On 17/02/12 10:45, Piviul wrote:
http://punto-informatico.it/3442736/PI/News/non-fidatevi-dell-ssl.aspx Ma questi svizzeri sono degli sbruffoni o dicono la verità? Davvero non possiamo fidarci dei certificati e quindi anche di ssh ad esempio?
Come al solito la qualità di Punto Informatico è bassissima. Nell'articolo confondono continuamente la tecnologia SSL con i certificati SSL utilizzati nell'HTTPS. In particolare dicono che 2 certificati su 1000 vengono generati a partire da numeri casuali "deboli" dovuti ad RNG scritti male. Ma questo è un difetto noto di qualsiasi algoritmo che si basi sulla generazione di numeri casuali e la soluzione è usare fonti di entropia forti.
Quindi direi che la conclusione corretta che PI avrebbe dovuto fare è "molti siti sono insicuri perché il software utilizzato per generare il certificato conteneva degli errori nell'RNG" e non "SSL è fallato sin dal principio".
federico