AutoreTopic: La crittografia è un'arma ?  (Letto 729 volte)


Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« il: 27 Novembre 2016, 16:42:02 »
Lavoro professionalmente nel settore della sicurezza dei sistemi informativi (ICT). In questo settore la crittografia a chiavi asimmetriche (PKI) è una consuetudine, per effettuare, ad esempio, autenticazioni o crittografia di messaggi o tunnelling tra reti geografiche (VPN). Al momento uno degli algoritmi di crittografia più in uso è l'AES con chiavi da 128 a 256 bit. Tale algoritmo è in uso, ad esempio, per la crittografia delle comunicazioni HTTPS per home banking, e-commerce etc (ovvero pagamenti elettronici, dove transitano cifre molto importanti).
Per altro anche nel settore delle radio-comunicazioni sono in libera vendita apparati radio digitali (DMR) di fabbricazione cinese, a costo molto contenuto, che implementano AES128 quale algoritmo per la crittografia della trasmissione vocale e di messaggi. E a differenza delle comunicazioni in rete, quelle in etere non lasciano alcuna traccia.
Tale algoritmo AES è classificato da NSA come secret o top secret a seconda della dimensione della chiave. Fino ad oggi, non risulta possibile alcun attacco contro questo algoritmo. Nè esistono backdoor (altrimenti cadrebbe immediatamente la fiducia, ad esempio, per tutte le transazioni HTTPS cifrate con tale algoritmo, con danni economici spaventosi).
A questo punto, l'uso di crittografia ad alto livello può essere considerato come un'arma ? Se tutti utilizzassero crittografia con algoritmo AES per cifrare i propri dati elettronici o le proprie comunicazioni, eventualmente accedendo agli stessi solo tramite certificati digitali (non password) ciò porterebbe all'impossibilità di effettuare indagini da parte di qualunque ente governativo.
Voi come la vedete la questione ?

Offline Cleanhead

  • Amministratore
  • Membro Super
  • *****
  • Post: 18992
  • Utente Desindacalizzato
« Risposta #1 il: 27 Novembre 2016, 18:00:32 »
bè le comunicazioni criptate esistono da tempo, il digitale e quindi la rete ha messo in subbuglio le tecniche tradizionali di indagini. Come dicevo in altro post il mondo si evolve e sta a noi avere la capacità di evolvere con lui. La crittografia non sarà un problema come non lo erano i mafiosi che si incontravano sul bagnoasciuga in riva al mare quando dovevano affrontare argomenti scottanti, con l'acqua fino al petto e a cento metri dalla riva, comunque finivano lo stesso in galera.  [13] [13] [13] Adattarsi e inventiva e la crittografia non sarà di nessuna utilità.  [47] [47] [47]
Sopra le nuvole c'è sempre il sole. Ciao Ale.
„Za wolność waszą i nasza”
Credo in un solo Dio.
Cleanhead 6969-06 (così è contento Manconi)

Offline marco14628

  • Membro Master
  • ****
  • Post: 1843
« Risposta #2 il: 28 Novembre 2016, 00:30:17 »
Credo proprio che sia diritto di chiunque proteggere la privacy dei propri contenuti utilizzando le forme che si reputano più opportune, starà poi a chi sta dall'altra parte decifrarle o obbligare alla decriptazione.
Tu cripta ciò che vuoi, ma stai sereno, quando ad uno stato interessa qualcosa arriva ovunque, magari avvalendosi proprio di persone come te.

Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« Risposta #3 il: 28 Novembre 2016, 08:21:39 »
Quando vi fu la questione del famoso dispositivo iPhone5c appartenuto al sig. Rizwan Syed Farook, io supportai pienamente la decisione del sig. Tim Cook, CEO di Apple. Una azienda che vende un prodotto che garantisce un alto livello di privacy è giusto che si opponga a manomissioni.
Sebbene non (ancora) ufficializzato, risulterebbe che in quel particolare caso sia stato effettuato un attacco attraverso la porta logica NAND, per ottenere un bypass della funzione di accesso, normalmente vincolata all'inserimento di codice PIN. Documentazione che approfondisce la questione è pubblicata a questo indirizzo: https://arxiv.org/ftp/arxiv/papers/1609/1609.04327.pdf.

