Le tecnologie utilizzate da enti governativi ed autorità di diverse nazioni sono in pericolo: uno studio condotto da alcuni ricercatori ha infatti rivelato come sia possibile aggirare i sistemi di protezione che dovrebbero garantire massima sicurezza durante l’utilizzo di sistemi come RSA e simili, ottenendo in breve tempo la chiave necessaria alla decifrazione dei contenuti protetti. Sfruttando una tecnica di attacco già nota in passato, raffinata e migliorata per l’occasione, i ricercatori hanno messo in risalto la fallacia degli attuali algoritmi di protezione, segnalando la vicenda alle principali case produttrici.
A correre i rischi maggiori sono gli utenti in possesso della chiavetta RSA SecurID 800, la quale può essere aggirata, secondo gli studi, in soli 13 minuti. Al secondo posto si colloca la Siemens CardOS (21 minuti), con la SafeNet Ikey 2032 (88 minuti) e la Gemalto Cyberflex (92 minuti) decisamente più distaccate. In tutti i casi analizzati, poi, i ricercatori hanno evidenziato come tale tipologia di attacco sia sufficientemente semplice da poter essere replicata da eventuali malintenzionati, motivo per cui il pericolo potrebbe essere concreto.
Tutte e quattro le società coinvolte nella vicenda hanno fatto sapere di essere all’opera sull’implementazione di nuove soluzioni in grado di arginare la problematica, con alcune di esse che hanno sottolineato come il tutto sia dovuto principalmente ad una non totale aderenza allo standard PKCS #1 v1.5. Ciò avrebbe provocato una sensibile diminuzione del numero di tentativi necessari ad estrapolare la chiave, passati da 215 mila a soli 9 mila, con un’ulteriore falla che consentirebbe agli aggressori di sottrarre la chiave una volta ricevuta la risposta affermativa da parte di un componente software che si occupa di rilevare l’inserimento corretto del codice.
Ad oggi, sono milioni gli utenti che utilizzano tali sistemi in ambito professionale e governativo per cifrare informazioni oppure effettuare il login in ambienti informatici sfruttando un sistema sulla carta sicuro. Quest’ultimo attributo sembrerebbe tuttavia venir meno nel momento in cui la ricerca in questione ha prodotto risultati concreti, potenzialmente in grado di compromettere la robustezza di un sistema fino ad ora ritenuto infallibile.