Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
alexbottoni Eroe
Registrato: 28/09/11 08:16 Messaggi: 50
|
Inviato: 07 Nov 2013 09:02 Oggetto: |
|
|
Un paio di note:
a) Trattandosi di una applicazione web-based, al massimo può essere sicura quanto il PC usato per connettersi. Se sul PC c'è qualcosa che legge il testo digitato sulla tastiera o quello visualizzato sullo schermo (un key logger o qualcosa di simile), allora si può dire addio alla sicurezza (questo in tutti i casi. Non c'è nulla che possa limitare i danni prodotti da questo tipo di attacco).
b) Trattandosi di un servizio cloud (SaaS), al massimo può essere sicuro quanto lo è il fornitore. Se Perzo dovesse giocare sporco, od il suo servisio fosse stato compromesso da un "hacker", l'utente non avrebbe nessun modo di saperlo e/o di difendersi.
c) L'unica vera sicurezza, a questo punto, è quella fornita dalla crittografia lungo la linea di trasmissione tra il PC del mittente, il server di Perzo ed il PC del destinatario. Può sembrare molto ma è lo stesso tipo (e livello) di sicurezza già formito (da decenni) da SSL/TLS (il protocollo usato per il web sicuro, usato dai siti delle banche e da moltissimi altri siti, compresi molti servizi di webmail molto diffusi).
d) Meglio, molto meglio, un sistema che giri completamente sul PC dei due interlocutori e che sia Open Source (cioè verificabile). Ad esempio, Mozilla Thunderbird più Enigmail. Anche questo sistema, però, non può resistere ad un key logger o ad altri programmi spia. |
|
Top |
|
|
{ice} Ospite
|
Inviato: 07 Nov 2013 09:50 Oggetto: |
|
|
NON esistono sistemi a prova di NSA
è solo una questione di tempo
ossia se milioni di persone utilizzassero sistemi di cifratura avanzata, i server dell'NSA non potrebbero decriptarli TUTTI in tempo reale
Ma se decidono di concentrare la LORO potenza di calcolo su poche corrispondene...sono sufficienti poche ore/giorni per scardinare la crittografia via brute force
p.s. in USA è vietato esportare tecnologie di crittazione piu avanzate di quanto non siano i mezzi di decript in mano allo Stato USA |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1947
|
Inviato: 07 Nov 2013 18:26 Oggetto: |
|
|
Citazione: | promette di fornire un sistema di comunicazione sicuro al 100% |
Un sistema sicuro al 100% e' impossibile da realizzare.
Se il destinatario puo' decriptare il messaggio, allora puo' farlo anche un estraneo. Si tratta solo di vedere quanto tempo serve e se vale la pena farlo. |
|
Top |
|
|
alexbottoni Eroe
Registrato: 28/09/11 08:16 Messaggi: 50
|
Inviato: 08 Nov 2013 10:24 Oggetto: |
|
|
{ice} ha scritto: | NON esistono sistemi a prova di NSA
è solo una questione di tempo
ossia se milioni di persone utilizzassero sistemi di cifratura avanzata, i server dell'NSA non potrebbero decriptarli TUTTI in tempo reale
Ma se decidono di concentrare la LORO potenza di calcolo su poche corrispondene...sono sufficienti poche ore/giorni per scardinare la crittografia via brute force
p.s. in USA è vietato esportare tecnologie di crittazione piu avanzate di quanto non siano i mezzi di decript in mano allo Stato USA |
Veramente, no. Anche usando tutti i computer (e tutti i supercomputer) esistenti sulla Terra per attaccare una singola chiave di cifra (cioè un singolo messaggio od una singola utenza), sarebbe comunque impossibile decrittare una chiave di lunghezza superiore a 768 bit (o, ad essere davvero pessimisti, 1024 bit).
Vengono condotti di continuo degli appositi test sulla robustezza delle chiavi, sia da parte di aziende del settore (RSA, Kaspersky, etc.) sia da parte di gruppi di ricerca (distributed.net, etc.) e finora non si è riusciti a crackare nulla di lunghezza superiore a 768 bit, come riportato dalla stampa tre anni fa:
link
vedi anche:
link
In tre anni la situazione può essere cambiata e forse una chiave a 1024 bit ora può essere crackata ma questa operazione richede comunque mesi, forse anni, di tempo macchina ad un supercomputer. Chiavi di lunghezza superiore sono quasi certamente inaccessibili a chiunque in tempi compatibili con la vita di una persona.
Per non parlare di altre tecniche di cifra, come gli OTP, che sono matematicamente sicuri al 100%.
Tutte le tecniche di attacco descritte da Snowdeen & C. sono infatti basati su debolezze dell'infrastruttura software di supporto (insomma: il programma di posta, il sistema operativo, etc.) e non su debolezze delle chiavi (cioè dei sistemi di cifra in sè).
Sarebbe stato sconvolgente apprendere da Snowden & C. che qualcuno (NSA?), ha trovato la maniera di fattorizzare una chiave RSA per via analitica (o comunque in modo drasticamente più rapido del normale) ma questo, per fortuna, finora non è successo. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 09 Nov 2013 23:01 Oggetto: |
|
|
Nell'articolo non e' spiegato come viene trasmessa la chiave al destinatario, forse in chiaro tramite email? |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 10 Nov 2013 12:15 Oggetto: |
|
|
Bravo alexbottoni.
Purtroppo i film di fantascienza fanno sembrare le cose più facili di quelle che sono nella realtá. |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|