On 09/08/2010 06:05 PM, Marco Ermini wrote: > La sicurezza del sistema GSM è stata considerata end to end nel suo > insieme. Non è soltanto un problema di rompere la crittografia nella > comunicazione - se il terminale e il node/b fanno frequency hopping e > rinegoziano le chiavi ogni 30 secondi, hai voglia tu ad avere tutte le > rainbow table del mondo e computer superveloci, ben che vada al > massimo decodifichi 30 secondi di una conversazione random. Insomma, > anche se riuscissi a trovare delle debolezze nel protocollo, da qui a > creare attacchi pratici (che ripeto, a tutt'ora non esistono per > A5/1...) ce ne passerebbe.
> E se l'alternativa fosse dover convivere con un protocollo peggiore? Il bello, quando ci sono due valutazioni di rischio diverse su problemi su cui non ci sono dati statistici utilizzabili, è che ognuno può sostenere la propria senza tema di smentita, qualunque cosa succeda :) Riguardo alla criticità delle vulnerabilità negli algoritmi, e in relazione a quanto sopra riportato, vorrei sottolineare un punto fondamentale dal punto di vista architetturale. È un tema del quale si discute molto ultimamente, non tanto/solo nella sicurezza IT quanto in economia, a causa dei recenti "cigni neri"*: quando hai un impatto potenzialmente illimitato, ragionare sulla valutazione del rischio aiuta poco, quali che siano le probabilità, e quello che conta è limitare (letteralmente) gli impatti. Nello specifico, una grossa vulnerabilità nei protocolli crittografici potenzialmente avrebbe conseguenze molto gravi, e quindi è importante che la sicurezza complessiva del sistema non dipenda solo dai singoli algoritmi (anche se la scoperta di una vulnerabilità in un algoritmo crittografico non sarebbe certamente un cigno nero ;) ). Vorrei che ci fossero più sistemi progettati con questa logica... purtroppo la ridondanza è nemica dell'ottimizzazione, come ben sappiamo. * http://en.wikipedia.org/wiki/Black_Swan_Theory ciao - Claudio -- Claudio Telmon clau...@telmon.org http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List