La crittografia online ha una falla: non sempre i numeri casuali lo sono davvero

Un team di ricercatori internazionali ha appena fatto tremare le fondamenta dell’edificio su cui si regge la Grande Rete: c’è una debolezza inattesa e quasi sconosciuta che affligge la generazione di numeri primi che è alla radice del sistema di crittografia asimmetrica, su cui si basa shopping online, banking, sicurezza delle nostre caselle di posta e innumerevoli altri servizi.

La falla coinvolge pochi casi, ma sono un numero quantificabile, e può essere spiegata così: talvolta le sequenze di numeri primi generate dal meccanismo di sicurezza non sono affatto casuali, e possono essere individuate. Si tratta di una parte del lavoro affidata implicitamente ai gestori di grandi siti web, l’utente non è nè responsabile nè in grado di influenzare tale falla.

A quanto pare la falla non era prevedibile ed è di natura ignota. E’ stata però riscontrata utilizzando mezzi che per un matematico sono relativamente banali, applicando l’algoritmo di Euclide per esaminare circa 7 milioni di chiavi pubbliche, e giungendo quindi alla conclusione che quasi 27.000 di esse non offrivano alcuna sicurezza. Il team ha rincarato la dose: Il fatto che la ricerca si basasse su concetti relativamente poco sofisticati potrebbe voler dire che non sono stati i primi ad arrivare a tali conclusioni.

Ma le pessime notizie non finiscono qui: lo stesso problema si è presentato sul lavoro di differenti sviluppatori software, e la causa di esso è totalmente sconosciuta. Ci vorrà sicuramente un gran lavoro per arrivare al fondo della questione, soprattutto se si vuole evitare di perdere la fiducia che il pubblico nutre su un sistema che tutti ormai ritenevamo piuttosto familiare.

Foto | Flickr
Via | New York Times

La crittografia online ha una falla: non sempre i numeri casuali lo sono davvero é stato pubblicato su Downloadblog.it

Crittografia: alcuni trucchi per l’utilizzo sicuro di TrueCrypt

TrueCrypt è una nota applicazione che consente di creare unità disco virtuali crittografate e di cifrare l’intero contenuto di dischi e parzioni, compresa quella ospitante il sistema operativo.
I dati cifrati salvati all’interno di ‘file-contenitori‘ utilizzando una serie di noti algoritmi crittografici (AES, Serpent e Twofish) sono accessibili solo dal legittimo proprietario previo inserimento di una password impostata al momento della creazione dell’unità virtuale. In aggiunta, si può specificare anche l’utilizzo di un ‘file chiave’ (memorizzabile, ad esempio, su una o più unità rimovibili) che fungerà da protezione addizionale.
A partire dalla sesta versione, il software è anche in grado di generare dei ‘file-contenitore‘ nascosti: TrueCrypt può produrre un ‘contenitore’ che si comporti come un involucro per un altro oggetto, nascosto, la cui presenza non è provabile. In questo modo, un utente che venisse forzato a rivelare la password del contenitore ‘esterno’ non consentirà l’accesso ai contenuti ed ai dati importanti che avrà invece avuto cura di salvare nel contenitore nascosto.


Continua a leggere su http://www.ilsoftware.it/news.asp?ID=6754

I flussi dati HDCP già decodificati via software


HDCP è un meccanismo per la protezione dei contenuti pensato per impedire fenomeni di ‘pirateria digitale’. Il sistema, implementato su connessioni che veicolano segnali audio/video protetti da copyright e sviluppato da Intel, ha suscitato – per anni – l’interesse da parte di ricercatori di tutto il mondo che si sono affannati per metterne a nudo i ‘segreti’. HDCP viene infatti utilizzate sulle connessioni digitali DVI e HDMI per cifrare i flussi audio-video che ‘viaggiano’ da un dispositivo all’altro (ad esempio, da un decoder, un lettore Blu-Ray, un lettore HD DVD verso un apparecchio televisivo).

Nel 2001, il crittografo olandese Niels Ferguson affermò di aver individuato la ‘master key‘ impiegata da HDCP ossia la chiave a partire dalla quale vengono prodotte tutte le altre chiavi private. Il ricercatore non divulgò pubblicamente l’esito delle sue indagini dichiarando di aver segnalato la sua scoperta solamente ai tecnici di Intel.