lunedì 19 novembre 2007

I numeri random usati per la criptazione SSL sono prevedibili!

Il dottor Benny Pinkas è a capo del Dipartimento di Informatica della Università di Haifa , in Israele.
Con il suo gruppo ha condotto una ricerca per verificare la sicurezza nelle connessioni SSL utilizzate in genere nelle transazioni online verso le banche.
Ebbene , il gruppo ha identificato un bug sfruttando il quale un malintenzionato può accedere a ogni tipo di informazione riservata in transito, come password, numeri di carte di credito, email, dati personali, ecc.
In pratica vi è una falla nel sistema di generazione di numeri random utilizzati per cifrare i dati da trasmettere.
E' stato verificato che l'algoritmo utilizzato per produrre i dati casuali è in realtà piuttosto prevedibile ed il team è stato appunto capace di prevedere la successione dei numeri casuali che sarebbero stati prodotti.
Conoscendo i random number in pratica si conoscono le chiavi di cifratura e si è in grado , appunto , di decifrare i dati in transito sulle connessioni SSL.
Il problema è stato verificato sulla Piattaforma Windows 2000.

Tratto da : http://eprint.iacr.org/2007/419



Nessun commento:

Posta un commento

featured-content