mercoledì 11 maggio 2016

HTTPS e crittografia a chiave pubblica: cosa può andare male

Le cose che possono andare male sono tantissime (vedi anche
https://bartoli-alberto.blogspot.it/2015/10/vulnerabilita-di-implementazione.html).

Al fine di capire meglio a cosa serve e, soprattutto, a cosa non serve la crittografia a chiave pubblica, è utile ricordare le ipotesi alla base delle sue applicazioni pratiche (in particolare, HTTPS e firma digitale). Queste ipotesi, in parole povere, sono:

  1. Subject diversi hanno chiavi diverse.
  2. Le chiavi private sono davvero private.
  3. Le certification authorities emettono certificati con associazioni vere.

Qui sotto riporto un elenco, non commentato, di casi reali in cui queste ipotesi non sono verificate. In tutti questi casi le garanzie fornite da HTTPS e dalla firma digitale, non ci sono.

Slide che mostrano altri casi reali, meno recenti di quelli elencati qui sotto, sono reperibili a questo link: https://drive.google.com/open?id=0B-uEgJBKxWJLbzNjWG5Wb09nRTg . La prima slide indica un articolo divulgativo che ho scritto vari anni fa su questo argomento ma che è ancora attuale: il link all'articolo è cambiato, adesso è questo: https://docs.google.com/document/d/14hCBeHPcIrDXb0lYw_1by1K2cvHIg8JgGauq6RaRZfk/edit#










Posta un commento