On 09/08/2010 06:05 PM, Marco Ermini wrote:
> La sicurezza del sistema GSM è stata considerata end to end nel suo
> insieme. Non è soltanto un problema di rompere la crittografia nella
> comunicazione - se il terminale e il node/b fanno frequency hopping e
> rinegoziano le chiavi ogni 30 secondi, hai voglia tu ad avere tutte le
> rainbow table del mondo e computer superveloci, ben che vada al
> massimo decodifichi 30 secondi di una conversazione random. Insomma,
> anche se riuscissi a trovare delle debolezze nel protocollo, da qui a
> creare attacchi pratici (che ripeto, a tutt'ora non esistono per
> A5/1...) ce ne passerebbe.


> E se l'alternativa fosse dover convivere con un protocollo peggiore?

Il bello, quando ci sono due valutazioni di rischio diverse su problemi
su cui non ci sono dati statistici utilizzabili, è che ognuno può
sostenere la propria senza tema di smentita, qualunque cosa succeda :)

Riguardo alla criticità delle vulnerabilità negli algoritmi, e in
relazione a quanto sopra riportato, vorrei sottolineare un punto
fondamentale dal punto di vista architetturale. È un tema del quale si
discute molto ultimamente, non tanto/solo nella sicurezza IT quanto in
economia, a causa dei recenti "cigni neri"*: quando hai un impatto
potenzialmente illimitato, ragionare sulla valutazione del rischio aiuta
poco, quali che siano le probabilità, e quello che conta è limitare
(letteralmente) gli impatti. Nello specifico, una grossa vulnerabilità
nei protocolli crittografici potenzialmente avrebbe conseguenze molto
gravi, e quindi è importante che la sicurezza complessiva del sistema
non dipenda solo dai singoli algoritmi (anche se la scoperta di una
vulnerabilità in un algoritmo crittografico non sarebbe certamente un
cigno nero ;) ). Vorrei che ci fossero più sistemi progettati con questa
logica... purtroppo la ridondanza è nemica dell'ottimizzazione, come ben
sappiamo.

* http://en.wikipedia.org/wiki/Black_Swan_Theory

ciao

- Claudio

-- 

Claudio Telmon
clau...@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a