Ho avuto modo di utilizzare nel corso degli anni prodotti di sicurezza sia di tipo opensurce, sia di tipo commerciale (Check Point, Fortigate per proporre due nomi di aziende di alto livello che forniscono dispositivi di sicurezza anche per infrastrutture governative). Una compromissione degli algoritmi crittografici presenti anche in questi dispositivi recherebbe un danno non quantificabile alla sicurezza anche delle stesse reti governative. Gli investimenti finanziari nel settore sono estremamente rilevanti. Le singole vulnerabilità legate ai protocolli di trasmissione si possono correggere ed hanno un impatto limitato. Ma se domani si venisse a conoscenza che AES sia stato vulnerato, senza disporre di alternative di livello superiore, tutta l'economia basata sulle transazioni finanziarie online sarebbe distrutta. Una banca non potrebbe più garantire la sicurezza delle transazioni e così a catena...
Motivo per cui ritengo che vi sono, al momento, dei livelli di crittografia che devono necessariamente rimanere impenetrabili a chiunque, compresi enti governativi. Gli stessi algoritmi si evolvono in continuazione, dunque tra 15 anni potrebbe essere presente un nuovo algoritmo ancora più evoluto. Ma fino a quel momento non sono presenti alternative.

Offline Cleanhead

  • Amministratore
  • Membro Super
  • *****
  • Post: 18992
  • Utente Desindacalizzato
« Risposta #4 il: 28 Novembre 2016, 10:38:19 »
fra 15 anni non ci saranno più algoritmi.... [03] [03] [03] si andrà a DNA... [24] [24]
Sopra le nuvole c'è sempre il sole. Ciao Ale.
„Za wolność waszą i nasza”
Credo in un solo Dio.
Cleanhead 6969-06 (così è contento Manconi)

Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« Risposta #5 il: 28 Novembre 2016, 15:16:59 »
fra 15 anni non ci saranno più algoritmi.... [03] [03] [03] si andrà a DNA... [24] [24]

Gli algoritmi di crittografia vi saranno ancora, per molte molte decadi. In questo documento dell'azienda americana Cisco Systems, di ottobre 2015, un elenco degli algoritmi presenti e la stima di implementazione per i 20 anni successivi:
http://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html

Come riportato nella tabella 1, AES con chiavi a 256 bit è considerato algoritmo NGE (next generation encryption) e resistente ad attacchi tramite elaboratori basati su computer quantistici. Come si può vedere, non sono previsti algoritmi di crittografia di pari livello. Dunque se AES perdesse di affidabilità oggi, le conseguenze sulla sicurezza non sarebbero calcolabili.

Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« Risposta #6 il: 29 Novembre 2016, 08:45:58 »
Proprio dove la crittografia e l'accesso ai dati con certificati digitali sarebbe stato un obbligo, avviene l'esatto contrario: http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml
Domando a voi se gli uffici giudiziari effettuino, almeno "una tantum", dei risk assessment sull'infrastruttura ICT...
Ciò è l'equivalente elettronico dei faldoni lasciati lungo corridoi o in stanze aperte non vigilate, a cui chiunque può accedere e sottrarre materiale o effettuare copie.
A prescindere dalla rilevanza del materiale, questo evento mina la relazione di "trust" tra cittadino e potere giudiziario.

Offline Cleanhead

  • Amministratore
  • Membro Super
  • *****
  • Post: 18992
  • Utente Desindacalizzato
« Risposta #7 il: 30 Novembre 2016, 10:37:22 »
Dai scherzi ? ...mina il trust ? Forse non li frequenti molto i tribunali....
Sopra le nuvole c'è sempre il sole. Ciao Ale.
„Za wolność waszą i nasza”
Credo in un solo Dio.
Cleanhead 6969-06 (così è contento Manconi)

Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« Risposta #8 il: 30 Novembre 2016, 18:48:31 »
Dai scherzi ? ...mina il trust ? Forse non li frequenti molto i tribunali....

