portale di verifica ove inserire l’ID della chiave per ottenere un feedback puntuale sullo status di sicurezza e sull’eventuale procedura di sostituzione.
Ciò significa che per un tempo non meglio definito migliaia di funzionari governativi hanno utilizzato chiavi non sicure, mettendo così a rischio informazioni e procedure sensibili. Sebbene il rischio fosse soltanto potenziale, ciò rende estremamente più fragile la promessa di sicurezza in seno alle chiavi proposte. Yubico, così come Google, ha reagito con estrema solerzia al problema emerso, anticipando la fuga di notizie ed operando l’immediata sostituzione. Entrambi i gruppi, così come qualunque altro interessato a proporre soluzioni similari, dovranno però trovare il modo di migliorare ulteriormente la sicurezza pur mantenendo costante l’attuale semplicità del sistema.
Per le chiavi di sicurezza sono questi mesi importanti, poiché in ballo v’è la competizione con i sistemi di identificazione tramite parametri biometrici e altri processi: la tecnologia che meglio e più a lungo saprà dimostrarsi solida di fronte ai rischi esterni saprà guadagnarsi tutti quegli importanti mercati nei quali privacy e sicurezza sono aspetti centrali nel passaggio tra il mondo reale e la dimensione digitale.