Gli scienziati dell’Università del Michigan hanno scoperto una falla importante nella più comune tecnica di sicurezza digitale.
il sistema di autenticazione RSA è un metodo di crittografia impiegato nei lettori multimediali, nei computer portatili, negli smartphone, nei server e in molti altri dispositivi. I rivenditori e le banche dipendono anche da questo per garantire la sicurezza delle informazioni on-line dei loro clienti.
Gli scienziati hanno scoperto che potevano violare il sistema di sicurezza variando la tensione di alimentazione dell’holder della “chiave privata”, che sarebbe il dispositivo adottato nel caso di un utente consumatore per la protezione da copia e da rivenditore o dalla banca in caso di comunicazione di Internet. È altamente improbabile che un hacker potrebbe utilizzare questo approccio in una grande istituzione, dicono i ricercatori. Questi risultati potrebbero coinvolgere con magiore probabilità le imprese di comunicazione e produttori di dispositivi mobili, come pure coloro che li utilizzano.
Andrea Pellegrini, uno studente di dottorato presso il Dipartimento di Ingegneria Elettrica e Informatica, ha presentato un documento sulla ricerca effettuata alla conferenza europea si Design, Automation e Test di Dresda il 10 marzo scorso.
“L’algoritmo RSA dà sicurezza in base al presupposto che, fintanto che la chiave privata rimane privata, non si può violare a meno che non si arrivi ad indovinarla. Abbiamo dimostrato che ciò non è vero”, ha detto Valeria Bertacco, professore associato presso il Dipartimento di Ingegneria Elettrica ed Informatica.
Queste chiavi private contengono più di 1.000 cifre di codice binario. Indovinare un numero così grande richiederebbe un tempo dell’età dell’universo, ha affermato la Dr.ssa Pellegrini. Usando il loro sistema di tweaking (piccola variazione) di tensione, i ricercatori sono stati in grado di estrarre la chiave privata in circa 100 ore”
I ricercatori hanno manipolato con attenzione la tensione di un dispositivo economico costruito per questo scopo. Variando la corrente elettrica , il computer viene posto sotto “stress” inducendolo a commettere piccoli errori nelle comunicazioni con altri client. Questi difetti rivelano piccoli pezzi della chiave privata. Una volta che i ricercatori hanno causato un numero sufficiente di “guasti”, sono stati in grado di ricostruire l’inttera chiave.
Questo tipo di attacco non danneggia il dispositivo, quindi non mostra alcuna traccia di manomissione.
“L’autenticazione RSA è così popolare perché è stata pensata per essere estremamente sicura” ha dichiarato Todd Austin, un professore del Dipartimento di Ingegneria Elettrica e Informatica. “Il nostro lavoro ridefinisce il livello di sicurezza che essa offre. Ciò abbassa la garanzia della sicurezza in modo molto significativo.”
Sebbene questo documento illustra solo il problema, i professori dicono di aver individuato una soluzione. E ‘una tecnica comune di crittografia chiamata “salting” (salatura), che cambia l’ordine delle cifre, in modo casuale ogni volta che è richiesta la chiave.
“Abbiamo dimostrato che un attacco all’algoritmo RSA è possibile”, ha detto Austin. “Speriamo che questo farà sì che i costruttori apportino alcuni piccoli cambiamenti alla loro esecuzione dell’algoritmo. RSA è un buon algoritmo e penso che, alla fine, riuscirà a superare questo tipo di attacco.”
Il documento è intitolato “Fault-based Attack of RSA Authentication”. Questa ricerca è finanziata dalla National Science Foundation e la Gigascale Systems Research Center.
