Titolo

La guerra alla crittografia - alcune questioni tecniche

1 commento (espandi tutti)

ma il sistema di apple non è inviolabile ed è molto rischioso farlo credere... qual' è la differenza tra una backdoor governativa e una falla zero day ?

Proverò a dare una risposta: essenzialmente la differenza è nel dominio a cui si applica la vulnerabilità.

Supponiamo che il governo USA crei la specifica XYZ, qualsiasi essa sia, che per legge i dispositivi dotati di crittografia devono implementare (e che sia qualcosa di più complicato de "non puoi usare chiavi più complicate di N bit", soluzione già provata e scartata per ragioni che dovrebbero essere evidenti a tutti).

Tale specifica, o l'implementazione della parte governativa di tale specifica (quella che effettivamente fornisce al governo l'accesso tramite "chiave privilegiata" o un qualsiasi sistema simile), può avere un bug (anzi, è molto probabile che lo abbia), o può capitare una falla nella sicurezza: tanto per dire, una talpa nelle agenzie che hanno accesso alle chiavi necessarie per forzare i sistemi, o cose del genere - social engineering di cui i funzionari del governo possono essere vittime.

Comunque, supponiamo che la vulnerabilità della specifica o qualche informazione "riservata" sufficiente per compromettere il sistema venga scoperta. Sarebbe un caso simile a quando si trova un bug nelle implementazioni di SSL, diciamo, tipo heartbleed?

No, e per almeno due motivi fondamentali.

1) Per un utente legittimo, l'eliminazione di tale vulnerabilità in tempi rapidi (minuti, non giorni), richiederebbe di smettere di implementare la direttiva XYZ (per passare a un sistema alternativo, in attesa che la specifica XYZ venga corretta, con i tempi della politica) - ma non esistendo sistemi legittimi che non implementano la direttiva XYZ, questo sarebbe molto difficile (e magari anche illegale). Mentre per heartbleed, la soluzione "cambio implementazione" è sostanzialmente immediata una volta scoperto il problema.

2) E' ragionevole aspettarsi che i dispositivi/software utilizzati in tutti gli altri paesi non implementino XYZ, e quindi non soffrano della vulnerabilità. Nel momento in cui si scoprisse tale vulnerabilità, la vulnerabilità sarebbe di tutti e soli i sistemi che implementano la specifica XYZ del governo USA. Immagina il problema di sicurezza nazionale che si creerebbe...