[Hackmeeting] Backdoor nella pubkey RSA

Nachricht löschen

Nachricht beantworten
Autor: Anathema
Datum:  
To: hackmeeting
Betreff: [Hackmeeting] Backdoor nella pubkey RSA
http://kukuruku.co/hub/infosec/backdoor-in-a-public-rsa-key

https://www.reddit.com/r/crypto/comments/2ss1v5/rsa_key_generation_backdoored_using_curve25519/

ok, il titolo e` molto allarmante, ma voleva attirare l'attenzione su un
problema che, anche se non particolarmente nocivo, mette alla luce
(IMHO) alcuni aspetti interessanti.

Come notano alcuni utenti nei due post, non e` tanto un problema che
mette a rischio le comunicazioni tra 'privati', ma sicuramente:

- azienda-dipendente: l'azienda potrebbe forgiare ad hoc le chiavi e
reversarle, o dare la possibilita` al dipendente di generarle gia` con
CURVE25519, avendo di fatto accesso alla privkey, con un falso senso di
sicurezza da parte del dipendente (ma potrebbe anche essere valido un
discorso di policy di sicurezza e management, per cui la cosa non e`
malevola in se`)

- il dubbio che qualcuno abbia introdotto questa backdoor di proposito.
Ed allora, mi chiedo, se non ce ne siano altre in giro...

--
Anathema

+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/  |
|Fingerprint: 80CE EC23 2D16 143F 6B25  6776 1960 F6B4 CFF9 4F0A     |
|                                     |
|http://www.msack.org                             |
+--------------------------------------------------------------------+