ENISA: i protocolli crittografici non sono sicuri

La European Union Agency for Network and Information Security ha evidenziato i problemi degli attuali protocolli, suggerendo linee guida per il futuro.
La European Union Agency for Network and Information Security ha evidenziato i problemi degli attuali protocolli, suggerendo linee guida per il futuro.
Luca Colantuoni
Pubblicato il 24 nov 2014

Come hanno dimostrato i recenti avvenimenti (il bug Heartbleed su tutti), i protocolli crittografici usati per la trasmissione dei dati su Internet non garantiscono la massima sicurezza agli utenti. I ricercatori della ENISA (European Union Agency for Network and Information Security) hanno pubblicato un report in cui vengono esaminati i protocolli più diffusi, evidenziando le loro debolezze e fornendo alcune linee guida per lo sviluppo delle future tecnologie.

Gli algoritmi crittografici sono intrinsecamente sicuri, ma il loro uso all’interno dei protocolli possono dare luogo a vulnerabilità che consentono l’accesso ai dati. L’agenzia ha analizzato diversi protocolli utilizzati in svariati settori (TLS, SSH, IPSec, Kerberos, WEP/WPA, UMTS/LTE, Bluetooth, ZigBee, EMV), indicando per ognuno di essi una breve descrizione, i dettagli tecnici e le limitazioni. ENISA ritiene che il problema principale è che molti protocolli di oggi derivano da un design crittografico di parecchi anni fa, quindi soffrono di vulnerabilità legacy maggiori dei componenti crittografici sottostanti.

Il protocollo TLS, ad esempio, utilizzato per cifrare il traffico tra siti web e browser, contiene ancora bug nonostante sia noto da molti anni. Spesso, la causa della vulnerabilità è associata ad errori di implementazione. La loro progettazione richiede conoscenze tecniche avanzate e approfonditi test di sicurezza per la verifica del design. In passato, invece, molti protocolli crittografici sono stati sviluppati da esperti in networking, non da esperti in crittografia.

La ENISA suggerisce innanzitutto di non cercare di ottimizzare un protocollo esistente, se non si hanno le conoscenze giuste, altrimenti si corre il rischio di aggiungere vulnerabilità. Le organizzazioni dovrebbero inoltre progettare nuovi protocolli, usando tecniche di criptoanalisi, eliminando allo stesso tempo la complessità non necessaria. Infine, deve essere utilizzato un design modulare per consentire futuri aggiornamenti dei suoi componenti crittografici.

Ti consigliamo anche

Ottieni di più con NordVPN: sconti e carta regalo inclusa
Software e App

Ottieni di più con NordVPN: sconti e carta regalo inclusa
Festa del 1 maggio 2024: le migliori frasi da inviare su WhatsApp ad amici e parenti
Software e App

Festa del 1 maggio 2024: le migliori frasi da inviare su WhatsApp ad amici e parenti
NordVPN: ora il 71% di sconto con l'offerta di primavera
Software e App

NordVPN: ora il 71% di sconto con l'offerta di primavera
Samsung Smart TV 65 pollici, il prezzo crolla, sconto esagerato MENO 500 euro!
Web e Social

Samsung Smart TV 65 pollici, il prezzo crolla, sconto esagerato MENO 500 euro!
Link copiato negli appunti