Token RSA SecurID 800, non esiste nessun crack

RSA smentisce la notizia in base alla quale i dispositivi SecurID 800 sarebbero in pericolo: è impossibile ricavare la chiave privata memorizzata nel token.
RSA smentisce la notizia in base alla quale i dispositivi SecurID 800 sarebbero in pericolo: è impossibile ricavare la chiave privata memorizzata nel token.
Luca Colantuoni
Pubblicato il 28 giu 2012

Poche ore dopo la diffusione della notizia in base alla quale le chiavi RSA SecurID 800 sarebbero a rischio crack, a causa di una vulnerabilità individuata da alcuni ricercatori nello standard PKCS #1 v1.5, giunge una precisazione da parte di RSA: non esiste nessuna possibilità di ricavare la chiave privata memorizzata in una smartcard. Gli utenti che utilizzano i token per l’autenticazione sono pertanto assolutamente al sicuro, il che cambia non di poco il quadro della situazione delineato soltanto poche ore fa.

RSA ha pubblicato un lungo post sul blog aziendale per spiegare in dettaglio come si è diffusa la falsa notizia sulla presunta vulnerabilità delle chiavi, in seguito all’errata interpretazione della ricerca sulla sicurezza dei token SecurID 800. Lo studio, in sostanza, non avrebbe scoperto nulla di nuovo, in quanto sono stati solo evidenziati gli eventuali rischi legati ad un bug dello standard PKCS #1 v1.5, utilizzato nei sistemi di cifratura a chiave asimmetrica.

La vulnerabilità individuata dai ricercatori potrebbe consentire ad un malintenzionato di estrarre la chiave simmetrica o accedere ai dati cifrati inviati alla smartcard, ma è praticamente impossibile ricavare la chiave privata corrispondente alla chiave pubblica memorizzata nel certificato dell’utente. La ricerca dunque è un mero esercizio accademico, dato che un attacco richiederebbe l’accesso al token RSA SecurID 800 (ad esempio, inserendo la chiave USB in un computer infetto) e al PIN dell’utente. Ma se il malintenzionato possiede smartcard e PIN, non c’è nessun motivo per compiere l’attacco. Inoltre, la vulnerabilità non compromette la funzionalità OTP (One-Time Password) del token.

RSA consiglia di seguire le comuni pratiche per impedire la diffusione di malware all’interno del computer, ovvero installare un antivirus e aggiornare il sistema operativo con le ultime patch rilasciate da Microsoft e da altri produttori. È comunque meglio rimuovere il dispositivo RSA SecurID 800 dalla porta USB quando non in uso, utilizzare lo standard PKCS #1 v2.0 e l’ultima versione (3.5.4) del client di autenticazione RSA.

Ti consigliamo anche

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Web e Social

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Web e Social

A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
JBL Tune 670NC col super sconto Amazon il prezzo di queste cuffie wireless crolla!
Web e Social

JBL Tune 670NC col super sconto Amazon il prezzo di queste cuffie wireless crolla!
Bosch Professional: 10 prodotti in super SCONTO su Amazon
Web e Social

Bosch Professional: 10 prodotti in super SCONTO su Amazon
Link copiato negli appunti