Articoli e news    Prezzi
Tom's Hardware Business Sicurezza

Chiavi crittografiche, Italia indietro sulla sicurezza

11:52 - 23 dicembre 2010 di Pino Bruno

Il mondo converge verso le chiavi crittografiche a 256/2048 bit ma in Italia si sono adeguate solo le banche.

Tutto il mondo va a 256/2048 bit, l'Italia è ferma a 128/1024 bit. Parliamo di sicurezza informatica, e in particolare, delle chiavi digitali che proteggono con la crittografia i siti in cui si svolgono transazioni delicate, con contenuti sensibili, come l'identità personale. È un problema maledettamente serio, che da noi si prende sottogamba. 

Tutte le Certification Authority (CA) universalmente riconosciute impongono da tempo l'uso delle chiavi basate su algoritmo a 256/2048 bit. In Italia si sono adeguate le banche, ma le Certification Authority continuano ad adottare chiavi a 128 bit per la Posta Elettronica Certificata (PEC).

È una protezione inadeguata, una cassaforte di latta esposta agli attacchi dei cracker (gli hacker cattivi). La rete è piena di istruzioni per violare le difese a 128 bit. Un gioco da ragazzi.

Ci si aspettava un'inversione di rotta dal nuovo Codice dell'Amministrazione Digitale approvato ieri dal governo, ma il problema non è stato neanche affrontato. Si può solo auspicare che l'adeguamento delle chiavi crittografiche arrivi con i regolamenti di attuazione.

Eppure l'allarme  è stato lanciato da molto tempo. Il National Institute of Standards and Technology, ovvero l'autorità mondiale in tema di standard per le tecnologie, a marzo 2007 ha chiesto (imposto) a tutte le Certification Authority del mondo di rilasciare chiavi a 256 bit. 

Lo stesso appello è arrivato a gennaio 2009 da Microsoft, poi da Mozilla e via di seguito. Scrive Mozilla che, a partire dal 31 dicembre 2010 (tra pochi giorni), "Tutte le autorità competenti devono smettere immediatamente di rilasciare certificati di destinazione finale con chiave RSA di dimensioni inferiori a 2048 bit". Inoltre "Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits" (!)

Il CA forum Browser, organismo mondiale del quale fanno parte i produttori di browser (Apple, Google, Microsoft, Opera, Mozilla, eccetera) e le autorità di certificazione (quelle italiane sono assenti), lavora per rendere sempre più sicuri gli strumenti di navigazione. Le chiavi a 128 bit sono considerate ormai anacronistiche. L'obiettivo sono gli Extended Validation (EV) SSL Certificates, incompatibili con i 128 bit. 

Eppure, come abbiamo ricordato, le Certification Authority Italiane continuano ad usare vecchie chiavi a 128 bit e a rilasciare PEC e certificati digitali di questo tipo. Poste Italiane, ad esempio, come conferma questa immagine:

Clicca per ingrandire

La sicurezza è una pallottola spuntata?

ringraziamo Pino Bruno e Massimo F. Penco per la collaborazione

Condividi:   
Chrome for a Cause, beneficenza a colpi di schede
  • Ultime news
  • Browser Internet

Suggerimenti dalla rete

Commenti

Aggiungi un tuo commento
1/2 avanti    
lidel79 23/12/2010 12:14
 
+26 
 
fossero solo questi i problemi dell'italia. siamo indietro su talmente tante cose che forse farei prima ad elencare le cose nelle quali l'italia è avanti
vbs 23/12/2010 12:17
 
+1 
 

 Originariamente inviata da Articolo

Ci si aspettava un'inversione di rotta dal nuovo Codice dell'Amministrazione Digitale approvato ieri dal governo, ma il problema non è stato neanche affrontato.


A parte che quei "ragazzini" non capiscono nulla di quello che significa l'ICT mi sembra che ogni giorno è peggiore di prima (vedi tutto quello che riguarda la legislazione per l'ICT in Italia).

Comunque tutto dipende anche dalle singole aziende nel acquistare le chiavi ed in questo caso chiunque è libero di acquistarsi i certificati dall'estero (come faccio io per i miei server)... costano parecchio, ma almeno non hanno il marchio "made in ita(g)ly"...lo stesso anche per la PEC, caselle acquistate presso un servizio UK.
ToroXp 23/12/2010 12:17
 
+12 
 
Una pallottola spuntata 33 1/3 l odore della paura...

L Italia è indietro su tante cose, non solo la sicurezza, ma quando capiranno sarà sempre e comunque troppo tardi.

Non abbiamo più le industrie, non abbiamo più i servizi, non abbiamo le infrastrutture...

ma per fortuna abbiamo 3 volte i politici degli USA da mantenere assieme a una nutrita schiera di portaborse starlette stelline gieffine varie.

