Il Blog sta subendo alcuni interventi di manutenzione e aggiornamento, pertanto nei prossimi giorni si potrebbero riscontrare rallentamenti o malfunzionamenti.Ci scusiamo per il disagio.

Sicurezza informatica: l’Italia non ha la chiave giusta

Tutto il mondo va a 256/2048 bit, l’Italia è ferma a 128/1024 bit. Parliamo di sicurezza informatica, e in particolare, delle chiavi digitali  che proteggono con la crittografia i siti in cui si svolgono transazioni delicate, con contenuti sensibili, come l’identità personale. E’ un problema maledettamente serio, che da noi si prende sottogamba. Tutte le Certification Authority (CA) universalmente riconosciute impongono da tempo l’uso delle chiavi basate su algoritmo a 256/2048 bit. In Italia si sono adeguate le banche, ma le Certification Authority continuano ad adottare chiavi a 128 bit per la Posta Elettronica Certificata (PEC).

E’ una protezione inadeguata, una cassaforte di latta esposta agli attacchi dei cracker (gli hacker cattivi). La rete è piena di istruzioni per violare le difese a 128 bit. Un gioco da ragazzi, come si evince da questo video:

Ci si aspettava un’inversione di rotta dal nuovo Codice dell’Amministrazione Digitale approvato ieri dal governo, ma il problema non è stato neanche affrontato. Si può solo auspicare che l’adeguamento delle chiavi crittografiche arrivi con i regolamenti di attuazione.

Eppure l’allarme  è stato lanciato da molto tempo. Il National Institute of Standards and Technology, ovvero l’autorità mondiale in tema di standard per le tecnologie, a marzo 2007 ha chiesto (imposto) a tutte le Certification Authority del mondo di rilasciare chiavi a 256 bit. Lo stesso appello è arrivato a gennaio 2009 da Microsoft, poi da Mozilla e via di seguito. Scrive Mozilla che, a partire dal 31 dicembre 2010 (tra pochi giorni), “Tutte le autorità competenti devono smettere immediatamente di rilasciare certificati di destinazione finale con chiave RSA di dimensioni inferiori a 2048 bit”.

Inoltre “Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits” (!)

Il CA forum Browser, organismo mondiale del quale fanno parte i produttori di browser (Apple, Google, Microsoft, Opera, Mozilla, eccetera) e le autorità di certificazione (quelle italiane sono assenti), lavora per rendere sempre più sicuri gli strumenti di navigazione. Le chiavi a 128 bit sono considerate ormai anacronistiche. L’obiettivo sono gli Extended Validation (EV) SSL Certificates, incompatibili con i 128 bit.  

Eppure, come abbiamo ricordato, le Certification Authority Italiane continuano ad usare vecchie chiavi a 128 bit e a rilasciare PEC e certificati digitali di questo tipo. Poste Italiane, ad esempio, come conferma questa immagine:

 cliccare per ingrandire

La sicurezza è una pallottola spuntata?

(Grazie a Massimo F. Penco per la collaborazione)


Twitter: @pinobruno

Pubblicato da RG

  • Che sia una materia piuttosto ostica per molti è un fatto direi il meno. Pino Bruno non ha fatto altro che cercare di far capire a tutti che le "chiavi casa debbono essere cambiate è rese più sicure" e mi pare che su questo ci sia poco da dire. Invece ci si imbatte in qualcuno che vuol sostenere il contrario dichiarandosi fra l'altro un NON ESPERTO ma allora perchè scrive bah? parlo del post in:
    https://www.pcalsicuro.com/main/2010/12/certifica
    A caldo ho scritto :Non entro nel merito di qualcuno che si definisce un non esperto che poi fa un analisi approfondita di un articolo dove il solo sforzo del redattore è stato con esempi e filmati di far capire le problematiche che a tutti direi con quanto hai detto si che rendi la cosa incomprensibile detto questo non so se ad arte hai ignorato alcune cose importanti ed inconfutabili:

    1) In tutta gli allegati si parla di CA radice (root CA) e non di Sub-ca che sono poi quelle Italiane

    2) Tutte le CA vere quelle del CAB forum per capirsi non emettono da oltre un anno certificati a 128/1024

    3) Tutte le CA vere hanno adeguato le loro chiavi root a 256/2048

    4) Il NIST ha da anni stabilito un periodo di validtà per le chiavi come potrai studiarti nel link allegato

    5) L'EV nasce nativo a 256/2048 è la sua sicurezza non è data dall'algoritmo ma dal sistema di autenticazione

    Non entro nel merito di qualcuno che si definisce un non esperto che poi fa un analisi approfondita di un articolo dove il solo sforzo del redattore è stato con esempi e filmati di far capire le problematiche a tutti direi con quanto hai detto si che rendi la cosa incomprensibile. Detto questo non so se ad arte hai ignorato alcune cose importanti ed inconfutabili:

    1) In tutta gli allegati si parla di CA radice (root CA) e non di Sub-ca che sono poi quelle Italiane

    2) Tutte le CA vere quelle del CAB forum per capirsi non emettono da oltre un anno certificati a 128/1024

    3) Tutte le CA vere hanno adeguato le loro chiavi root a 256/2048

    4) Il NIST ha da anni stabilito un periodo di validità per le chiavi come potrai studiarti nel link allegato all'articolo.

    5) L'EV nasce nativo a 256/2048 è la sua sicurezza non è data dall'algoritmo ma dal sistema di autenticazione, ci mancava che nascesse con una chiave vecchia!

    6) Un attenta lettura di: https://wiki.mozilla.org/CA:MD5and1024 ti darà visione della tempistica in cui la chiave a 128/1024 sarà dichiarata fuori mercato

    La tua ultima frase poi è assolutamente criptica. Il senso di quanto ho cercato di dire è invece che la tecnologia viaggia ad una velocità diversa delle leggi che non la possono regolare, pertanto mi confermi che questo paese userà sempre tecnologie al passo con le leggi vecchie!"

    Ma ci vuole in finale una morale che è la seguente:

    Chi non sa e meglio stia zitto !

  • Pingback: A Computer Blog: Browser Wars Heat Up for Microsoft | AboutBrowsers.info()

  • Pingback: Associazione Cittadini di Internet » Tanto Tuonò che Piovvè()

  • “Il CA forum Browser, organismo mondiale del quale fanno parte i produttori di browser (Apple, Google, Microsoft, Opera, Mozilla, eccetera) e le autorità di certificazione (quelle italiane sono assenti)”. Sono assenti perchè non sono delle vere e proprie CA questo è un prodotto che non si fa in Italia nè in Europa, difatti acquistano “Le chiavi madre” dalle CA di CABFORUM, vedy Cybertrust (1999) di Poste, Ma comprano roba vecchia e non le aggiornano.

  • Pingback: Tweets that mention Sicurezza informatica: l’Italia non ha la chiave giusta | Pino Bruno -- Topsy.com()

Pino Bruno

Scrivo per passione e per dovere, sono direttore di Tom's Hardware Italy, ho fatto il giornalista all'Ansa e alla Rai e scrivo di digital life per Mondadori Informatica e Sperling&Kupfer

Alcune delle mie Pubblicazioni
Stay in Touch

Sono presente anche sui seguenti social networks :

Calendario
dicembre: 2010
L M M G V S D
« Nov   Gen »
 12345
6789101112
13141516171819
20212223242526
2728293031