Connessioni TLS a rischio per Logjam

  • Facebook
  • Twitter
  • Linkedin
  • Email
Connessioni TLS a rischio per Logjam © Depositphotos

Matthew Green, ricercatore informatico, avrebbe individuato una nuova vulnerabilità, anche in questo caso particolarmente insidiosa, a carico del protollo "sicuro" HTTPS (HyperText Transfer Protocol over Secure Socket Layer); la minaccia riguarderebbe un attacco denominato Logjam in grado di compromettere l'algoritmo DH per lo scambio di chiavi crittografiche.

Sostanzialmente Logjam sarebbe utilizzabile per effettuare azioni malevole contro il protocollo TLS (Transport Layer Security) sfruttando i server che supportano le chiavi DH per la crittografia a 512 bit; disponendo delle giuste conoscenze a livello tecnico l'attaccante potrebbe sfruttare la debolezza di queste ultime per accedere a comunicazioni protette.

A rendere particolarmente insidioso Logjam sarebbe proprio questo meccanismo, perché se da una parte chi dovesse sferrare l'attacco saprebbe benissimo di far leva su chiavi deboli, a tutti gli altri soggetti coinvolti apparirebbe una situazione completamente diversa, dove ad essere utilizzate sembrerebbero, per esempio, delle chiavi a 1024 bit.

La possibilità di accedere a chiavi caratterizzate da un basso livello di protezione non deriverebbe da un errore degli sviluppatori, ma da una decisione delle autorità statunitensi che negli anni '90 imposero delle limitazioni ai livelli di crittografia utilizzati per evitare che i contenuti trasmessi risultassero indecifrabili in caso di indagini.

Sempre secondo Green, la possibilità di sfruttare chiavi a 512 bit sarebbe soltanto un aspetto di tale minaccia, questo per via del fatto che degli utenti malintenzionati dotati dei mezzi tecnici ed economici sufficientemente elevati potrebbero riuscire a basare il loro attacco anche su chiavi di livello superiore, a 768 o 1024 bit.

Claudio Garau

Claudio Garau

Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Non perderti nessuna news!

I commenti degli utenti

I commenti sono liberi: non è necessario iscriversi per poter commentare su questa pagina. Tutti i commenti, tuttavia, sottoposti alle linee guida di moderazione e prima di essere visibili devono essere approvati da un moderatore.

Oppure leggi i commenti degli altri utenti