Logjam, nuovo attacco alla sicurezza di HTTPS

Una nuova vulnerabilità, scoperta nell’implementazione del protocollo TLS, utilizzato per crittografare le informazioni trasmesse tra server e client (e viceversa) adoperando HTTPS, minaccia la riservatezza delle comunicazioni verso decine di migliaia di macchine connesse alla rete Internet.

La falla di sicurezza, che ricorda quella battezzata FREAK (FREAK: dati personali a rischio su connessioni HTTPS), sfrutta – in particolare – una lacuna nella procedura di scambio delle cosiddette chiavi Diffie-Hellman che consentono a due parti mai incontratesi prima di negoziare l’uso di una chiave privata nonostante il mezzo di comunicazione sia intrinsecamente insicuro.

Battezzata Logjam, la vulnerabilità è il risultato di un’imposizione del governo statunitense degli anni ’90 (amministrazione Clinton).
All’epoca fu prescritto agli sviluppatori software che intendessero esportare i loro prodotti al di fuori dei confini nazionali, di adottare un algoritmo che potesse essere violato da parte dell’FBI in caso di esigenze di controllo e sicurezza.

Secondo i crittografi che hanno portato oggi alla luce il problema Logjam, allo stato attuale solo Internet Explorer sarebbe stato aggiornato in modo tale da negare l’utilizzo di chiavi Diffie-Hellman deboli (da 512 bits).
Il browser Microsoft evita infatti che gli utenti collegatisi ad un server HTTPS non si vedano obbligati ad utilizzare l’algoritmo Diffie-Hellman nella sua forma più debole. Diversamente, un aggressore, postosi del mezzo della comunicazione tra client e server, potrebbe iniettare pacchetti dati malevoli capaci di indurre le due parti ad utilizzare una debole chiave crittografica da 512 bit durante la fase di negoziazione della connessione cifrata.

Chrome, Firefox e Safari sono al momento interessati dal problema ma, grazie alla collaborazione dei ricercatori con le varie aziende, aggiornamenti correttivi saranno rilasciati nel giro di qualche settimana.

Questa pagina permette di stabilire se il proprio browser sia o meno esposto alla vulnerabilità e di consultare le statistiche più aggiornate sul numero di server interessati.