Per fortuna non li frequento, e non penso che mi occuperò mai di forensics analysis nè a favore nè contro. Con queste premesse, meglio tenersi il più lontano possibile.
Sarebbe comunque interessante verificare la robustezza di un algoritmo come RSA (per altro non allo stesso livello di complessità di calcolo come AES). Mi permetto di mostrare un messaggio cifrato con chiave a 4096bit:

hQIMAxWNlfGY3hX/ARAAhiP1K5IqotnoHgjhEKcL0LANuE4H9JfFEpk53g36wRNy
tFymM2mVkud9zJ0qkE9 qD7YLCTysLtPuzEcpUi pH3K29RVsgfrf+Nhq6OxsdQhNQ
lq1EruWnEN3caYCU2ue uYg29fMIuH+AZCL2NMa+X97pBIX02OxGM9hRrrbW2q3rg
kSB0TsMmJNdRmna+aTDdwAJwvP1hzvkiZFTxV6+z0YjhxDHfYiFHMVJJqXOaggno
T39YHun4KFTyfyJO8Wk tseQUCA8PzlP7zp+ktjluZDkTf/i7aLXgTLMmgCK73bD4
wp3dfBDNrDr/y+65AFItIgS5ToKZXVi19gHIOVQZ1HaOCkP7NWVMEdjBbrEsgCP4
9MzYX2k3di4XHTNS3gM x3ChVWK6CFkRpJIySgx k8huOYrlT5TIKbGL/0UgCzO5a+
fCfP7++uPL3RM8Zu5FdHNX7y9G8zIS/LJYkphMIB4kcO6Y6k2IrAcLDUUPED2MLB
w5C0j2kM6+DKrZx92MiscNxGGQq0xgnYd79n50ySA+bileZOUXXuJVmDr999Sfra
YIuWaE5YAAV4WYDaU44 s3sSVPu46KVj80ejPt+huIS2YFF+NYLCafZv95dNHExhN
Dt3EX933AguGVau1Lud MRUVhNKstC2yJ8gMzKQ URAMIvGgoe3cDXgvvmz A9pswCF
AgwDGrwYYkkJB5EBD/wMAgBqcORt9t8deQg1sQj8yJH5Rwctk6jeWZd6bqeDhN4y
2ADOhBzx5P0HzmHETSV PWhjWde+KcPmR2NP/BQV0wF3YQmLErtUTpCQsg6mj9aNd
sVf0c4rFU/kb3BSHdh9MKan37+2USTZW24tHApGNz/frla/HQJGF5IwupeGr9fdw
cFZ4Z3WBBDgSYqHJJ2B fytedGoTjM7x52JZgfX tiLaKWc6W41B3q+uN4X4zy1R4j
nGhbFZvSAzvsZ+cE1rH4S9QoWJM+32/NR1kitafwy+XTro5RsQzyqV2MqaOMGEqF
iip0ab+W6Auy9JkWdRnVVM/qwpj1lQirpn4SUhyuMbDzZ8Y3J2lrOr6yTx8DTp1i
eyBx1JDkAli11Trwgaf CEcjOp0nw/CXcaFXnWiu2tEykl9HwO3XEz+3dS36ukZat
IYq8dnX9FNliBSgBVXI wl07GyRTQsWFfvktcAA bCBDFRLR1AxZV7R0hqO cVjvmcS
0QGHeXf+edjD2QmD67qbgQry6/yMZG8yaS2UB4eE1J6DFmU6NN03x68xpMo9Ihbb
1rVvjrDOACaJUTqnPum MOSzrxldj0pKcAJZ37k qACnrqjN2wkZVDL2A1i on2JnJN
5q8hPppTsPPCMcPtL2L ZeVnqhRJJTErK/mPImhLH7KvwF1trz150xwNXjYGOWNLq
ASMGBrYxmnmHa70VZZv EOOd6UXU1/5WEcOptPeWbjqHe7+CtmogJ8KEKPnxlZMGQ
Q9OQm1q5wzv6YEJFrVL 8w8bPFZFkOHbNWKdZFQ JWxCe6mLdRmk57otBIK TkTI/UR
CvuW5z8etzDYUi+Wgh4FX1rUZDqBFJhq0+AzSanGH2NpTO6psnkwCWZQgIGo/cor
zLkMOZY/LEMBQG14A/EwPolNKbY5PRs+KHWjGB/aX+HbDTwVin8oM+7FLnHrplzk
Wb+UFWLvv/YOMaQDWwyC3bRNSlObDBJ2ocL3zrqqL7oUak7rr9stUDKkAkHymcqd
