martedì 13 maggio 2008

Demistificazioni 2

Etichette: , , | 10:30 AM

Nel rispetto del titolo del post, parlo di altri “falsi miti”: quello del ben noto algoritmo proprietario
In passato, non molto remoto, alla domanda
quali algoritmi implementate per la protezione di XXXX
 mi è stato talvolta risposto, con una punta di orgoglio, 
algoritmi proprietari, sviluppati dai nostri ricercatori

Nientemeno.

Di molti di queste soluzioni proprietarie non ho poi saputo niente: vuoi perchè si trattava di piccole componenti in soluzioni integrate, vuoi perchè con lo stesso orgoglio erano stati sviluppati gli altri elementi dell’applicazione :-)

Ebbene: esistono anche casi più noti. Mi vengono in mente le vicende della tecnologia SecurID.
I casi sono numerosi, basta cercarli.
Recente è quello dei dispositivi di accesso Mifare. Anche in questo caso algoritmo proprietario, naturalmente non solo ricostruito, ma sopratutto violato
Si discute sul costo dell’attacco: da poche centinaia a $9000 per avere l’accesso in un tempo che varia da poche ore a pochi giorni: l’immagine vuole la sua parte.
Anche perchè, come dice giustamente uno dei ricercatori che ha sollevato il polverone, di meccanismi d’accesso con problemi analoghi ve ne sono molti. Basta che qualcuno se ne occupi seriamente.
Security through obscurity: si merita pure una citazione su Wikipedia. 
L’algoritmo proprietario, di cui non si dovrebbe conoscere nulla, impedisce principalmente di sapere quanto si è insicuri, cosa della quale possiamo dire, per esempio, di DES, di MD[1..5] ed altri: per questi, alle prime avvisaglie, abbiamo avuto il tempo di migrare a migliori soluzioni. 
Immagino ci sia anche un altro lato della medaglia: il clamore dato spesso a scoperte fatte nel campo della crittografia. Per esempio, le collisioni individuate per SHA-1. Immagino che il mercato rifugga soluzioni che, ad un primo successo della crittoanalisi, rischiano di ottenere pubblicità negativa. 
Resta il fatto che, in tali casi, la soluzione continua ad essere sicura ed è possibile commercializzare un prodotto evoluto, anche sull’onda emotiva, certi che nel frattempo non si faccia la conta dei danni.

Iscriviti a: Comment Feed (RSS)

Eventi a cui partecipo