I sette Templari del web "Così difenderemo la rete" - Repubblica.it.
Sono esperti internazionali di informatica e sicurezza cui è stato affidato il compito di riavviare il Web in caso di attacchi terroristici. Ognuno ha un frammento della chiave segreta, almeno in cinque dovranno arrivare negli States per farla funzionare
Anto mi ha chiesto di commentare, per cui cerco di dare una spiegazione semplice di due meccanismi che stanno alla base di questo articolo: la crittografia a chiavi asimmetriche e il dns. Non sarò del tutto preciso, cerco di rendere una idea abbastanza comprensibile.
7 è un numero primo e 11 è un numero primo. 77 è scomponibile solo in 7 e 11. fare una moltiplicazione è cosa da pochi istanti, fattorizzare un numero richiede un sacco di tempo. se i due numeri primi sono sufficientemente grandi, il numero risultante può richiedere anni di calcolo per trovare i due fattori. La crittografia a chiave asimmetrica si basa su questa proprietà e su delle particolari funzioni matematiche per cui si fanno due chiavi, differenti, con la proprietà che una apre ciò che l'altra chiude e viceversa. Io genero le due chiavi, una me la tengo segreta e l'altra la diffondo in pubblico. scrivo un messaggio con la mia chiave privata e chiunque, applicando la mia chiave pubbliva, legge il messaggio, sapendo così che effettivamente sono stato io a scriverlo (solo io ho la mia chiave privata!)
questa è la prima premessa.
quando scriviamo un indirizzo web, questo viene cercato su una specie di elenco telefonico, il DNS, per sapere a quale indirizzo IP corrisponde. il collegamwnto avviene con l'indirizzo IP, il nome è solo un fatto mnemonico. Il server DNS cui vengo o dirette le nostre richieste (in automatico dal nostro computer) o ce lo configuriamo a manina o più generalmente ci viene fornito dal provider al momento della connessione. Ma se io riesco a fare in modo, ad esempio con un trojan installato sul tuo pc, che il tuo pc si rivolga ad un DNS che gestisco io. In pratica chi ti fornisce le informazioni è u soggetto falso, quando tu scrivi www.homebanking.it io potrei mandarti su un indirizzo IP dove c'è un sito identico per aspetto a quello della tua banca, solo che cattura la tua username e password (e magari poi ti rimanda senza che tu te ne accorga al sito originale della banca, tu sei contento ed io ti ho fregato le passowrd). Un'altro problema che può emergere è che tu effettivamente ti colleggi al DNS dell'ISP ma io ho crackato quel server e cambiato le informazioni in esso contenute per cui chi ti risponde è il soggetto vero ma ti fornisce informazioni false.
Usando un meccanismo basato sulla crittografia asimmetrica è possibile fare in modo che tu acceda al DNS essensdo sicuro della sua identità e dell'integrità dei dati che ti vengono forniti.
Questo, per sommi capi, è DNSSEC, il progetto mondiale per mettere in sicurezza i DNS. naturalmente ho certezza dell'identita' del sito homenaking.pippo.it perchè l'informazione proviene in origine dal DNS di pippo.it che a sua volta proviene da .it che a sua volta proviene da dei DNS "root". Ma se qualcuno compromette la chiave dei DNS root, tutta la catena di fiducia viene meno. Allora, per metterla in sicurezza, si usano diverse chiavi che devono essere usate in modo combinato.
e questo hanno fatto.
niente templari nè terroristi, sorry....
Anto mi ha chiesto di commentare, per cui cerco di dare una spiegazione semplice di due meccanismi che stanno alla base di questo articolo: la crittografia a chiavi asimmetriche e il dns. Non sarò del tutto preciso, cerco di rendere una idea abbastanza comprensibile.
7 è un numero primo e 11 è un numero primo. 77 è scomponibile solo in 7 e 11. fare una moltiplicazione è cosa da pochi istanti, fattorizzare un numero richiede un sacco di tempo. se i due numeri primi sono sufficientemente grandi, il numero risultante può richiedere anni di calcolo per trovare i due fattori. La crittografia a chiave asimmetrica si basa su questa proprietà e su delle particolari funzioni matematiche per cui si fanno due chiavi, differenti, con la proprietà che una apre ciò che l'altra chiude e viceversa. Io genero le due chiavi, una me la tengo segreta e l'altra la diffondo in pubblico. scrivo un messaggio con la mia chiave privata e chiunque, applicando la mia chiave pubbliva, legge il messaggio, sapendo così che effettivamente sono stato io a scriverlo (solo io ho la mia chiave privata!)
questa è la prima premessa.
quando scriviamo un indirizzo web, questo viene cercato su una specie di elenco telefonico, il DNS, per sapere a quale indirizzo IP corrisponde. il collegamwnto avviene con l'indirizzo IP, il nome è solo un fatto mnemonico. Il server DNS cui vengo o dirette le nostre richieste (in automatico dal nostro computer) o ce lo configuriamo a manina o più generalmente ci viene fornito dal provider al momento della connessione. Ma se io riesco a fare in modo, ad esempio con un trojan installato sul tuo pc, che il tuo pc si rivolga ad un DNS che gestisco io. In pratica chi ti fornisce le informazioni è u soggetto falso, quando tu scrivi www.homebanking.it io potrei mandarti su un indirizzo IP dove c'è un sito identico per aspetto a quello della tua banca, solo che cattura la tua username e password (e magari poi ti rimanda senza che tu te ne accorga al sito originale della banca, tu sei contento ed io ti ho fregato le passowrd). Un'altro problema che può emergere è che tu effettivamente ti colleggi al DNS dell'ISP ma io ho crackato quel server e cambiato le informazioni in esso contenute per cui chi ti risponde è il soggetto vero ma ti fornisce informazioni false.
Usando un meccanismo basato sulla crittografia asimmetrica è possibile fare in modo che tu acceda al DNS essensdo sicuro della sua identità e dell'integrità dei dati che ti vengono forniti.
Questo, per sommi capi, è DNSSEC, il progetto mondiale per mettere in sicurezza i DNS. naturalmente ho certezza dell'identita' del sito homenaking.pippo.it perchè l'informazione proviene in origine dal DNS di pippo.it che a sua volta proviene da .it che a sua volta proviene da dei DNS "root". Ma se qualcuno compromette la chiave dei DNS root, tutta la catena di fiducia viene meno. Allora, per metterla in sicurezza, si usano diverse chiavi che devono essere usate in modo combinato.
e questo hanno fatto.
niente templari nè terroristi, sorry....
terroristi continuano a essere i giornalisti (colleghi, quindi mi permetto), ma c'è da considerare che va riconosciuto a Repubblica di aver affrontato un argomento così spinoso e così poco notiziabile. Che per farlo si debbano indossare le vesti di Giacobbo e toccare le corde del sublime e del mistero, è quasi il minimo che possa capitare su una testata generalista.
Scritto da: gabriele | 30/07/2010 a 23:07