/70gKAQoecwox1hUMofYEbWjoL1SnTbjShkkccLjTrQrrZWnWGESzYqe5R456MJE
2JtRluB/G+YymlQLAcIzHfttDO/VWfO1Jhw4Oj5J6vDgeyZqz8C7XBsrocdlZPA3
XaZoXvP9/NtiiYB8Zl+cMjooTNkvNBPKYy/1pREMQJdD0xAkKkcRjegcNcvBC96+
5xIOQZZuWm6RVf6ha2C luCnnFQYp+oMBzwuzm0SqPV1yJQrsGH6Ue0fbo2/px6aP
b+2ykMwB5JLOKJbh+T7TDyVlHvvZmWChGH/pgagDj0JF7WXhRXBUVdIeIq39vo7y
3yvpa8ojdv5kXuuBVis FkFImQV13ggoXmcXUUZ 0OyEoLUNBkWFKf41dw8 Pag5jBT
yMtHROX8X2Mi9QOim6s raJwd/mQyA29q/59DDWrcqDrzUCM1D7j7kGSiKtm8+/YE
74iXrI0LJFL3C0qHd35 NaeS67bPtyQFlZc8uHM I7RtTEL7l9VK0YOcXVB 9fZOFCu
JDtzkDwLb+tKw+bRUZZXWUiv7Roprgu+DCzcPWL/6BzVi4e+hMJPQyZ05dOzuZAb
OnZ3uVPH3zzXJyMcalp 6vfXwpgDcUnNJ4fnj38 8hujbnjMhP6zDK2H0Ha 1wAj45e
mHvl4PfKo4ZfqIa0FM2 aY0jpSQVQHGfXVVdZil JO6xJ+kFBwl10YhiE3RvEI74b3
3wfrhRwM+If9SUxbHi5b3oxyR1c5ifcQ9X4HxTbmDpf/r5ObHc4maxTiBsTgczbo
DWEZR29GJ9wjm4xE7XE qz+ZdEU7rP9gPZyT4IJD1ImF1LqDOGEHlPXf803z31scI
Pd1XrWm9WVsh503Q+oW8sk9OUHFI8BVxvIQvZtTFXUBQGyeDh9ZIfh+emNhQ/eMD
gDVQlGIIi7fPYhiX7xX Fw0qX+JVcqZJPkVYRMbo48aCm3PgQwMFVT38I0psSvD2I
sPPd0ofsIqA+eP8zAZg9Xon63eC9kQzAotBY4YjLlQnFXuE9Z1MllfPZgMCUMN+C
zp8jSRl6R/qy5tSa4gvPhFUn0/p0Pb0rM3n9YVZbN/Vp4v+Xc8wRh3cknKfqE+Ug
j3SED9uYul+jwqefOi/nJy+1eYBZnQp87kkriP5Yx8Jmvq0BPMnTAXs/eQK2DVYB
9TBJz+yF
=9WGd

Se qualcuno ha modo / facoltà di riportare il testo in chiaro senza conoscere la chiave privata, mi avvisi.

Offline celeste

  • Membro Veteran
  • *****
  • Post: 3968
« Risposta #9 il: 30 Novembre 2016, 20:53:28 »

....... [20] [20] [34] [34].....ma co s'è sta roba???????

Offline tlc-cri

  • Nuovo
  • *
  • Post: 10
« Risposta #10 il: 30 Novembre 2016, 22:01:26 »

....... [20] [20] [34] [34].....ma co s'è sta roba???????

E' un messaggio di testo (ASCII) di pochi byte cifrato con chiavi asimmetriche da 4096bit con algoritmo RSA. Ovvero la cifratura avviene utilizzando il certificato di chiave pubblica del destinatario. Il destinatario effettua la decodifica utilizzando il proprio certificato di chiave privata. Tale algoritmo è utilizzato, ad esempio, da software quali PGP / GPG per scambio di messaggi di posta elettronica cifrati. Immaginate se tutta la popolazione avesse piena conoscenza di questi strumenti di crittografia (anche del tutto gratuiti)...