e-Gov

Chiavi crittografiche, Italia indietro sulla sicurezza

Tutto il mondo va a 256/2048 bit, l’Italia è ferma a 128/1024 bit. Parliamo di sicurezza informatica, e in particolare, delle chiavi digitali che proteggono con la crittografia i siti in cui si svolgono transazioni delicate, con contenuti sensibili, come l’identità personale. È un problema maledettamente serio, che da noi si prende sottogamba. 

Tutte le Certification Authority (CA) universalmente riconosciute impongono da tempo l’uso delle chiavi basate su algoritmo a 256/2048 bit. In Italia si sono adeguate le banche, ma le Certification Authority continuano ad adottare chiavi a 128 bit per la Posta Elettronica Certificata (PEC).

È una protezione inadeguata, una cassaforte di latta esposta agli attacchi dei cracker (gli hacker cattivi). La rete è piena di istruzioni per violare le difese a 128 bit. Un gioco da ragazzi.

Ci si aspettava un’inversione di rotta dal nuovo Codice dell’Amministrazione Digitale approvato ieri dal governo, ma il problema non è stato neanche affrontato. Si può solo auspicare che l’adeguamento delle chiavi crittografiche arrivi con i regolamenti di attuazione.

Eppure l’allarme  è stato lanciato da molto tempo. Il National Institute of Standards and Technology, ovvero l’autorità mondiale in tema di standard per le tecnologie, a marzo 2007 ha chiesto (imposto) a tutte le Certification Authority del mondo di rilasciare chiavi a 256 bit. 

Lo stesso appello è arrivato a gennaio 2009 da Microsoft, poi da Mozilla e via di seguito. Scrive Mozilla che, a partire dal 31 dicembre 2010 (tra pochi giorni), “Tutte le autorità competenti devono smettere immediatamente di rilasciare certificati di destinazione finale con chiave RSA di dimensioni inferiori a 2048 bit”. Inoltre “Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits” (!)

Il CA forum Browser, organismo mondiale del quale fanno parte i produttori di browser (Apple, Google, Microsoft, Opera, Mozilla, eccetera) e le autorità di certificazione (quelle italiane sono assenti), lavora per rendere sempre più sicuri gli strumenti di navigazione. Le chiavi a 128 bit sono considerate ormai anacronistiche. L’obiettivo sono gli Extended Validation (EV) SSL Certificates, incompatibili con i 128 bit. 

Eppure, come abbiamo ricordato, le Certification Authority Italiane continuano ad usare vecchie chiavi a 128 bit e a rilasciare PEC e certificati digitali di questo tipo. Poste Italiane, ad esempio, come conferma questa immagine:

Clicca per ingrandire

La sicurezza è una pallottola spuntata?

ringraziamo Pino Bruno e Massimo F. Penco per la collaborazione