Ci rimane sempre la pizza e il mandolino.


pasqu0 23/12/2010 12:28
 
+8 
 
Io andrei fuori dal Parlamento e chiederei a tappeto agli Onorevoli il significato della definizione di Certification Authority e Crittografia...Secondo me faremmo una strage! è ovvio che se non sanno nemmeno di cosa si parla non prenderanno nemmeno in considerazione un adeguamento legislativo.
Se ad uno che non ha mai navigato per mare chiedo come ci si deve comportare in caso di burrasca sono bello che morto se mi capita!
an0n 23/12/2010 12:46
 
 

 Originariamente inviata da lidel79

fossero solo questi i problemi dell'italia. siamo indietro su talmente tante cose che forse farei prima ad elencare le cose nelle quali l'italia è avanti



tipo il digitale?
Freger 23/12/2010 12:53
 
+3 
 

 Originariamente inviata da lidel79

fossero solo questi i problemi dell'italia. siamo indietro su talmente tante cose che forse farei prima ad elencare le cose nelle quali l'italia è avanti



e probabilmente avresti finito ancora prima di cominciare.... :|
Robweb 23/12/2010 13:18
 
+4 
 

 Originariamente inviata da lidel79

fossero solo questi i problemi dell'italia. siamo indietro su talmente tante cose che forse farei prima ad elencare le cose nelle quali l'italia è avanti




nella truffa al cittadino siamo leader mondiali.
Meandro78 23/12/2010 13:46
 
+4 
 
Che tristezza, comunque anche io mi unisco al coro degli altri masochisti che continuano a cercare di restare informati sull'andazzo delle cose.
Stavo giusto ripensando a una massima di non ricordo chi, in merito all'evoluzione delle specie, disse che non è l'organismo più sofisticato e complesso ad avere successo evolutivo.
Evidentemente aveva studiato la classe politica del BElpaese come popolazione d'analisi!
shaunwhite 23/12/2010 14:47
 
+6 
 

 Originariamente inviata da pasqu0

Io andrei fuori dal Parlamento e chiederei a tappeto agli Onorevoli il significato della definizione di Certification Authority e Crittografia...Secondo me faremmo una strage! è ovvio che se non sanno nemmeno di cosa si parla non prenderanno nemmeno in considerazione un adeguamento legislativo.
Se ad uno che non ha mai navigato per mare chiedo come ci si deve comportare in caso di burrasca sono bello che morto se mi capita!



Ma ragazzi, stiamo parlando di gente che governa un paese che ha un’età media compresa tra i 60 e gli 80 anni e che non capisce una beneamata mazza sul mondo tecnologico e non solo, mio nonno che è più giovane di qualche anno di un certo signore che noi tutti conosciamo, mi chiama 2 volte la settimana per insegnarli ad usare un Symbian di 10 anni fà. Ma se faccio fatica a insegnare a mia madre ad entrare in internet che ha 45 anni come potete pensare che gente da 80 anni capisca e si interessi dei problemi del paese (tecnologici e non solo).
Qui ci vorrebbe un bella pulizia al governo, ci vorrebbe gente giovane e colta nei rispettivi campi in cui dovranno operare e che si interessi del futuro del paese visto che ci dovranno vivere anche loro per molti anni e non di vecchi bacucchi che gli rimangono si e no 10-20 anni di vita, che non gliene frega un *** del paese e che pensano solo ad arraffare per potersi godere la loro pensione dorata.
homero 23/12/2010 17:42
 
 
da come è scritto nell'articolo vuol dire che tutte le transazioni bancarie fino al 2007 erano a rischio?
certe volte a leggere questi articoli mi viene proprio da pensare....

mi sono occupato di crittazione una decina di anni fa e già allora i flussi di dati a 256byte/2048bit erano crackabili avendo a disposizione abbastanza potenza di calcolo....oggi con i computer che hanno una potenza di migliaia di mips servirebbe ben altro che un certificato a 256byte per essere incrackabile....in particolare le gpu di oggi sembrano fatto proprio per eseguire algoritmi di decrittazione....

il consiglio che mi viene da darvi è il seguente prima di tutto assicurarsi di ricevere sul telefono l'avviso di transazione effettuata se utilizzate internet per le transazioni bancarie, mentre per la posta crittare con programmi di crittazione vera la vostra mail prima di spedirla via ssl che in realtà serve sempre a poco....

per i programmi di crittazione non è questo il luogo per darvi consigli...in genere i migliori non si possono comprare
1/2 avanti    
Accedi o  registrati.
Nome utente:
Password:
  • News suggerite
Segnala TomsHW

Correlazioni

  Categoria: Sicurezza
  Tag: Browser Internet

Correlati

Pagamenti online a rischio: grave falla nelle chiavi pubbliche
RSA Conference: si parla di tecnologia TPM
Mozilla BrowserID: un solo account per tutti i log
200 certificati SSL fasulli tengono in pugno la Rete
IBM Secure Blue, la sicurezza prima di tutto
Governo, la PA nelle mani di Google e Microsoft
DigiNotar ha perso 531 certificati SSL, altro che 200
PEC: Posta Eccessivamente Cagionevole
Symantec acquista VeriSign per 1,28 miliardi
PS3 è nuda e Sony tace. L'hack sembra totale

In evidenza

Analisi Anti Aliasing, seconda parte: impatto sulle prestazioni del PC
Esperimento: decifrare la password della rete Wi-Fi con CPU, GPU e Cloud
SSD più capienti con la compressione NTFS, come abilitarla e cosa aspettarsi
Guida: scegliere l'alimentatore adatto alle proprie esigenze
Intel Core i7 3930K, la scelta intelligente per gli appassionati

Business - Articoli più letti

Windows 8, un sistema operativo reinventato?
Ubuntu 11.04 Natty Narwhal, la rivoluzione di Unity
Confronto Browser: Windows 7 contro Mac OS X Lion
Fantascienza, la tecnologia che vorremmo per davvero
Tredici software gratuiti per proteggere i propri dati
gli articoli più letti