Re: OpenSSL: Altro bug
On 06/06/2014 20:25, dea wrote:
Per questo il software crittografico DEVE essere open,
Gli esperti di crittografia considerano sicuro un algoritmo dopo che è
stato esaminato da un gruppo consistente di esperti di crittografia e
nessuno ha trovato falle/debolezze o altro.
Per fare questo le specifiche devono essere rilasciate pubblicamente e
senza restrizioni, altrimenti viene meno questo presupposto.
Detto questo si capisce che una società che crea internamente degli
algoritmi interni di crittografia ha creato qualcosa di intrinsecamente
insicuro.
Premesso che non è possibile dimostrare la correttezza di un programma,
si capisce subito che dopo aver preso un algoritmo "ritenuto sicuro" e
trasformato in codice si ha un ulteriore livello di "insicurezza" dovuta
a diversi fattori: linguaggio usato, errori nel codice, problemi del
compilatore, backdoor introdotte volontariamente, ...
Anche questi secondi possono essere ridotti al minimo se il codice di
tutta la filiera (dal compilatore/interprete al codice sorgente, dal
kernel ai moduli di gestione della memoria, ...) sono disponibili. Se
manca soltanto una di queste informazioni, allora quel codice è
intrinsecamente "insicuro".
Ciao
Davided
--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione per l'uso di formati accessibili nell'Unione Europea
http://tinyurl.com/y6u4m5
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: