3405 Letture

Debian: crittografia a rischio

Dal progetto Debian si mette in allerta gli utenti circa la scoperta di una vulnerabilità legata alla gestione di alcune funzionalità crittografiche che potrebbero rendere il sistema Linux vulnerabile ad attacchi.
Dopo la scoperta di una lacuna relativa all'algoritmo "pseudo-random number generator" (PRNG) in Windows, ora è la volta di un sistema Linux affidabile ed apprezzato qual è Debian che, tra l'altro, vede tra le sue distribuzioni derivate anche Ubuntu.

Il problema di sicurezza riguarda l'algoritmo PRNG utilizzato nell'implementazione Debian di OpenSSL: un aggressore potrebbe essere in grado di individuare le chiavi crittografiche generate. Tutte le versioni del pacchetto OpenSSL che iniziano con il numero di versione 0.9.8c-1 (rilasciata nel mese di Settembre 2006) sono quindi potenzialmente a rischio.

Agli amministratori di sistema viene consigliato di generare nuove chiavi crittografiche dopo avere provveduto ad installare le patch, già disponibili per il download. Secunia fa presente come gli aggiornamenti di sicurezza integrino anche una correzione per una possibile esposizione anche ad attacchi di tipo Denial of Service (DoS).


Il sistema operativo e le applicazioni utilizzano lo "pseudo-random number generator" per creare chiavi crittografiche in modo (pseudo) casuale. Queste stesse chiavi vengono poi impiegate per cifrare file, messaggi di posta elettronica e per l'utilizzo del protocollo SSL (Secure Socket Layer).

La generazione causale di numeri è alla base di molti meccanismi crittografici. Ad esempio, le chiavi per cifrare file e documenti debbono essere generate in modo che non possano essere "indovinate" da parte di malintenzionati.
La generazione di una chiave in modo casuale implica, tipicamente, la selezione di un insieme di numeri random oppure di sequenze di bit.
E' piuttosto difficoltoso individuare dei metodi validi per la generazione di sequenze in modo casuale.
Un algoritmo PRNG viene utilizzato per generare una sequenza di numeri in modo tale da approssimare quelle che sono le proprietà dei numeri casuali. La sequenza generata non può essere considerata "completamente casuale" poiché viene determinata sulla base di un insieme relativamente ristretto di valori iniziali.


Per maggiori informazioni su PRNG e sull'implementazione dell'algoritmo in Windows, vi suggeriamo di fare riferimento a questo nostro articolo.

Debian: crittografia a rischio - IlSoftware.it