Alessandro Baggi ha scritto: > Il 09/02/25 11:39, Davide Prina ha scritto:
>> Ogni tanto leggo discorsi tra esperti di sicurezza e spesso quello che >> leggi ti lascia con l'amaro in bocca. >> Ad esempio con l'approvazione del TLS 1.3 diversi esperti indicavano che, >> pur essendo non ottimale, era meglio approvarlo in fretta per sopperire >> a tutti i problemi di sicurezza del TLS 1.2 (notare che attualmente in >> tutti gli standard e linee guida trovi TLS >= 1.2). >> Inoltre indicavano che se dovevano trasmettere un file sotto TLS 1.3 >> bisognava perlomeno prima cifrarlo! >> >> Da quel che ho capito il problema del TLS è soprattutto nella parte di >> handshake iniziale che è fatta in chiaro. Questo punto potrebbe essere >> risolto usando l'mTLS, naturalmente ove possibile, come penso sia >> possibile nel tuo caso. > > Tutto molto interessante. Grazie per gli spunti. Anzi se hai qualche > risorsa/paper/link da condividere per approfondimenti te ne sarei grato. Se ti riferisci: * a quanto dicevano gli esperti di sicurezza al momento dell'uscita del TLS 1.3, allora non nessun link o documento, bisogna cercarli * al fatto che l'handshake è in chiaro, è sufficiente leggersi o l'RFC o qualsiasi documento che spiega come funziona il TLS 1.3 o nello specifico lhandshake * all'uso dell'mTLS per risolvere diversi problemi del TLS puoi vedere anche wikipedia[¹] o altra fonte che spieghi in dettaglio l'mTLS. L'eliminazione del problema dell'handshake è banale, dato che ogni parte si autentica con la controparte usando il proprio certificato e ogni controporta ha la chiave pubblica dell'altro, cosa che permette di verificare chi sta dall'altra parte. La conversazione può iniziare subito cifrata proprio grazie alla chiave pubblica della controparte Ciao Davide [¹] https://en.wikipedia.org/wiki/MTLS#Defenses -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
