Sicurezza informatica: l’Italia non ha la chiave giusta
23 Dicembre 2010 Pubblicato da RG
Tutto il mondo va a 256/2048 bit, l’Italia è ferma a 128/1024 bit. Parliamo di sicurezza informatica, e in particolare, delle chiavi digitali che proteggono con la crittografia i siti in cui si svolgono transazioni delicate, con contenuti sensibili, come l’identità personale. E’ un problema maledettamente serio, che da noi si prende sottogamba. Tutte le Certification Authority (CA) universalmente riconosciute impongono da tempo l’uso delle chiavi basate su algoritmo a 256/2048 bit. In Italia si sono adeguate le banche, ma le Certification Authority continuano ad adottare chiavi a 128 bit per la Posta Elettronica Certificata (PEC).
E’ una protezione inadeguata, una cassaforte di latta esposta agli attacchi dei cracker (gli hacker cattivi). La rete è piena di istruzioni per violare le difese a 128 bit. Un gioco da ragazzi, come si evince da questo video:
Ci si aspettava un’inversione di rotta dal nuovo Codice dell’Amministrazione Digitale approvato ieri dal governo, ma il problema non è stato neanche affrontato. Si può solo auspicare che l’adeguamento delle chiavi crittografiche arrivi con i regolamenti di attuazione.
Eppure l’allarme è stato lanciato da molto tempo. Il National Institute of Standards and Technology, ovvero l’autorità mondiale in tema di standard per le tecnologie, a marzo 2007 ha chiesto (imposto) a tutte le Certification Authority del mondo di rilasciare chiavi a 256 bit. Lo stesso appello è arrivato a gennaio 2009 da Microsoft, poi da Mozilla e via di seguito. Scrive Mozilla che, a partire dal 31 dicembre 2010 (tra pochi giorni), “Tutte le autorità competenti devono smettere immediatamente di rilasciare certificati di destinazione finale con chiave RSA di dimensioni inferiori a 2048 bit”.
Inoltre “Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits” (!)
Il CA forum Browser, organismo mondiale del quale fanno parte i produttori di browser (Apple, Google, Microsoft, Opera, Mozilla, eccetera) e le autorità di certificazione (quelle italiane sono assenti), lavora per rendere sempre più sicuri gli strumenti di navigazione. Le chiavi a 128 bit sono considerate ormai anacronistiche. L’obiettivo sono gli Extended Validation (EV) SSL Certificates, incompatibili con i 128 bit.
Eppure, come abbiamo ricordato, le Certification Authority Italiane continuano ad usare vecchie chiavi a 128 bit e a rilasciare PEC e certificati digitali di questo tipo. Poste Italiane, ad esempio, come conferma questa immagine:
La sicurezza è una pallottola spuntata?
(Grazie a Massimo F. Penco per la collaborazione)