In casa Microsoft è tempo di fare pulizia sul fronte degli algoritmi crittografici. Credereste mai che due dei codici attualmente più utilizzati a Redmond, SHA-1 e RC4, risalgono addirittura al 1995 e al 1987?
Ebbene sì. All’epoca Internet era ben lungi dal diventare la rete mondiale di comunicazione che è oggi, e sinceramente fa specie che la multinazionale ricorra tuttora ai due algoritmi per cifrare le proprie comunicazioni. Ora però tutto cambia. Inutile dire che Sha -1 e RC4da tempo sono aperti a diverse vulnerabilità, e che a convincere i responsabili Microsoft a ovviare ai “buchi” è stato il recente scandalo del Datagate: le misure prese mirano infatti a disabilitare, nel più breve tempo possibile, i due codici. Ma quali sono i rischi più gravi cui gli utenti finora sono andati incontro affidandosi a SHA-1 e RC4? Sostanzialmente, a essere a repentaglio, è stata l’incolumità degli hash: le firme digitali sono state per lungo tempo esposte al pericolo di attacchi a base di collisioni, dove input di origine differente hanno presumibilmente portato a diversi casi di hash clonati e, quindi, al furto di dati all’interno dei certificati di sicurezza. E se tra chi legge c’è qualche scettico, gli basti pensare che proprio grazie ai bug di SHA-1 i servizi segreti statunitensi e israeliani hanno potuto dare vita al famigerato malware Flame. Per quanto riguarda RC4, invece, quest’ultimo è stato il migliore alleato dei tecnici dell’Nsa nell’attività di spionaggio delle ambasciate portato avanti per anni, ed è responsabile del recente attacco alla darknet di Tor. Microsoft, infine, ha fatto sapere che l’operazione di disabilitazione dei due algoritmi sarà accompagnata da un generale aggiornamento di Windows.