QR code per la pagina originale

Token RSA SecurID 800, non esiste nessun crack

RSA smentisce la notizia in base alla quale i dispositivi SecurID 800 sarebbero in pericolo: è impossibile ricavare la chiave privata memorizzata nel token.

,

Poche ore dopo la diffusione della notizia in base alla quale le chiavi RSA SecurID 800 sarebbero a rischio crack, a causa di una vulnerabilità individuata da alcuni ricercatori nello standard PKCS #1 v1.5, giunge una precisazione da parte di RSA: non esiste nessuna possibilità di ricavare la chiave privata memorizzata in una smartcard. Gli utenti che utilizzano i token per l’autenticazione sono pertanto assolutamente al sicuro, il che cambia non di poco il quadro della situazione delineato soltanto poche ore fa.

RSA ha pubblicato un lungo post sul blog aziendale per spiegare in dettaglio come si è diffusa la falsa notizia sulla presunta vulnerabilità delle chiavi, in seguito all’errata interpretazione della ricerca sulla sicurezza dei token SecurID 800. Lo studio, in sostanza, non avrebbe scoperto nulla di nuovo, in quanto sono stati solo evidenziati gli eventuali rischi legati ad un bug dello standard PKCS #1 v1.5, utilizzato nei sistemi di cifratura a chiave asimmetrica.

La vulnerabilità individuata dai ricercatori potrebbe consentire ad un malintenzionato di estrarre la chiave simmetrica o accedere ai dati cifrati inviati alla smartcard, ma è praticamente impossibile ricavare la chiave privata corrispondente alla chiave pubblica memorizzata nel certificato dell’utente. La ricerca dunque è un mero esercizio accademico, dato che un attacco richiederebbe l’accesso al token RSA SecurID 800 (ad esempio, inserendo la chiave USB in un computer infetto) e al PIN dell’utente. Ma se il malintenzionato possiede smartcard e PIN, non c’è nessun motivo per compiere l’attacco. Inoltre, la vulnerabilità non compromette la funzionalità OTP (One-Time Password) del token.

RSA consiglia di seguire le comuni pratiche per impedire la diffusione di malware all’interno del computer, ovvero installare un antivirus e aggiornare il sistema operativo con le ultime patch rilasciate da Microsoft e da altri produttori. È comunque meglio rimuovere il dispositivo RSA SecurID 800 dalla porta USB quando non in uso, utilizzare lo standard PKCS #1 v2.0 e l’ultima versione (3.5.4) del client di autenticazione RSA.

Fonte: RSA Blog • Immagine: br1dotcom • Notizie su: