c.m.g
19-12-2007, 10:02
mercoledì 19 dicembre 2007
Roma - Il celebre guru della sicurezza Bruce Schneier segnala (http://www.schneier.com/blog/archives/2007/12/dual_ec_drbg_ad.html#c225422) sul proprio blog che il Service Pack 1 per Windows Vista, di cui Microsoft (http://www.microsoft.com/) ha recentemente rilasciato una release candidate, contiene un secondo motore per la generazione dei numeri pseudocasuali che a suo dire potrebbe mettere a rischio la privacy degli utenti.
Il nuovo random number generator di Vista è denominato Dual_EC-DRBG, ed è lo stesso in cui lo scorso mese alcuni esperti di sicurezza, tra cui lo stesso Schneier, hanno identificato (http://punto-informatico.it/p.aspx?i=2118281) quella che molti sospettano si tratti di una chiave d'accesso segreta: in altre parole, una backdoor (http://www.schneier.com/essay-198.html) che permetterebbe all'intelligence americana, NSA (http://www.nsa.gov/) in particolare, di decodificare qualsiasi contenuto cifrato.
Schneier ha però specificato che, di default, Dual_EC-DRBG è disattivato: il motore dei numeri casuali predefinito, anche in Windows Vista SP1, resta il CTR_DRBG, che a parere degli esperti non contiene potenziali backdoor.
"Dual_EC_DRBG viene utilizzato solo se il programmatore lo richiama espressamente", ha spiegato in questo commento (http://www.schneier.com/blog/archives/2007/12/dual_ec_drbg_ad.html#c225422) Jesse Viviano, un lettore del blog di Schneier. "L'unico modo per essere sicuri che Dual_EC_DRBG non venga usato (da un'applicazione, NdR) è effettuare un'analisi del codice".
Dual_EC_DRBG fa parte di uno standard recentemente pubblicato da NIST (http://www.nist.gov/) (National Institute of Standards and Technology). Ad oggi, il famoso ente americano deve ancora fornire un chiarimento sulle inquietanti scoperte fatte dalla comunità di esperti di sicurezza.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2145113)
Roma - Il celebre guru della sicurezza Bruce Schneier segnala (http://www.schneier.com/blog/archives/2007/12/dual_ec_drbg_ad.html#c225422) sul proprio blog che il Service Pack 1 per Windows Vista, di cui Microsoft (http://www.microsoft.com/) ha recentemente rilasciato una release candidate, contiene un secondo motore per la generazione dei numeri pseudocasuali che a suo dire potrebbe mettere a rischio la privacy degli utenti.
Il nuovo random number generator di Vista è denominato Dual_EC-DRBG, ed è lo stesso in cui lo scorso mese alcuni esperti di sicurezza, tra cui lo stesso Schneier, hanno identificato (http://punto-informatico.it/p.aspx?i=2118281) quella che molti sospettano si tratti di una chiave d'accesso segreta: in altre parole, una backdoor (http://www.schneier.com/essay-198.html) che permetterebbe all'intelligence americana, NSA (http://www.nsa.gov/) in particolare, di decodificare qualsiasi contenuto cifrato.
Schneier ha però specificato che, di default, Dual_EC-DRBG è disattivato: il motore dei numeri casuali predefinito, anche in Windows Vista SP1, resta il CTR_DRBG, che a parere degli esperti non contiene potenziali backdoor.
"Dual_EC_DRBG viene utilizzato solo se il programmatore lo richiama espressamente", ha spiegato in questo commento (http://www.schneier.com/blog/archives/2007/12/dual_ec_drbg_ad.html#c225422) Jesse Viviano, un lettore del blog di Schneier. "L'unico modo per essere sicuri che Dual_EC_DRBG non venga usato (da un'applicazione, NdR) è effettuare un'analisi del codice".
Dual_EC_DRBG fa parte di uno standard recentemente pubblicato da NIST (http://www.nist.gov/) (National Institute of Standards and Technology). Ad oggi, il famoso ente americano deve ancora fornire un chiarimento sulle inquietanti scoperte fatte dalla comunità di esperti di sicurezza.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2145113)