MenteDigitale Security

Cos’ e’ la ttecnologia RSA SecurID e come funziona?

Riporto l’ articolo integrale dall’ ottimo sito (che consiglio personalmente) pillolhacking.net.

Buona serata.

William J.

Alcune banche hanno adottato un sistema ingegnoso per aumentare la sicurezza delle transazioni online. Per esempio, Unicredit ha adottato la tecnologia RSA SecurID.

Di che cosa si tratta? SecurID è un dispositivo delle dimensioni di un portachiavi, simile ad una chiavetta usb, dotato di display. Su questo display appare una codice, codice la cui vita dura 30 (o 60) secondi. Questo codice viene utilizzato per una sola autenticazione dopodiché scade.

E’ sicuro questo sistema? E come funziona? Ritengo che sia ragionevolmente sicuro. Intanto perché è stato creato dalla RSA azienda autorevole che non metterebbe in commercio un prodotto scadente. Tanto per intenderci, RSA sta per Rivest, Shamir, Adleman, tre dei più grandi esperti di crittografia, inventori della crittografia asimmetrica.

La sicurezza è garantita dal fatto che la password (il codice) è mono-uso: l’eventuale hacker ha a disposizione un tempo ridottissimo per il brute-force attack.

Come funziona? Vediamo. La forma più sicura di crittografia è quella dove le chiavi vengono utilizzate una volta sola (one-time pad). Questa forma di crittografia è sicurissima ma ha un limite: lo scambio delle chiavi. Essendo una forma di crittografia simmetrica le due parti coinvolte nella transazione devono condividere elenchi di chiavi da usare e gettare. Procedura scomoda.

Per superare questo problema è necessario creare una funzione che sia in grado di produrre password usa-e-getta che siano sincronizzate in qualche modo col sistema remoto.

Un primo elemento utile per risolvere il problema è il tempo: utilizzando orologi sincronizzati sia sul server, sia sul token, si è in grado sia di sincronizzare i sistemi, sia di creare codici in continuo mutamento.

Naturalmente il tempo non basta: è si un elemento in continuo movimento, ma è anche assai facile da prevedere, in quanto non occorre essere hacker per saper leggere l’orologio! Occorre una altro ingrediente. Questo secondo ingrediente è un segreto condiviso (seed) da 128 bit.

Questo “seme” viene in qualche modo combinato con il tempo (nella forma dello Unix timestamp per esempio), e passato attraverso una funzione di hashing. Infine dall’hash viene estrapolato il codice della durata di 30 secondi.

Riepilogando:

1. Esiste un segreto condiviso nel token e nel sistema remoto

2. Questo segreto (seed) a 128 bit viene combinato con il timestamp creando così un valore sempre nuovo

3. Il codice così ottenuto viene trattato in qualche modo ulteriore (funzione hash)

Di fatto si tratta di un ingegnoso meccanismo per moltiplicare all’infinito un’unica password condivisa. Indovinare o predire i codici è pressoché impossibile. L’aggiunta di questa elemento alza decisamente il livello di sicurezza della transazione.

Popularity: 60% [?]

Un articolo a caso:

• February 3, 2010 -- RIPRISTINARE LA QUICK LAUNCH BAR (0)