PEC e certificati digitali che usano ancora le vecchie chiavi a 128 bit?!

“È già avvenuto nel lontano 1998, con la vecchia chiave a 40 bit...

All’epoca l’Electronic Frontier Foundation's Deep Crack, formò un gruppo di lavoro, con una donazione di 250.000 dollari di allora.

L’obiettivo? Trovare il sistema per penetrare l’algoritmo a 56-bit Data Encryption Standard (DES).
Dopo qualche giorno il risultato fu: “craccato” in 4 secondi!

A quei tempi gli Stati Uniti avevano proibito l’esportazione della chiave di crittografia a 40 bit, comunemente usata prima del 1996. L’unica possibilità era ottenere un permesso speciale.

Io all’epoca rivestivo il ruolo di Direttore di Verisign per l’Europa, e ricordo che dovetti faticare non poco nel chiedere le autorizzazioni – caso per caso - necessarie al competente Ministero Americano.

Il risultato di tale politica fu che i browser (non c’era ancora il www.cabforum.org), prepararono una versione “internazionale” che aveva la possibilità di utilizzare una chiave a 40 bit quando si entrava in una sessione https (Secure Sockets Layer).

Lo stesso destino, com’era facile prevedere, sta capitando oggi alla chiave da 128/1024 bit.

Con l’evolversi di Internet e della potenza di calcolo dei PC, infatti, è diventato un gioco da ragazzi penetrare in sistemi protetti con questa tecnologia.

Basta andare su Google e ricercare “128 bits crack”: si trovano un’infinità di sistemi per “superare” questo tipo di chiave.



La RSA aveva già annunciato questo problema, fin dal 1998, dicendo che le chiavi dovevano essere adeguate in tempo.

Il NIST ha agito di conseguenza, inibendo a tutte le Certification Authority di rilasciare certificati a meno di 256/2048 bit, comunicandolo già nel 2007.

E ovviamente, lo fanno in maniera pesante. Scrivono: “... will disable or remove all root certificates with RSA key sizes smaller than 2048 bits...”.

E ora veniamo a noi...

Cosa ha fatto il governo Italiano per porre rimedio a questa problema? Direi nulla!
Le Certification Authority Italiane, infatti, continuano ad usare vecchie chiavi a 128 bit ed a rilasciare PEC e certificati digitali con la stessa chiave.

Ecco il certificato usato per il rilascio della “SUPER SICURA PEC”...

Su questo non ho commenti da fare...

So solo che di questa cosa se ne parla da più di tre anni, senza che vengano presi gli opportuni provvedimenti. Una volta ancora mi ripeto: le leggi non viaggiano alla stessa velocità della tecnologia.

Del resto, apprendo appena ora che il Consiglio dei Ministri ha da poco approvato il nuovo CAD, il Codice dell’Amministrazione Digitale. E a quanto pare, nulla si cambiato in materia”.